クレジットカードを不正利用された。「不正検知システム」の連絡からカード停止・再発行までの流れ。
クレジットカードを不正利用された
クレジットカードを不正利用された。
結局カード会社(アメックス)が決済を保留してくれていたため防止できたが、改めてクレジットカードのセキュリティについて考えさせられた。
世の中、「カード番号と有効期限」だけで決済できるオンラインショップが、結構ある。
一方、世界では日夜、いろんな会社のシステムからカード番号と有効期限が、ウィルスやらマルウェア等の被害で流出している。
こうして、カード保有者に落ち度はなくとも、いきなりカード不正利用の被害に直面することになる。
あまりにも、イージー。
それを水際で止められるのは、たぶん不正検知システムだけなのか?
「カード番号と有効期限」だけで決済?
オンラインショッピングでは、カード番号・有効期限・氏名があれば決済できてしまう。
これらの情報は磁気情報に含まれることから、クレカをスキミングされた場合はヤバい。
また、カード情報を保存した店舗側のシステムが、ハッキングされて情報流出した場合もアウト。
クレカを落として紛失してもアウト。
間違えてカード券面の写真をネットにのせてしまってもアウト。
よくよく考えたら、カード番号と有効期限だけで決済できるとか、すごいコトだよな・・・。
そのためオンライン決済では、追加で「セキュリティ・コード」や「3Dセキュア」などの認証が必要なことが多い。
ただし。
これらの追加認証がどこまで必要かは、店舗側での判断/決済システムの対応次第になっている。
実際のところ、「カード番号+有効期限」だけで決済できるEC店舗は、結構あるらしい。
近年、ネット取引(EC)におけるなりすまし等による不正使用被害が急増。
※不正使用被害額(2015年120億円)の約6割はECにおける不正使用に起因。
なりすましにより不正使用されやすい「カード番号+有効期限」のみで決済可能なEC加盟店が多数存在。
クレジット取引セキュリティ対策協議会 実行計画(日本クレジット協会)
上記資料以外にも、昔から散々「カード番号+有効期限だけで決済するのはヤメロ」という業界の取り組みがあるようだ、なかなか進んでいない模様。
セキュリティ・コード
「セキュリティ・コード」は「カード番号」とは別に入力が求められることがある数字で、カード券面に記載されている。
VISA/MASTERは3桁、アメックスは4桁の数字。
セキュリティコード – Wikipedia
この「セキュリティ・コード」はカードの磁気情報に含まれないので、スキミングされても漏洩することはない。
また、「セキュリティ・コード」はデータベースに保存することが禁止されているので、システムから流出することもない。
(その代わり、毎回入力が必要になる)
とはいえ、結局「番号」はカード券面に記載されている。
クレカを落として誰か悪い人間に拾われてしまったら、不正利用されてしまう。
カード番号・有効期限・氏名・セキュリティコードは、全てカード券面に記載されているのだ。
こうした弱点を補って、カード券面には記載されていない情報で「本人確認」をするためのセキュリティとして、「3Dセキュア」というのがある。
3Dセキュア
3Dセキュアは、カード券面には記載されない情報で「本人確認」をする。
具体的には、パスワードを使う。
3Dセキュア – Wikipedia
オンラインショップでの買い物時、カード番号等の入力の後で求められるパスワードである。
VISAの場合は、WEB(Vpass)アカウントのパスワードが求められる。
VISA「VISA認証サービス」
JCBも同じように、WEB(MyJCB)アカウントのパスワードを使う。
インターネットショッピング本人認証サービス「J/Secure
アメックスの場合は「SafeKey」というワンタイムパスワードを発行する。
カード所有者のメールドレスにワンタイムパスワードを送付し、それを10分以内に画面上で打ち込まないと決済が完了しない。
AMERICAN EXPRESS SafeKey
不正検知システム
上記以外にも最後の砦として、カード会社の「不正検知システム」がある。
これが結構デカくて、自分も今回はコレに救われた形。
「不正検知システム」は不審な利用のパターン認識等、問題がありそうな決済があれば保留してアラートをあげる。
そのアラートを契機に、コールセンターからユーザーに連絡などを行ったり、メールで「この決済は本当にしましたか?」と知らせる形。
この不正検知システムは色んな会社が開発しているようで、どのカード会社がどのシステムを導入しているかは知らない。
アメックスは100%子会社の「Accertify」を抱えていたり、自社開発をしているトコロもあるかもしれない。
