クレジットカードの不正利用被害が、増加の一途をたどっている。いわゆる「フィッシング詐欺」だけでなく、最近は「クロスサイトスクリプティング」という手口が増えているようだ。
このような被害を避けるには、クレジットカードをApple Pay経由で使うことが効果的である。
では、なぜApple Pay経由なら安全に決済できるのか。これが今回の疑問だ。
※この記事は『Mac Fan 2023年9月号』に掲載されたものです。
急増するクレジットカードの不正利用。詐欺被害の9割は番号の“盗み見”によるもの
クレジットカードの不正利用が止まらない。一般社団法人日本クレジット協会の統計によると、2022年のクレジットカード不正利用被害額は436.7億円で、過去最高となった。
コロナ禍に入って増加傾向はいったん収まったものの、経済活動が活発になるとともに急増。かつてない伸び率を示している。キャッシュレス決済が促進され、クレジットカードの利用が広がっていることとの関連性を疑うのが当然だ。
その被害の94.3%はクレジットカードの番号盗用被害で、被害額は411.7億円になる。カードの番号やセキュリティコードを店舗のレジなどで盗み見て、ECサイトなどで利用するというシンプルな犯行だ。一般にもよく知られるフィッシング詐欺もなくなったわけではないが、現在流行しているのは「クロスサイトスクリプティング(XSS)」という実に巧妙な手口だ。
「クロスサイトスクリプティング(XSS)」の手口とは? 確実に防ぐにはApple Payを活用したい
クロスサイトスクリプティング(XSS)は、ECサイトの脆弱性を突いてスクリプト(プログラム)を送り込むことから始まる。送り込むのは、偽装したカード情報入力画面にユーザを誘導するスクリプトだ。
ECで商品を選んで支払いボタンを押すと、はじめて購入する場合はカード情報の入力画面が表示される。犯罪集団は、このカード情報入力画面とそっくりな偽ページを用意し、そちらにカード情報を入力させるというわけだ。入力が終わると正規のECに戻るため、ユーザが不信感を覚えることはない。
この手口が巧妙な点は、入力されたカード情報を正規のEC側にも転送するところだ。それによりEC側でも正常に決済が行われるため、店舗側もなかなか被害に気付けない。
このようにして収集されたカード番号は、別のECでの不正利用や取り込み詐欺などに使われる。すると、「こんなECで買い物をした覚えがない」という相談がユーザからカード会社に届く。そして、そこで行われる調査によってようやく、ECサイトがクロスサイトスクリプティング(XSS)の被害に遭っていると判明するのだ。
残念ながら、現在はクロスサイトスクリプティング(XSS)を確実に防ぐ方法はない。ただし、Apple Payを利用すればこのような被害に遭わずに済むだろう。
クレジットカードの“2つの誤解”。番号の盗用被害の多くは日本で起こっている?
皆さんにぜひ知っておいていただきたい、クレジットカードに関する2つの誤解がある。ひとつは「海外でカードを使うのは危険(国内は安全)」というもの。もうひとつは「不正利用にあっても保険で充当される」というものだ。
日本クレジット協会の統計によると、国内加盟店の番号盗用被害額は314.4億円で、全体の76.4%にもなる。そして、盗まれたカード番号が海外で利用される例は23.6%しかない。
つまり、ほとんどは日本で発行されたカードが国内で被害にあい、国内で不正利用されていると考えられるのだ。しかも、被害額、国内比率ともに上昇を続けているため、日本はもはやカード安全国ではないと言っていいだろう。
保険についても、カード会社がそのような保険に加入しているのは事実だが、その保険が適用されるケースは非常に少ない。しかも、ほとんどはチャージバック(売上の取消)で処理される。つまり、EC側が泣きを見ることで消費者の被害を補填しているのだ。
クロスサイトスクリプティング(XSS)が生む2種類の被害者。利用者よりもECサイト側に大きなダメージが
クロスサイトスクリプティング(XSS)という手口では、2種類の被害者が生まれる。ひとつはXXSを仕掛けられ、カード番号を流出させてしまったECだ。もうひとつは、流出したカード番号で取り込み詐欺をされてしまったECだ。
カード番号を流出したECサイトが被る被害
