クレジットカードの不正利用に遭いました

先日、クレジットカードの不正利用に遭いました。

私はちょくちょくオンラインショップで買い物をします。買う際はもれなくクレジットカード決済です。そのため、クレジットカードの引き落とし額を郵送やメールで通知されるようにしていて、一通り目を通しています。そんなある日、引き落とし額の通知メールを見て違和感を覚えました。引き落とし金額としては、11,760円。いたって普通、ありがちです。ですが、なぜか引っかかりました。シックスセンスってやつですね。無事に引き落としされずに済んだのですが、まさか、自分が被害に遭うとは思っていませんでした。

いや、まさかね…。

今回は、被害の体験と対策について書きたいと思います。

身に覚えがない請求が来たときにとるべき対処

「この月(3月)、そんなに使ったっけ?」

不審に思って明細を見てみました。そこには、普段から使っているオンラインショップで5,880円の買い物が2回、3月14日に使われています。ホワイトデーですが、私は義理チョコのお返しにこんな高額なものは買いません。そもそも、お返しは事前にちゃんと買います。この日に買い物をした記憶は全くありません。

次に確認したのは、オンラインショップ側の注文履歴です。オンラインショップ側の注文履歴に残っていなければ、私は買っていないことになります。案の定、3月14日の前後1週間は全く買い物をしていませんでした。

これを受けて、クレジットカード会社の問い合わせ窓口に電話しました。電話口のオペレーターに。身に覚えがない請求がされている旨を連絡すると、その場で該当の引き落としを止めて、クレジットカードも無効化し、さらに新しいクレジットカードを手配してくれました。オペレーターも手馴れたもので、わずか5分足らずで対処してくれました。オペレーターにつながるまでの待ち時間のほうが長かったぐらいです。

とるべき対処をまとめると、履歴の確認です。言い換えると、証拠を揃えることです。身に覚えのない請求だけでなく、他のセキュリティインシデントが発生した場合にも当てはまります。「証拠」と言うと、悪事を行った痕跡をイメージされることが多いかと思いますが、それだけでなく自分の身の潔白を証明するためにも証拠が必要となります。

オンラインでの買い物にまつわる不正利用のエトセトラ

今回の私の被害のような、オンラインショップでの買い物における不正利用の脅威はどのくらいあるのでしょう?

情報処理推進機構(IPA)が毎年公開している「情報セキュリティ 10大脅威」を見ると、2019年版では「クレジットカード情報の不正利用」が1位、「インターネットサービスへの不正ログイン」が8位にランクインするほど大きな脅威となっています。

図. IPA「情報セキュリティ10大脅威 2019(個人編)」を元に作成

クレジットカード情報の不正利用については、フィッシング詐欺やマルウェア感染、登録先サイトからの漏洩等によりクレジットカード情報が流出して、ダークウェブ等で流通している可能性があります。また、クレジットカード利用に必要な情報は、16桁のクレジットカード番号+3桁もしくは4桁のセキュリティコードなので、1京(1兆の千倍)分の1の確率で当たる可能性があります。ジャンボ宝くじの1等当選確率が1千万分の1と言われていますので、それよりはかなり低いですが、当たる可能性があります。そのためオンラインショップ等の運営者が、システムにクレジットカードを登録する時に一定回数以上失敗するとロックする仕組みを組込んでいたりします。

インターネットサービスへの不正ログインは、フィッシング詐欺等による本人の端末からのID・パスワード情報流出のほかに、どこかのサイトから流出したID・パスワード情報を元にログイン試行されるケースがあります。以前の記事(最近流行りの攻撃メール)で紹介した漏洩したアカウント情報を集めているサイト「';-- have i been pwned?」では、2019年5月時点で78億のアカウントが流出しています。

不正利用に遭わないために利用者として行うべき対策

利用者として取るべき対策としては、不正利用を予防できる、不正利用されてもすぐに気付けるサービス、クレジットカードを使うことです。もう少し噛み砕くと、以下のことが当てはまります。なるべく多く当てはまると良いです。

・<必須>定期的に利用履歴(決済履歴、注文履歴)を確認
・3Dセキュアに対応したクレジットカード、サービスを利用
・決済時に通知が行われるクレジットカード、サービスを利用
・多要素認証に対応したサイトを利用
・デジタルアイデンティティ(後述)を考慮したサービスを利用

サービス提供者として行うべき対策

サービス提供者として行うべき対策は、ユーザが不正利用に遭わないようにするための対策であり、不正ログイン(=なりすまし)対策と脆弱性対応です。ここでは不正ログイン対策にフォーカスして書きます。

オンラインでは往々にして「ログインできた=本人」とみなされます。そのため、まずはログイン時の対策を強固にするべきです。その方法として、多要素認証が挙げられます。多要素認証は、「知っている」、「持っている」、「(生体的に)有している」の3要素の2つ以上を組合せる認証で、最近ではID/パスワード(知っている)による認証を行った上でスマホ(持っている)に通知されたコード入力を要求するもの等があります。

この多要素認証も、利用者によっては面倒くさいと感じられることがあります。実世界であれば、外見、クセ等から本人と判断しますので、これに倣い、近年、デジタルアイデンティティという概念が出てきています。このデジタルアイデンティティは、様々な主体(人、サーバ、組織等)を表すアイデンティティのうち、デジタルに表現したものを言います。

とくにデジタル固有のものとして、利用されているデバイスの種類、利用している位置(ロケーション)、利用IPアドレス、利用言語、利用ソフトウェア、操作のクセ等があります。このデジタル固有の情報はユーザの準備や操作追加を必要としないため、ユーザの利便性を損なわず認証強化に利用することができます。そのため、現時点ではID/パスワード+(デジタル固有の)デジタルアイデンティティが一番おすすめです。

不正利用に備えよう

最近のクレジットカード不正利用は、利用者が違和感を感じにくい被害金額の場合も多いようです。私の場合は1万円ちょっと、他の例では被害額が数百円という場合もあるようです。攻撃者は、知恵を利かせて気付かれにくいように攻撃を進化させています。

オンラインのサービスを使う以上、不正利用のリスクはゼロにはなりません。そのサービス、システムを最大限活かしつつ、自分(たち)ができることの中で最大限予防して、最大限早期検知することが不正利用に対する備えです。皆さんがお使いのサービス、システムを今一度見つめなおしてみてはいかがでしょうか?

今すぐ、クレジットカードの利用明細を確認した方が良いですよ。

富士ソフトでは、以下のデジタルアイデンティティ関連ソリューションを提供しています。

・オンライン詐欺防止ソリューション: ThreatMetrix
・生体認証ソリューション(問合せ先:https://sem-inq.fsi.co.jp/public/application/add/380

その他お役立ちセキュリティコラムはこちら

   渡辺 露文
渡辺 露文(Tsuyufumi Watanabe) 技術管理統括部 セキュリティマネジメント部 部長 / エグゼクティブフェロー
この記事を読んだ人はこちらの記事も読んでいます。