カードを止めたのに不正利用が止まらない・・・
最近複数のメディアで「カードを止めたのに不正利用が止まらない」といった記事をいくつか見かけました。
内容としては次のような内容です。
フィッシングメール等から偽サイトに誘導されクレジットカード情報を登録してしまい、
そこで抜き取られたカード番号やセキュリティコードを不正利用者がApple Payなどのスマホ端末へカード情報を登録し、それを使って実店舗で買い物を行う。
という手段での被害です。
不正利用されるオフライン取引とは?
通常のオンライン決済であれば、カードを止める手続きをすれば、いわゆるオーソリ(クレジットカードの信用情報照会作業「オーソリゼーション」)においてそのカードが有効かどうかを確認する通信を実施するが、一部のタッチ決済においてはオフライン取引と呼ばれるオーソリ処理をスキップして取引を成立させるケースが存在します。
これはユーザー利便性や加盟店店舗の手数料の削減に繋がり、事業者側・ユーザーにそれぞれメリットがあるように見られるが、その点をついた手法と言えます。
ユーザー利便性としては、一定額までの少額決済であればオーソリ承認における通信時間を短縮できるというメリットもありますが、実は最近のインフラ状況においてはオンラインでもオフラインでもそこまで大きな差がなく、オフライン取引の最大のメリットとしては事業者側が毎回発生する処理量を削減できるという点でがあげられます。
特に近年ではPay系の台頭などにより、カード決済手数料やタッチ決済における決済手数料の低減なども進み、オフライン決済における少額決済のオーソリ承認可否の閾値の引き上げ等によって、1万円未満はオフラインで決済できる店舗も増えています。
なぜ?どのような被害が?
さて、改めてオフラインでの被害の詳細について詳細に触れると、
ある日身に覚えのないカード請求を受けたため、カード会社へ不正利用の報告を行いカードを止めたが、その後数日〜数ヶ月にわたり少額決済での身に覚えのない利用がつづき、数十万円の被害になってしまった。というものです。
こうした不正利用の多発により、カード事業者側でもオーソリ処理の必須化など対策に乗り出してはいますが、不正利用者は日々こういった新たな不正ができる抜け道を研究していると見られ、日々新たな手口が報告されています。
とくに先述したApple Payに登録したカード情報などは、リモート削除が可能であるが、不正利用者側をそれを見越してバーチャルカード登録をしたApple端末をインターネット接続を遮断した状態を継続し、リモート削除を防いでカード情報を維持しているなどの綿密な計画に基づく不正を実行している可能性が高くあります。
オフライン取引ではカード利用通知等も事後的に行われるため、リアルタイムで正規のカードホルダーが不正利用に気が付くのが遅れるなど、様々な仕組みの穴を突かれている現状です。
被害を防止するためには?
消費者側でこういった被害を未然に防止するには、
・そもそもフィッシングメール等の不審なメールは開かない。
・突然カード会社やECモールからのカード情報の再登録依頼が来るなどの怪しいものに安易にカード情報を入力しない。
・カード利用明細をこまめにチェックする。
といった事で不正利用者に情報を与えない。万が一不正利用に使われてしまってもすぐに対処する。
といった事しか手立てはないと考えられます。
利便性が広がると不正利用者に狙われる穴が発生しやすい。
こういった最新の不正の状況を日頃から感度高く情報として確認していく事が益々求められています。
クレジットマスターアタックによる被害の拡大
利用者側がどれだけフィッシングメールに気をつけていても、クレジットマスターアタック等によりカード情報をいつの間にか取得されてしまうケースもあり、利便性が向上するとともに、事業者側の対策がより一層求められる状況になっています。
(クレジットマスターアタックについては当ナレッジ記事でも複数紹介しているので今回は割愛させていただきます)
