クレジットカード不正利用の手口とは
クレジットカードの不正利用は、カード情報が第三者に盗まれ、悪用されることで発生します。日本クレジット協会などの公的機関やカード会社が公表する情報によると、被害の大部分はインターネット取引における「番号盗用」によるものであり、手口は年々巧妙化しています。以下では、主な手口を整理して詳しく紹介します。
フィッシング詐欺
手口の概要
金融機関、クレジットカード会社、宅配業者、通販サイトなどを装った偽のメールやSMS(ショートメッセージ)を送り、利用者の不安を煽って偽のウェブサイトに誘導します。偽サイトでクレジットカード番号、有効期限、セキュリティコード、暗証番号などを入力させ、情報を盗み取る手法です。
具体的な例
「カードの有効期限が切れそうです」「不正利用が検知されました」「キャンペーンに当選しました」といった件名を使い、本物そっくりのURLやデザインで偽装します。最近ではSMS経由の「スミッシング」も増加しており、日常的に利用する事業者名を悪用してリンクを送信します。入手した情報は即座にオンラインショッピングや本人確認不要の取引に悪用されます。
スキミング
手口の概要
特殊な装置(スキマー)をATMのカード挿入口やPOS端末のカードリーダー部分に取り付け、磁気ストライプのデータを読み取る手法です。盗んだデータを基に偽造カードを作成し、実店舗やATMで利用します。
具体的な例
ガソリンスタンドやコンビニのATM、飲食店の決済端末などで発生しやすいとされています。店員や周囲の人物がカードを一時的に預かり、スマートフォンで撮影するケースも報告されています。また、非接触型ICカードを対象とした小型スキマー装置による読み取り事例も確認されていますが、完全な情報(セキュリティコードなど)を盗むには限界があります。
サーバーハッキングによる情報漏洩
手口の概要
ECサイトや出会い系サイトなどのウェブサーバーの脆弱性を突き、プログラムを改ざんして登録されているクレジットカード情報を大量に窃取します。事業者側のセキュリティが突破されるため、利用者自身が直接被害に気づきにくいのが特徴です。
具体的な例
大規模な通販サイトや会員制サイトが狙われ、漏洩したカード情報が闇市場で売買されるケースが複数報告されています。これにより、番号だけが盗用され、カードを持たないまま不正利用される「カード番号盗用」が急増しています。
クレジットマスター(番号生成攻撃)
手口の概要
クレジットカード番号の規則性(発行会社のBINコードなど)を悪用し、自動生成ツールで有効な番号を大量に推測・試行する手法です。主にオンライン決済を対象とし、セキュリティコードや有効期限も組み合わせで検証します。
具体的な例
ECサイトの決済画面に対して、数万〜数十万件の番号を短時間で入力する攻撃が確認されています。3Dセキュアなどの本人認証が未導入のサイトで特に被害が発生しやすいとされています。
盗難・紛失・なりすまし
手口の概要
財布ごと盗まれる、落とす、または店員などにカードを預けた隙にスマートフォンで撮影されるなど、物理的にカード情報が盗まれるケースです。その後、盗んだカードや情報を用いて本人になりすまし、オンラインや実店舗で利用します。
具体的な例
満員電車内でのスリ、飲食店での会計時撮影、車上荒らしなどが代表的です。入手した情報は即座にインターネット通販や宿泊予約などに使われ、被害が拡大します。また、紛失したカードを拾った第三者が悪用するケースも含まれます。
インターネットショッピング詐欺との連動
手口の概要
架空の通販サイトを立ち上げ、格安商品を販売して利用者を誘導し、決済時にクレジットカード情報を直接入力させる手法です。商品は発送されず、情報だけが盗まれます。また、入手したカード情報で架空の購入を行い、別の詐欺に利用するケースもあります。
具体的な例
出会い系サイトやSNS経由で誘導されるパターンも報告されており、偽サイトで入力された情報が即座に不正取引に転用されます。これにより、被害者は商品代金だけでなくカード情報の流出被害も同時に被ります。
これらの手口は、単独で使われるだけでなく、複合的に組み合わせられることが多くなっています。被害防止のためには、カード利用明細のこまめな確認や本人認証サービス(3Dセキュア)の活用が公式に推奨されていますが、本記事では手口の紹介に留めています。