カード番号を流出したECは、調査して消費者に説明する責任がある。この調査は高度な専門知識をもつ第三機関に行ってもらう必要があり、規模にもよるが数百万円の調査費用がかかる。さらに、カードの再発行費用を負担しなければならない(1枚数千円)。
また、被害対応のコールセンターを特設する必要がある。そして多くの場合、決済用のプログラムを破棄し、再構築しなくてはならない。当然ながら、解決するまでの半年から1年間はカード決済を受け入れられず、売上はほぼゼロだ。
規模にもよるが、被害額は小さくても数百万円、場合によっては億単位になりかねない。小規模な小売業の場合、廃業を考える事態だろう。
不正なカードを使われたECサイトが被る被害
不正なカードを使われたECがどうなるかというと、チャージバックされる。つまり、カード会社が売上の振込を拒否するのだ。EC側はその処置に対し抗弁できるが、「本人確認を厳密に行ったのか」という点が問題になり、その証明には非常に手間がかかる。そのため、多くのECが泣き寝入りしてしまう。
犯罪集団もその心理をよく知っており、不正利用をする際は買い物する店舗を分散させ、一店舗あたりの金額があまり大きくならないようにしているのだ。
「万が一のことがあっても保険で充当される」というのは間違いではなく、カード利用者が被害を受けることは少ない。しかし、その裏で多くの人が泣いているという事実は、カード利用者もきちんと知っておくべきだろう。
なぜApple Payの利用がクロスサイトスクリプティング(XSS)の対策になるのか
では、私たちにできることは何だろうか。それは、積極的にApple Payを利用することだ。
Apple Payは、利用者の利便性を追求した非常に使いやすいサービスであるのはもちろん、このようなカード決済が抱える課題を解決する設計になっている。だからこそ、Appleに手数料を取られるのを承知で多くのカード会社が参加しているのだ。
Apple Payの詳しい仕組みについては、Appleの特設サイトをご参照いただきたい。要点だけまとめると、登録するとカード番号ではなくまったく別のトークン番号が発行され、それを使って決済をしている。このトークン番号は正当なプロトコルの中でしか機能しないため、手入力で利用することはできない。だから、流出したとしても悪人が利用する手段がないのだ。
しかも、Apple Payにカードを登録しても、カード番号の下4桁以外は記録されない。その証拠に、iPhone内のどこを探してもカード番号は見つからないはずだ。ないのだから流出しようがない。
カード番号の下4桁だけはデバイス上に表示されるが、使っているカードがどれなのか、ユーザ自身が混乱しないための配慮だろう。
Apple Payを迷わず使おう。ただし、対応するECサイトやアプリはまだ少ないのが実情
日本国内におけるApple Payは、クレジットカードを利用する場合QUICPayまたはiDの電子マネーを経由する方式だ。これも、カード番号を渡さずに電子マネーのトークン番号で決済する方式なので安全性が高い。
また、iPhone上に表示されるカードに、「VISA」「Mastercard」といったカードブランドのロゴがある場合、iPhoneでNFCタッチ決済が利用できる。やり方は簡単で、店舗のレジで「クレジットカードのタッチ決済で」と伝え、カードを表示したiPhoneを決済端末にタッチするだけだ。
プラスチックカード自体がタッチ決済に対応していなくても、Apple Payなら利用できることもあるので、まずは登録してみることをおすすめする。
残念なのは、オンラインではまだまだApple Payに対応したECやアプリが少ないことだ。とはいえ、Apple Payが利用できるシーンで優先的に利用することで、決済にまつわるリスクを大きく下げることができる。
おすすめの記事
著者プロフィール
牧野武文
フリーライター/ITジャーナリスト。ITビジネスやテクノロジーについて、消費者や生活者の視点からやさしく解説することに定評がある。IT関連書を中心に「玩具」「ゲーム」「文学」など、さまざまなジャンルの書籍を幅広く執筆。
![フリーアナウンサー・松澤ネキがアプリ開発に挑戦![設計編]【Claris FileMaker選手権 2025】](https://macfan.book.mynavi.jp/wp-content/uploads/2025/06/C5A1875_test-256x192.jpg)