クレジットカードを不正利用された。「不正検知システム」の連絡からカード停止・再発行までの流れ。

クレジットカードを不正利用された。

結局カード会社(アメックス)が決済を保留してくれていたため防止できたが、改めてクレジットカードのセキュリティについて考えさせられた。

世の中、「カード番号と有効期限」だけで決済できるオンラインショップが、結構ある。

一方、世界では日夜、いろんな会社のシステムからカード番号と有効期限が、ウィルスやらマルウェア等の被害で流出している。

こうして、カード保有者に落ち度はなくとも、いきなりカード不正利用の被害に直面することになる。

あまりにも、イージー。

それを水際で止められるのは、たぶん不正検知システムだけなのか?

「カード番号と有効期限」だけで決済?

オンラインショッピングでは、カード番号・有効期限・氏名があれば決済できてしまう。

これらの情報は磁気情報に含まれることから、クレカをスキミングされた場合はヤバい。

また、カード情報を保存した店舗側のシステムが、ハッキングされて情報流出した場合もアウト。

クレカを落として紛失してもアウト。

間違えてカード券面の写真をネットにのせてしまってもアウト。

よくよく考えたら、カード番号と有効期限だけで決済できるとか、すごいコトだよな・・・。


そのためオンライン決済では、追加で「セキュリティ・コード」や「3Dセキュア」などの認証が必要なことが多い。

ただし。

これらの追加認証がどこまで必要かは、店舗側での判断/決済システムの対応次第になっている。

実際のところ、「カード番号+有効期限」だけで決済できるEC店舗は、結構あるらしい。

近年、ネット取引(EC)におけるなりすまし等による不正使用被害が急増。

※不正使用被害額(2015年120億円)の約6割はECにおける不正使用に起因。

なりすましにより不正使用されやすい「カード番号+有効期限」のみで決済可能なEC加盟店が多数存在。

クレジット取引セキュリティ対策協議会 実行計画(日本クレジット協会)

上記資料以外にも、昔から散々「カード番号+有効期限だけで決済するのはヤメロ」という業界の取り組みがあるようだ、なかなか進んでいない模様。


セキュリティ・コード

「セキュリティ・コード」は「カード番号」とは別に入力が求められることがある数字で、カード券面に記載されている。

VISA/MASTERは3桁、アメックスは4桁の数字。

セキュリティコード – Wikipedia



クレジットカードのセキュリティコードの確認方法

この「セキュリティ・コード」はカードの磁気情報に含まれないので、スキミングされても漏洩することはない。

また、「セキュリティ・コード」はデータベースに保存することが禁止されているので、システムから流出することもない。

(その代わり、毎回入力が必要になる)