最近では、A.I.による「ディープラーニングでの不正検知」という取り組みもあるようで、今後ますます精度があがっていきそうだ。
「カード不正利用」の検知精度、深層学習で劇的向上 :日本経済新聞
今回、不正利用された時の状況
自分が最近「不正利用」されたクレカは、「SPGアメックス」。
結局、アメックスが決済を不審に思って差し止めておいてくれたおかげで、被害に遭わずに済んだ。
グッジョブ、不正検知システム。
具体的にみてみる。
まず某日、アメックスから3Dセキュア「SafeKey」のワンタイムパスワードがメールで届いた。
誰かが当方のクレカでオンライン・ショッピングしようとしたところ、そのお店が運良く3Dセキュアに対応していたらしい。
このメールに記載されたワンタイムパスワードを入力しないと、決済は完了しない。
メールには「決済に見覚えがなければ電話をください」とある。
当方、まったく見覚えがないので、早速アメックスに電話した。
しかし電話で「身に覚えがないワンタイムパスワードがきた」と言っても、サポート側では状況を把握できないようだった。
ワンタイムパスワードの入力が完了しなかった場合、コールセンターが確認できるログにも情報が残らないとのこと。
(ログには残ると思うが、コールセンターが覗けるログには表示されないのだと思われる)
そのため、こっちが「こういうメールがきた」といっても、コールセンター側では「そうでございましたか」で終わってしまう。
まぁ、しょうがない。
ただ、とりあえず直近の決済履歴を確認してくれて、「特に問題なさそうですね」ということになった。
個人的には「不正利用」もしくは「ワンタイムパスワード発行メールの不具合」だと思っていたが、特に結論も出ず。
しかし翌日、別のメールがアメックスからきた。
件名もズバリ、「カードご利用確認のお願い」。
カードの不正使用防止および早期発見のため、カード会員様のご利用記録を定期的に確認させていただいております。
次のご利用内容にお心あたりはございますか?
扱いは「アメックス 監理課」とあるが、たぶん不正検知システムでひっかかったのかな、と。
「カード決済が完了しておりません」とあり、保留処分になっている。
前日のワンタイムパスワードで失敗した犯人が、今度は「カード番号と有効期限」だけで決済できる店舗を探して、決済したのかもしれない。
内容は、「某店で○万円の買い物がなされた」というもの。
5万円オーバーで、明らかに自分が使っていないと分かる決済だった。
その店舗では買い物はしたことはないが、かなり有名なショップなので「買い物しててもおかしくない」という感じ。
「不正検知システム、よく気付いたな」という。
「前日のワンタイムパスワード失敗」
↓
「翌日、カード番号と有効期限だけで決済可能な店で、高額な買い物(自分は買い物したことない)」
というコンボで、不正利用検知のパターン認識にハマったんじゃなかろうか・・・。
この「カードご利用確認のお願い」メールでは、「自分は利用した覚えがない」とそのまま回答可能。
ただ不安だったので、一応アメックスの監理課に電話した。
監理課の方では、本件の決済は「不正利用の疑いがあったから、決済を保留にしていた」とのこと。
メールで「自分ではない」と回答した時点で、決済は却下してくれたらしい。
ついでなので、最近の決済で怪しいのがあるか、いくつか確認してくれた。
他は特に問題なかった。
ちなみに、「なりすましで買い物してきた人間のIPアドレスが分かるなら知りたい」と質問したところ、そこまでは分からないようだった。
IPアドレスをもとに店舗側に情報開示請求して、商品の送付先に指定している住所とかを聞けるかな?と。
未然防止しちゃったので、実際に開示請求できるかはかなり微妙というか無理な気がするが、少なくともIPから何か分かるかもしれないし。
(ただまぁよく考えたら、VISA/JCBの3Dセキュアでない限り、カード会社への通信は店舗側からだろうから、IPはとれないだろうけど)
全般的にアメックス監理課の対応は、非常に丁寧・親切だった。
他のカード会社の対応を体験したことないので比較できないけど、個人的には満足というか、いい感じだった。
さすがアメックス。
不正利用されたらカード再発行
アメックスに電話した際に、「カード情報がどこかから流出した恐れがあるので、カードを停止します」とも言われた。
即座に停止である。
カード再発行には2週間必要で、再発行後のカード番号は変更になる。
公共料金の支払い関係はアメックスで変更してくれるとのことだった。
ただし、Amazonや楽天などショップに登録してるカード番号は、自分で変更する必要がある。
いろいろ面倒だが、しょうがない。
カード番号が流出した原因を探す
しかし結局のところ、なぜ自分のカード情報が流出したのか?
