クレジットカード不正利用、被害は誰が負担する? 個々人でできる3つの対策

タレントの井上咲楽氏は9月1日、自身のTwitterを更新し、クレジットカードが不正利用されたことを報告した。同氏によると被害額は100万円超。普段は行くことがない店舗のブランド品などが不正に購入されており、「勝手に限度額を変えられていた」(井上氏のTwitter本文)という。

クレジットカード被害額、過去最高を記録

近年、ECサイト利用者の増加などの背景もあり業界全体でクレジットカードの不正利用が増加傾向にある。2021年の全国のクレジットカード不正の被害額は、前年比43%増の330億円と過去最高を記録(日本クレジット協会調査)し、同年の特殊詐欺被害額の282億円を超えた。さらに、2022年の1～3月の期間ですでに94億6000万円の被害が確認されており、不正利用の勢いは止まらない。

2021年の全国のクレジットカード不正の被害額　出典:日本クレジット協会

また、フィッシングについても2021年の報告件数は前年比130%増の52万6504件で、2022年7月は初の10万件を突破している(フィッシング対策協議会調査)。AmazonやメルカリなどのECサイトやフリマアプリ、ヤマト運輸やJR東日本といった生活インフラ系、自治体をかたるサイトが登場し、実際のフィッシングに使われたメールやサイトは本物と見分けがつきづらく、手口が巧妙化している。

実在が確認されているフィッシングメール・フィッシングサイト　提供:メルカリ

これらの不正には、海外の犯罪集団(特に中国)の関与も疑われており、膨大な国富が国外に流出していると考えられる。EC事業者、決済事業者、関係する業界団体といった業界全体でクレジットカード情報などの漏えい防止、事業者側での不正利用防止などに取り組むことが急がれる。

巧妙化するさまざまな手口

東京商工リサーチの調査によると、2022年上期のクレジットカード流出件数は66万件を超え、2021年全体の約26万件を大きく上回る。

2022年上期のクレジットカード流出件数　出典:東京商工リサーチ

では、クレジットカードの情報はどのようにして盗まれているのだろうか。想定されるクレジットカード番号盗用の原因として、フィッシング詐欺のほかにも、加盟店や事業者からの漏えいや、番号自体は盗まずにの番号から確率的に割り出す「クレジットマスター」と呼ばれる手口などが挙げられる。

カード情報をEC事業者が持たない仕組み「非保持化」が浸透したものの、さまざまな手口により情報漏えいの件数が拡大している。日本では2018年に施行した改正割賦販売法で、クレジットカード会社の加盟事業者にEC通販の安全対策強化を義務づけているが、約40%の事業者が「被害が少ない」「優先順位が低い」などを理由に不正対策をしていないという(かっこ調査)。

不正利用の被害負担は誰がする?

「クレジットカード不正利用の被害を負担するのは、そのクレジットカードの持ち主だ。支払いを実行してしまった場合、泣き寝入りするしかない」

これはよくある勘違いだ。実際に負担するのは、クレジットカードの持ち主でもクレジットカード会社でもなく、EC事業者である。

不正利用の全体像　提供:メルカリ

不正犯が盗んだクレジットカード情報でECサイトから商品を購入すると、クレジットカード会社から持ち主へ支払請求が行われる。そして、持ち主に身に覚えがなく不正利用と発覚すると、EC事業者がチャージバック(売上を取り消して消費者に返金すること)しなければならない。

にもかかわらず、消費者だけでなく、EC事業者担当者の3人に1人が被害負担がEC事業者であることを知らないという(かっこ調査)。

これは気づかない……具体的な事例

ここで、不正犯の巧妙な手口を使った事例を1つ紹介しよう。それは、フリマアプリを悪用したクレジットカード不正だ。

不正者はまず、実際に商品を持っていないがフリマアプリに架空の出品を行う。それを架空の出品だと気づかずに、購入者が落札してしまうと、個人間売買のための本人情報(氏名や住所など)が不正者の手に渡ってしまう。

フリマアプリを悪用したクレジットカード不正　提供:かっこ

不正者はその情報と、すでに持っていた第三者の盗用番号を組み合わせて悪用し、ECサイトで該当の商品を購入し、購入者のもとへ発送手続きを行う。そして、購入者はECサイトから届いたものとは知らずに、フリマアプリを通じて不正者に代金を支払う……。

この手口では、不正者は自身の住所や氏名がバレることなく在庫を抱えずに不正ができてしまうのだ。購入者にとっては、気づかずに犯罪に巻き込まれていることになる。実に巧妙な手口で、事前に気づくほうが難しいのではないだろうか。

ほかにも、複数人数になりすまし安価に手に入る初回限定商品ばかりを狙う悪質転売や、中国では一般的に市場で売られていない「加熱式たばこ」を狙った転売などが急増しているという。海外で現金化された場合、その被害額を取り返すことは難しい。まさに国富が国外に流出しているといえる。

「EMV-3Dセキュア」という解決策

勢いを増すクレジットカード不正利用の波を止めるためには、クレジットカード利用者が持ち主本人であることの確認を強化すべきだ。現在、不正対策として注目されているのが「EMV-3Dセキュア(3Dセキュア2.0)」と呼ばれる本人認証サービス規格だ。

従来の3Dセキュア(3Dセキュア1.0)は、カード番号に加えて個人が設定したパスワード入力を求める、なりすましを防ぐ仕組みに対し、EMV-3Dセキュアは、カード会社がインターネット上の住所に当たる「IPアドレス」などのデバイス情報をもとに、リスクに応じてパスワード認証有無を判定する。

「EMV-3Dセキュア(3Dセキュア2.0)」の仕組み　提供:メルカリ

3Dセキュアでは、決済時に必ずパスワード認証を求めるため、利用者が面倒と感じて手続きの途中で購入を取りやめる「かご落ち」率が高く、日本での普及は低かった。しかし、EMV-3Dセキュアでは、大半は低リスク取引と判定され、パスワードの入力が不要になるため、かご落ちする割合が低くなると考えられている。

フリマアプリを運営するメルカリは8月にEMV-3Dセキュアを導入。その結果、導入前後のユーザーの離脱差分は2～3%前後とカゴ落ちの影響は軽微になった一方で、不正利用の金額は導入の効果により2021年12月比で約10分の1に減少したという。また、EMV-3Dセキュアを逃れるような動きも見られ、対策としての有効性を確認している。

メルカリのEMV-3Dセキュア導入後の成果　提供:メルカリ

メルカリ執行役員 VP of Trust and Safety Japan Regionの篠原孝明氏は、「メルカリで不正対策が講じられても、別のフリマアプリや他のECサイトで盗用したクレジットカードが使えるのでいたちごっことなってしまう。業界を横断して傾向分析と対策を行う必要がある」と危機感を示している。

日経経済新聞の記事によると、経済産業省がEC事業者へのEMV-3Dセキュアの導入義務化を検討していることが分かった。カード会社や加盟事業者などが実行すべき不正利用防止の対策をまとめた「クレジットカード・セキュリティーガイドライン」の2022年度末の改定時に、新たな規定を盛り込みたい考えという。

一方でEMV-3Dセキュアには、システム開発コストに数百万円かかり、ランニング費用もかかってしまうデメリットがある。また、リスクベース認証の基準は自社の商材や客単価にあっていないケースも少なくない。EC事業者は、刻々と変化する不正手口を理解したうえで、自社に適した対策を選択していくことが必要だ。