カードを止めても続く不正利用。Apple Payが悪用された理由

2024年のはじめ、イオンカードが不正利用されるという事件が起きた。犯行集団はカードをApple Payに登録し、電子マネー経由で換金性の高い商品を購入していた。しかし、Apple Payが非常にセキュアな決済手段であることに違いはない。ではなぜ、こういった被害が発生したのか。犯行集団は、複雑化する決済システムの隙を狙ったのだ。

Apple Payは“安全”ではなかったのか？クレジットカードの仕組みの隙をついた反抗集団

クレジットカードの不正利用事件は、毎日放送（MBS）などでも報道された。この報道では固有名詞などは省かれているが、イオンカードをApple Payに登録し、電子マネーiDが悪用されたことが判明している。Apple Payは非常にセキュアな決済方法だとMac Fan本誌でも紹介しているため、疑問を覚える読者も多いと思う。そこで、この事件の裏側を解説したい。ただその前に、イオン、Apple、iDに落ち度はないと強調する。この3者とカード利用者、そして商品を詐取された加盟店すべてが被害者だ。

犯行集団は、イオンカードの利用者（あるいはランダム）にフィッシングメールを送り、それに騙された人のイオンカードの情報をApple Payに登録。iPhoneから電子マネーiDでタッチ決済し、コンビニなどで換金性の高い商品を購入した。

この事件が注目された理由は、カードの停止処置をしたあとも不正利用が続いたからだ。カードを止めたのに不正利用が止まらない。被害にあった方は怖い思いをしたことだろう。なぜこんなことが起きたのか。犯行集団は、カードのオーソリゼーション（認証）の仕組みの隙を悪用したのだ。

カードの認証を行うオーソリゼーション。実は毎回実行されているわけではない

クレジットカードを店頭やオンラインショップで使用する場合、あるいは電子マネーをポストペイ方式（電子マネーで支払った金額をすぐに紐づけてあるクレジットカードに請求する）で使う場合は、通称「オーソリ」と呼ばれる認証処理が行われる。カード会社のセンターに問い合わせ、そのカードが不正なものではなく、かつ決済枠が十分であることを確認するものだ。カードが不正だったり、決済枠が残っていなかったりするとエラーとなり、「こちらのカードはご利用ができなくなっております」と告げられる。

ただし、このオーソリをするには毎回ネットワーク接続料が必要だ。たとえば、NTTデータが運営する与信中継ネットワークでは1件3.15円の接続料がかかる（現在は価格を弾力化している）。そのため、クレジットカードで10円や100円といった少額決済されるのは、カード会社としては悩ましい問題なのだ。そこで、多くの電子マネーでは毎回オーソリをせず、決済金額が大きい場合や一定期間経過した場合などに限りオーソリを行い、ネットワーク接続料のコスト削減をしている。オーソリをどのような場合に省くかは、当然ながら悪用防止のために極秘事項となっている。

なぜカード停止後も不正利用が続いたのか。内部情報に精通した大規模組織の影

犯行集団は、フィシングメールでイオンカードの情報を入手してApple Payに登録。そしてiDを使い、オーソリが行われない範囲の金額で、店頭での少額決済を繰り返した。そのため、カードを停止しても不正カードだと判明することがなく、決済が続いたわけだ。オーソリが実行される条件を把握しているあたり、この犯行集団は内部情報に精通していると考えられる。

Apple Payには不正な電子マネーやカードを無効化する仕組みがあるが、犯行集団はiPhoneを機内モードにして使っていたと推定されている。そうすると不正情報が受信されないため、無効化もできなかった。

これらは非常に巧妙な手口である。電子マネーやカード会社は、オーソリを実行する条件を極秘事項にしているし、問題があれば順次変更しているはずだ。それを把握して犯行しているため、何らかの方法で内部情報を入手しているか、複数の集団が情報交換をしていることがうかがわれる。おそらく、相当な規模の組織的犯行の可能性が高い。