アメックスのニュースリリースに、気になる話があった。
ホテルグループのIHG(アメリカ地域)が、マルウェアによって情報漏洩したらしい。
つい最近。
2017年9月5日
このたび、米国ホテルグループInterContinental Hotels Groupより、「同店をご利用されたお客様のクレジットカード情報が外部に漏えいした可能性がある」との連絡がございました。
現在、弊社にて事実確認ならびに本件に起因する不審な売上の有無を調査中でございます。
https://www.americanexpress.com/jp/content/communication/2017/leaking-info.html
IHG側のリリースはコチラ。
IHG Notifies Guests of Payment Card Incident at IHG-Branded Franchise Hotel Locations in the Americas Region | Hotel Online
漏洩したのはアメリカ・エリアのホテルとのこと。
ただ、自分が過去に北米やメキシコでIHGに泊まった際には、SPGアメックスは決済に使っていない。
つまり、自分は関係ないかもしれない。
とはいえIHGのことなので、
「アメリカ」云々は関係なく、流出しちゃってる可能性も・・・?
すげー、ありそう(笑
どうだろうな。
そんな感じ。
一昨年はヒルトンでカード情報が流出し、対象期間に宿泊したとのことで、私もダイナースカードの番号変更と再発行を余儀なくされました。
不正使用等は特に無かったですが、最初に情報流出が報道された後、ダイナースから連絡があったのが4ヶ月くらい後で、宿泊期間までさかのぼって過去1年近くのビルをチェックするのが大変でした。迷惑な話だし、早くダイナースからアナウンスが直接欲しかったです。
そのときの犯人は中国籍の偽造グループで、偽造カードで実店舗で数千万の買い物をしたようです。
自分はそっち関連でお仕事してるので、
仕組みは知ってるのですが、口外できず(・x・)
まぁ気づかれてよかったですね
いくらシステムといえど小額決済だと気づけない場合もあったりします
どもども。
> ルカさん
ホテル系は、なにげにカード番号の流出が目立ちますよね。
たぶん各社ともシステムがボロいんでしょうね・・・。航空会社とかより。
その分、キャンペーン登録とかも統制がとれてなくて、面白味がありますが(笑
しかし長期間の決済を確認しないといけないのは辛いですね。。。
カード会社とか店舗側(ホテルとか)の情報共有の早さは、重要だよなぁと思います。
> 千葉県民さん
おぉ、そちら系のお仕事でしたが。なかなか業界話が面白そうな系統ですね。お金が絡むだけに。
確かに不正検知システムでも、小額だとスルーされそうですね。
自分の場合、基本的には毎日、決済にあがってきたのはマネーフォワードのアプリでチェックしてたりするので、自分の方で気づけるかもしれませんが、まぁ、気づかないこともありえるよなぁ、と。
無料wifiも怪しくないですか!?
