クレジットカードが不正利用されてしまう原因の1つは、ネット上のどこかでクレジットカード情報が漏れてしまうことにあります。こうした被害を防ぐためにも、ネット利用時にどこでクレジットカード情報が漏えいしてしまうのかを知っておくべきです。サイバー犯罪者がクレジットカード情報をだまし取る手口を3つの実例をもとに解説し、不正利用を防ぐための対策ともしものときの対処法を紹介します。
なぜクレジットカード情報が狙われる!?
クレジットカードは、現代における生活の必需アイテムになっています。クレジットカードがあれば、手持ちの現金がなくても実店舗で買い物できますし、ネット通販でも手軽に決済できます。
とても便利なものですが、クレジットカードは悪意ある第三者によって不正利用されてしまうリスクがあることも心得ておかなければなりません。日本クレジット協会の調査によると、2017年のクレジットカード不正利用被害額は236.4億円に上り、前年比で約1.66倍に増加しました。
不正利用被害の原因の1つは、カード番号や有効期限、セキュリティコードなどのクレジットカード情報がネット利用時に漏れてしまうことです。では、サイバー犯罪者はネット利用者からクレジットカード情報をどのように盗み取るのでしょうか。
ネット利用時にクレジットカード情報が漏えいする3つのケース
Case1:「クレジットカード会社のログインページで、いつもは尋ねられないクレジットカード情報を入力した」
これは、オンライン銀行詐欺ツールと呼ばれるウイルスに感染しているケースです。このウイルスはもともと、ネットバンキングでの不正送金を目的に作られたもので、ネットバンキング利用時に必要な認証情報をだまし取ったり、送金先の口座情報をこっそり書き換えたりすることで知られてきました。ただ、最近ではクレジットカード情報を盗み出す機能を備えているものも登場しています。実際に、ネット利用者がクレジットカード会社のログインページにアクセスすると、パソコンに潜伏したウイルスは偽の認証画面を表示します。そこでは、カード番号や有効期限、セキュリティコードといった通常のログイン時には尋ねられないはずの情報を入力させて不正に入手するのです。
図:オンライン銀行詐欺ツールが表示する偽の認証画面
ネットバンキングを狙うウイルスの拡散手段には、メールや脆弱性攻撃サイトが用いられます。たとえば、配送業者を装って不在通知メールを送りつけ、受信者にウイルスを仕込んだ添付ファイルを開かせる手口は定番です。不正なWeb広告や改ざんされた正規サイトからネット利用者を脆弱性攻撃サイトへ誘導し、気づかぬ間にウイルスに感染させる手口も確認されています。
Case2:「SNSに表示された投稿からたどり着いた通販サイトでクレジットカード情報を登録した」
これは、偽の通販サイトを利用したケースです。TwitterやFacebookなどのSNSから偽の通販サイトへ誘導し、決済ページでクレジットカード情報を入力させる手口にも注意が必要です。そこで入力した情報はサイバー犯罪者の手に渡ってしまいます。
例えばFacebookでは、本来のアカウント利用者を装ってその友人をタグ付けしたURL入りのメッセージを投稿し、それを開いてしまった利用者を偽の通販サイトへ誘い込む手口が確認されています。サイバー犯罪者は何らかの方法でSNSのアカウントを乗っ取り、本人になりすまして不正なURLを含むメッセージを投稿するのです。SNS上でつながっている人同士の信頼関係を悪用した手口と言えます。
Case3:「実在する企業による案内メールからたどり着いたWebサイトでクレジットカード情報を入力した」
これは、フィッシング詐欺と呼ばれるものです。実在する企業からの案内やサポートを装う偽のメールを送りつけ、受信者にメール内のURLリンクを開かせることで偽サイトへ誘導する手口にも要注意です。トレンドマイクロでは、カード会社を装った偽のメールだけでなく、Appleのサポートを名乗り、「利用中のアカウントにセキュリティ上の問題が起きた」などと呼びかける不正メールを確認しています。
図:Appleを騙りアカウントが無効であると煽るフィッシングメール
URLリンクを開くと、Appleの本物のログインページに似せた偽サイトへ誘導され、アカウントのロック解除を理由にApple IDやパスワード、個人情報、クレジットカード情報などの入力を求められます。万一、これに応じてしまうとクレジットカード情報などを盗み取られてしまいます。
図:Appleを騙ってクレジットカード情報を含め様々な個人情報を盗む偽サイト
クレジットカードの不正利用を防ぐ7つの対策
メールの添付ファイルを不用意に開かない