日本国内でも多発するフィッシング詐欺の被害

日本クレジット協会の統計によると、2023年のクレジットカード被害額は540.9億円。そのうちの93.3%が番号盗用被害だ。番号盗用被害とは、スキミング、番号記憶、フィッシングなどで、その多くがフィッシングであるとみられている。また統計を見ると、番号盗用被害は増え続けているが、その74.1%は国内での被害だということに注目したい。「海外旅行に行ったらカード番号を盗まれて…」という“よく聞く話”は、日本国内でも多発しているのだ。

クレジットカードの番号盗用被害額は年々上昇している。特にコロナ禍でキャッシュレス決済が広がって以降急上昇している。また、74.1%は国内での被害だということにも注意していただきたい。参照元●日本クレジット協会

イオンカードでは、フィシング詐欺に関する注意喚起を行っている。ここには、フィッシングメールの具体的内容も紹介されていた。

あなたさまのクレジットカードが不正に使用されている可能性があります。至急次のページで取引内容を確認してください。
あなたさまがご本人であることを確認するため、会員番号、暗証番号などを入力してください。

審査の結果、あなたさまが○○に当選しましたので、クレジットカード番号の登録をしてください。

不正使用防止のため、お客さまのクレジットカード番号、有効期限、暗証番号を登録してください。

イオンカードは本人認証（3Dセキュア）サービスを開通していないカードについて、カードの使用機能を停止する予定です。ログインいただくと「ご本人さま確認」の画面が表示されます。内容を確認のうえ、「送信」ボタンを押下してください。

上記のような言葉を使って、巧みにカード情報を入力させる。特に注意したいのが、不正利用や本人認証に関わる誘い文句だ。カードをApple Payに登録するときは、多くの場合、SMSによる認証コードが必要になる。カード会社が4桁または6桁の認証コードをiPhoneの電話番号宛に送り、このコードを入力することで本人確認を行う。

犯行集団はこれもフィシングサイト経由で入手していた。フィッシングサイトにカード番号と携帯電話番号を入力させ、「認証コード」のボタンを押させる。するとカード情報はApple Payに入力され、Apple Payから認証コードが被害者のiPhoneに送信される。被害者は疑うことなく認証コードをフィッシングサイトに入力。犯行集団はそれをApple Payに入力し、登録を完了させていたものとみられる。

フィッシング詐欺に遭わないために、覚えておきたい3つのこと

繰り返すが、イオンカード、Apple Pay、iDのいずれにも落ち度はない。あえていえば、被害者がフィシングメールに騙されたことが原因だろう。しかし、これも手口が巧妙になっている現在では、被害者の不注意を責めるのも酷な話である。犯罪に対してこのような形容詞を使うのは不謹慎だとは思うが、見事な手口だ。決済業界が協力し、このような手口を防ぐ対策が求められる。

では、フィッシング詐欺の被害に合わないようにするにはどうしたらいいのだろうか。3つおすすめしたいことがある。

❶Webページにクレジットカード情報を入力しない

もっとも強力なのが、カード情報を絶対にWebページに入力しないことだ。しかし、それだと新しいWebサービスにカード登録ができない。たしかにそうだ。

基本的には、決済手段にApple Payを選択しよう。Apple Payを利用すれば、カード情報がサービス提供側にも伝わらない。それどころか、Apple Payは下4桁を残してカード番号をiPhoneから削除する仕組みを採っているため、カード番号の流出自体、起こりようがないのだ。

問題は、すべてのWebサービスがApple Pay決済に対応しているわけではないこと。ただ、「だったらよそで買う」くらい強い姿勢であってもいいと思う。幸いなことに、Apple Payに対応しているサービスは増え続けている。ちなみに、Apple Payを使うメリットはセキュリティ面だけではない。Apple Payには名前や住所がすでに登録されているので、Webサイト上でわざわざ入力する手間が省けるのだ。

対面決済でもできる限りApple Payを使い、物理カードの利用を減らすことが望ましい。Apple Payにクレジットカードを登録すると、上図の右上のように、タッチ決済のアイコンが表示されることがある。このカードの場合、電子マネーQUICPayとして決済することも、JCBタッチ決済でクレジットカードから直接決済することも可能だ。タッチ決済であれば海外でも利用できる。