VPNでの運用が必須と思います。
すでに対策されていたらスミマセン
住友VISA(ANAカード)で、3年ぐらい前に2度経験があります。
2度目は、1度目に交換したカードを使いはじめて3カ月以内。
この段階までで、使用実績のあった店は15軒程度だったのと、そのうち1軒は決済機械が店の2階にあるとカードを持って行ってしまった日本の店(新宿区須賀町1のワインダイニング)だったので、案外日本の店の方が怪しいかもしれません。
ご存じの通り、海外では無線端末でPIN入力形式が主流。それが無くてもレジ横に置いてある決済端末を使いますから、まさか四谷の店でと油断したのが失敗でした。
まあ、予約サイト(主にBooking.com利用)も怪しいといえば怪しいですけど。
相手は個人経営ですから、カード番号や属性情報はいくらでも入手できてしまいます。
おかげで、カード番号変更を2度もすることになりましたが、一番厄介だったのが航空券購入時のカード番号相違で搭乗拒否に合いそうな航空会社(SQ等)に連絡することでしたね。
その後は、不正使用被害にあっていませんが、海外から帰ってきた翌日と、月に1度はオンラインで決済情報を確認しています。2回とも、この作業で不正利用を発見した次第です。
海外のカードは自己負担らしいですけど、日本のクレジットカードは、決済日から1ヵ月強の間なら不正使用被害を補てんしてくれますからありがたいです。
あと、予防策として、絶対に通販や予約サイトにカード情報を登録しないようにしています。
最近は知りませんが、ビックカメラのように登録情報を消せないサイトは論外、アマゾンや楽天は、都度自動登録されてしまったカード情報を削除操作をしています。
最近は、カード情報を保存しない事が明示的に出来るサイトしか使わないようにしています。
ヨドバシとかIHGなんかは、その類ですので安心です。
どもども。
> tokioさん
通信も微妙ですよね。
海外の安いホテルのwifiを使うことがあるので、どっちかっていうとそこら辺が怪しいですが(笑
VPNは最近導入を検討してますが、ちょっと時間がなくて。。。
> Rさん
いつも思うんですが、あの「カードを奥に持っていって決済」っていう、微妙ですよね。百貨店でもセール時だとそういうことがありますが。
あれで、カード番号からセキュリティ・コードまで、メモり放題ですし。
まぁ百貨店についてはそこまで疑ってはないですが、クレカの仕組みって危うすぎるな、と思う次第。
「航空券購入時のカード番号相違」、これが怖いですね。
アメックスにきいたら、多分大丈夫ですが念のため古いカードも持っていってください。カードは使えないですが、端末には通さずカード番号みれば納得してくれると思います、ということでした。。。
支払う箇所も気をつけたいですが、結局の所は「水際対応がしっかりしているカードを使う」と思ってます。有名どころのゴールド・プラチナカードなら、しっかりケアしてくれるかな?と思っちゃいますね。。。
いつも旅行情報のみならず多方面の有益な情報、ありがとうございます。
先日私も実体験しましたので記載させていただきます。
やじり鳥さまブログで、この案件についての流れを知っていたので
慌てること無く対応できました。御礼申し上げます。
_ _ _ _ _ _
オペレーションセンター セキュリティのお姉さんから
自宅の固定電話に架電あり。
お:「先ほどU.S.A.の○○でクレジットカードをご使用に
なりましたか?」
私:「いいえ、日本に在宅ですので」
お:「どなたかのご使用は?」
私:「それもありません」
お:「実は先ほど日本円で約○3万円の決済があり不正利用
監視にヒットしましたので・・・」
私:「“先ほど”というのは日本時間ですか」
お:「はい、○時××分で、つい先ほど(10分弱前)のことです」
といった感じで簡単な質問と説明がありました。
そして本日の午後に改めて架電したいが都合はどうか?