サイバー犯罪者は、著名な企業を名乗って「不在通知」や「請求書」などのもっともらしいタイトルのメールを送りつけ、ウイルスを仕込んだ添付ファイルを開かせようとします。こうしたメールを受け取ったら、まずはそのメールが届く理由を考えましょう。たとえ、心当たりがあっても添付ファイルの開封を促すメールは罠が疑われます。少しでも怪しいと感じたら、GoogleやYahoo!などの著名な検索サイトからその企業のホームページにアクセスし、そこに書かれた問い合わせ先に連絡して事実確認しましょう。
メールやSNSの投稿内のURLからたどり着いたWebサイトを信用しない
メールやSNS投稿内のURLを不用意に開かないでください。自発的に訪れたわけでなく、「セキュリティ上の問題」などの不安をあおる内容や、「24時間以内」などと対応を急かす内容のメールなどを経由して誘導されたWebサイトは信用できません。それでもメールやSNS投稿内のURLを開く場合は、無料で使えるSite Safety Centerなどを利用し、誘導先の安全性を事前にチェックしましょう。対応すべきかどうかわからない場合には、利用している当該サービスの企業の問い合わせ先に連絡して確認することをお勧めします。
ネットでの情報入力は、必ず一度立ち止まってから行う
一見して本物と見分けがつかない偽サイトでは、だまされていることに気づかずに情報を入力してしまうかもしれません。情報入力を求めるWebサイトにたどり着いたら、必ず一度立ち止まってサイトが本物かどうかをチェックしてください。ポイントの1つは、SSL(※)への対応を確認することです。SSL未対応の場合は偽サイトを疑い、速やかにページを閉じて無視しましょう。
※SSLは第三者による通信の読み取りを防いでくれる仕組みです。SSL対応のWebサイトでは、アドレスバーのURLが「https://」で始まり、「鍵マーク」が表示されます。
また、クレジットカード会社のログインページなどでいつもは尋ねられない情報の入力を求められた場合、ウイルス感染の疑いがあります。感染時は、たとえアドレスバーが正規のURLになっていても偽の認証画面が表示されてしまうことに注意が必要です。
アカウント管理を適切に行う
Apple IDやGoogleアカウント、通販サイトなど、クレジットカード情報を登録するサービスのアカウント管理をおろそかにしていると、悪意のある第三者にアカウントを乗っ取られ、クレジットカードを不正利用されてしまうリスクが高まります。複数のサービスに同一のIDとパスワードを使い回さないこと、第三者に推測されにくい複雑なパスワードを設定することを徹底してください。利用しなくなったアカウントも削除しておきましょう。
OSやソフトを最新の状態で使用する
OSやソフトの脆弱性を残したままのパソコンでは、サイトを閲覧しただけでネットバンキングを狙うウイルスに感染してしまうリスクがあります。脆弱性を悪用する攻撃の防御策は、OSやソフトを常に最新の状態にしておくことです。OSやソフトの開発元から脆弱性を修正する更新プログラムが提供されたら直ちに適用しましょう。自動で更新できる機能がある場合には、無効にせずに有効にして使いましょう。
パソコンやスマホでセキュリティソフト(アプリ)を利用する
セキュリティソフトやアプリは、偽サイトや脆弱性攻撃サイトへのアクセスとウイルスを未然にブロックしてくれます。新たな脅威に対抗するため、セキュリティソフトを常に最新の状態にして利用しましょう。
ネット詐欺の手口を知る
セキュリティ会社や通販サイト各社、国民生活センターなどが公表する注意喚起情報を定期的にチェックし、ネット詐欺の手口や狙いを知りましょう。フィッシング対策協議会のホームページでもフィッシングに関するニュースが随時報告されているので参考にしてください。
フィッシングに関するニュース|フィッシング対策協議会
https://www.antiphishing.jp/news/
不正利用が疑われたときの対処法
不審な取引を見つけたら直ちに連絡する
クレジットカードの利用明細をチェックする習慣をつけ、不正利用がないことを確認しましょう。万一、身に覚えのない取引を確認した場合には、直ちにクレジットカード会社に連絡してください。クレジットカード会社への届出を行わなかったり、自身に重大な過失があったりした場合、不正利用被害に遭っても補償を受けられなくなる可能性があります。ご利用のクレジットカードの補償要件には必ず目を通しておきましょう。
セキュリティソフトでウイルスを駆除する
クレジットカードの利用明細に不審な点があった場合、ネットバンキングを狙うウイルスに感染しているかもしれません。もともと入れているセキュリティソフトが最新の状態になっていることを確認した上でウイルス検索を行い、ウイルスが見つかった場合は駆除しましょう。