❷メールアドレスの登録にはiCloudメールを利用する

よく、フィッシング詐欺の被害に遭わないために「メールアドレスやサイトのURLをよく確認して」と言われる。しかし、現実にはなかなかできることではないだろう。

そこで、サービスを利用するときはApple Accountを持っているユーザに付与されるiCloudメールの利用をおすすめする。なぜなら、iCloudメールはBIMI（Brand Indicators for Message Identification：メッセージ識別のためのブランド識別子）に対応しているからだ。これは主要なサービス事業者が自社のメールアドレスを登録することで、「メール」アプリなどで開いたときにブランドのロゴが表示されるというもの。第三者認証の仕組みも使っているため、犯行集団がメールアドレスを偽装してもブランドロゴは表示されない。メールアプリでブランドロゴが表示された場合は、本物のメールだと安心できるわけだ。

BIMI対応のサービスを利用すると、詐欺被害に遭う可能性を減らせるだろう。Gmail、iCloudメール、Yahoo!メールなどでは、第三者機関が認証するブランドのロゴマークが表示される。非対応からのメールはグレーの文字ロゴになる。画像●AEON CARD 暮らしのマネーサイト

すべてのサービス提供者が対応しているわけではないが、筆者としては、これもBIMIに対応していないサービスは利用しないぐらいの強い姿勢があってもいいように思う。

なお、BIMIを導入している企業でも、メーリングリストなどではブランドロゴが表示されないケースがある。その場合はカラーのブランドロゴではなく、グレーの文字ロゴ表示になるようだ。ただし、まともな企業がメーリングリストやダイレクトメールで、カード番号などの機微情報を入力させることはあり得ない。

❸メールの処理は“あとで行う”ことを習慣化する

何でもコスパ、タイパが優先されるのが最近の風潮だ。届いたメールはすぐに処理するのが、どこかスマートなスタイルだと思われている。もちろん、業務メールはそれが同僚やクライアントの手間を減らすことになるため、即時処理は素晴らしいことだ。しかし、サービスからのメールには、あとで処理する習慣をつけることをおすすめする。

なぜなら、すぐ対応しようという焦りが、フィッシング詐欺に引っかかる確率を高めるからだ。夕食後や寝る前などと時間を決めておき、時間をおいて処理する習慣を身につけておくと、文面をじっくり読めるため、フィッシング詐欺メールの内容の矛盾に気がつけるかもしれない。そもそも、サービス側がお客様に「すぐに対応してください」などとメールすることなど考えづらいのだ。普通、ある程度の猶予期間が設けられるはずである。

MacでもiPhoneでも、「メール」アプリを使っていれば、メールを簡単に「リマインダー」に登録できる。たとえばメールのメニューから［今夜リマインダー］を選べば、午後9時にリマインダー通知が届く。それから落ち着いて対応しても、多くの場合まったく問題はないはずだ。

フィッシング詐欺の皺寄せは加盟店に。”仕方ない”で終わらせず、予防の習慣をつけておこう

なお、自分のカードが不正利用されても、重大な落ち度がない限り詐取されたお金はカード会社が返金してくれる。しかし、その原資はよく言われる「保険」であることはきわめて少ない。多くの場合、不正利用された加盟店に対してチャージバック処理が行われる。

つまり、不正カードを使ってコンビニで買い物された場合、カード会社はそのコンビニに対して決済代金を支払わない。なぜなら、コンビニ側は「カード利用の際、きちんと本人確認を行ったのか」と問われると完全だったとはいえず、落ち度があるとされてしまうからだ。

もちろん、カード会社に対して抗弁はできる。しかし多くの場合、不正カードで買い物されてしまった加盟店が泣きを見ることになるのだ。これはかなり酷な話である。

フィッシング詐欺の出発点は、本人がうっかり犯人にカード情報を伝えてしまうところから始まる。最終的に本人の金銭的被害は賄われることが多いとは言え、たくさんの人に迷惑をかけ、たくさんの人が涙を飲むことになる。巧妙な詐欺の誘い文句に騙されてしまうことは仕方のない部分はあるが、できる対策をし、予防する習慣を身につけておきたい。それが自分やカード加盟店契約者を守ることにもなるのだ。