と聞かれました。
午後の電話では、
カード使用履歴を調査した結果、不自然なのは、
・○月×日、EU某国△の会員登録サイトにEU某国△国内から
アクセスして会員登録。その時にクレジットカード情報が入力
されている。(登録だけで決済は発生していない。
∴web明細にはあがらない=カード所有者等には気付かれ無い。)
ここがおかしい。
恐らくここでクレジットカードの有効性を確認し、
本日(満を持して)使用に至ったと思われる、とのことでした。
本日の不正使用の流れは、
・○月△日、EU某国△で登録されてから10日程経過した本日、
U.S.A.の○○で、まず1米国ドルが決済された後、
日本円で約○3万円の決済。その直後、再び先と同額が決済
されようとしたので不正使用監視にヒットして利用を止めた。
現在クレジットカードの利用は不可となっている。
というものでした。
被害額は、1米国ドル強+日本円で約○3万円です。
この説明の後、直近海外渡航時の時期とその時
クレジットカードを手元から離したことの有無、
何か不審に感じた事等が聞き取りされました。
フランスの会員登録サイトに登録された○月×日以前で、
この日に最も近い渡航先は?と訪ねられた時、
私:「その条件だと先月末の△△です」と返答したら即座に
お:「それです!」と。。。
先月末に渡航した△△でスキミングされ偽造カードを作成、
U.S.A.で使用された疑いが濃い、とのことでした。
少し不可解なのは先月末に渡航した△△では、空港到着後
ホテルの送迎車でホテルに入り、その後はcheck-outまで
ホテル内で過ごしていて外に出ることなど無かったことです。
偽造使用されたクレジットカードの利用も、ホテル決済は
他のクレジットカードを使用しており、管理も常に手元に
所持していて財布から出すことすら無かったのですが・・・??
結局、私の方でクレジットカード会社へ提出するものは、
・申立書(偽造カード)
・DISPUTE LETTER(異議申立書)
・カード回収用紙
(証拠品として当局に提出することが有るかも知れないため)
となるとのことで、上記書類の提出協力の依頼がありました。
その後に聞かれたのは
お:「再発行時にはカード番号は変更となりますが、
再発行をご希望なさいますでしょうか?」
でした。
私が「再発行をお願いします」と返答した時、
電話口の向こうから安堵した様子が明確に伝わってきました。
クレジットカード会社としては、事件をきっかけに退会と
なってしまうこと、これだけは避けたいと考えていたのかな、
と思いました。
最後に、再発行されるクレジットカードの発送方法と
私の手元に到着する日(書類の返送は未だなのに
再発行カードの到着日は決定していた)が案内され、
再度、受け取りのお願いをされて電話は終わりました。
ICチップの搭載で飛躍的にセキュリティが向上した、
と言われていたのは今は昔となりました。
今回のケースは、オペレーションセンターが発見、停止して
くれたことで、以降の被害は防げたのですが、カード会員
としては、明細の確認を一層厳格にしなければならないと
思います。
これが私のつい先日の実体験です。
長文となってしまい申し訳ございません。
皆様もご用心下さいませ。
追伸
オペレーションセンター セキュリティのお姉さんから
補足としてお伺いしたお話しも記しておきます。
お:「先月末の△△滞在時、財布に他にもクレジットカードが
ございましたか?」
私:「はい、何枚か」
お:「これは会員様のご判断となりますが、このような場合、
他のクレジットカードも同様にスキミング被害を受けて
いるケースが多いです。あくまで会員様のご判断と
なりますが、他のクレジットカード会社さまへ、私ども
とのやり取りをお話しいただいて構いませんので、
“このような事案が発生した”とご連絡なさって
おいた方がよろしいかと思います。」
私:「わかりました。丁重なご対応ありがとうございました。」
クレジットカードは必携ですが、何かが起こった時は大変だ、
ということを痛感しました。
_ _ _ _ _ _ _
どもども。
>H”さん
対応お疲れ様でした。なかなか大変でしたね。。。
しかし会員登録でクレカの有効性だけを先行確認するとか、なかなかやり口が洗練されてますね。
クレカの再発行については、オペレーターとしては退会も避けたいところと思いますが、他にも「使う予定があるから、もう少しだけ使わせてくれ」とか「カード番号は絶対に変えたくない。番号そのままで再発行して」とか、色んなことを言われそうです(笑
シンプルに再発行OKだと、安堵するでしょうね。。。