とはいえ、結局「番号」はカード券面に記載されている。

クレカを落として誰か悪い人間に拾われてしまったら、不正利用されてしまう。

カード番号・有効期限・氏名・セキュリティコードは、全てカード券面に記載されているのだ。

こうした弱点を補って、カード券面には記載されていない情報で「本人確認」をするためのセキュリティとして、「3Dセキュア」というのがある。


3Dセキュア

3Dセキュアは、カード券面には記載されない情報で「本人確認」をする。

具体的には、パスワードを使う。

3Dセキュア – Wikipedia

オンラインショップでの買い物時、カード番号等の入力の後で求められるパスワードである。

VISAの場合は、WEB(Vpass)アカウントのパスワードが求められる。

VISA「VISA認証サービス」

JCBも同じように、WEB(MyJCB)アカウントのパスワードを使う。

インターネットショッピング本人認証サービス「J/Secure

アメックスの場合は「SafeKey」というワンタイムパスワードを発行する。

カード所有者のメールドレスにワンタイムパスワードを送付し、それを10分以内に画面上で打ち込まないと決済が完了しない。

AMERICAN EXPRESS SafeKey


不正検知システム

上記以外にも最後の砦として、カード会社の「不正検知システム」がある。

これが結構デカくて、自分も今回はコレに救われた形。

「不正検知システム」は不審な利用のパターン認識等、問題がありそうな決済があれば保留してアラートをあげる。

そのアラートを契機に、コールセンターからユーザーに連絡などを行ったり、メールで「この決済は本当にしましたか?」と知らせる形。

この不正検知システムは色んな会社が開発しているようで、どのカード会社がどのシステムを導入しているかは知らない。

アメックスは100%子会社の「Accertify」を抱えていたり、自社開発をしているトコロもあるかもしれない。

最近では、A.I.による「ディープラーニングでの不正検知」という取り組みもあるようで、今後ますます精度があがっていきそうだ。

「カード不正利用」の検知精度、深層学習で劇的向上 :日本経済新聞


今回、不正利用された時の状況

自分が最近「不正利用」されたクレカは、「SPGアメックス」

結局、アメックスが決済を不審に思って差し止めておいてくれたおかげで、被害に遭わずに済んだ。

グッジョブ、不正検知システム。

具体的にみてみる。

まず某日、アメックスから3Dセキュア「SafeKey」のワンタイムパスワードがメールで届いた。

誰かが当方のクレカでオンライン・ショッピングしようとしたところ、そのお店が運良く3Dセキュアに対応していたらしい。

このメールに記載されたワンタイムパスワードを入力しないと、決済は完了しない。

メールには「決済に見覚えがなければ電話をください」とある。

当方、まったく見覚えがないので、早速アメックスに電話した。

しかし電話で「身に覚えがないワンタイムパスワードがきた」と言っても、サポート側では状況を把握できないようだった。

ワンタイムパスワードの入力が完了しなかった場合、コールセンターが確認できるログにも情報が残らないとのこと。

(ログには残ると思うが、コールセンターが覗けるログには表示されないのだと思われる)

そのため、こっちが「こういうメールがきた」といっても、コールセンター側では「そうでございましたか」で終わってしまう。

まぁ、しょうがない。

ただ、とりあえず直近の決済履歴を確認してくれて、「特に問題なさそうですね」ということになった。

個人的には「不正利用」もしくは「ワンタイムパスワード発行メールの不具合」だと思っていたが、特に結論も出ず。

しかし翌日、別のメールがアメックスからきた。

件名もズバリ、「カードご利用確認のお願い」

カードの不正使用防止および早期発見のため、カード会員様のご利用記録を定期的に確認させていただいております。

次のご利用内容にお心あたりはございますか?

扱いは「アメックス 監理課」とあるが、たぶん不正検知システムでひっかかったのかな、と。

「カード決済が完了しておりません」とあり、保留処分になっている。

前日のワンタイムパスワードで失敗した犯人が、今度は「カード番号と有効期限」だけで決済できる店舗を探して、決済したのかもしれない。

内容は、「某店で○万円の買い物がなされた」というもの。

5万円オーバーで、明らかに自分が使っていないと分かる決済だった。

その店舗では買い物はしたことはないが、かなり有名なショップなので「買い物しててもおかしくない」という感じ。

「不正検知システム、よく気付いたな」という。

「前日のワンタイムパスワード失敗」



「翌日、カード番号と有効期限だけで決済可能な店で、高額な買い物(自分は買い物したことない)」

というコンボで、不正利用検知のパターン認識にハマったんじゃなかろうか・・・。


この「カードご利用確認のお願い」メールでは、「自分は利用した覚えがない」とそのまま回答可能。

ただ不安だったので、一応アメックスの監理課に電話した。

監理課の方では、本件の決済は「不正利用の疑いがあったから、決済を保留にしていた」とのこと。

メールで「自分ではない」と回答した時点で、決済は却下してくれたらしい。

ついでなので、最近の決済で怪しいのがあるか、いくつか確認してくれた。

他は特に問題なかった。


ちなみに、「なりすましで買い物してきた人間のIPアドレスが分かるなら知りたい」と質問したところ、そこまでは分からないようだった。

IPアドレスをもとに店舗側に情報開示請求して、商品の送付先に指定している住所とかを聞けるかな?と。

未然防止しちゃったので、実際に開示請求できるかはかなり微妙というか無理な気がするが、少なくともIPから何か分かるかもしれないし。

(ただまぁよく考えたら、VISA/JCBの3Dセキュアでない限り、カード会社への通信は店舗側からだろうから、IPはとれないだろうけど)


全般的にアメックス監理課の対応は、非常に丁寧・親切だった。

他のカード会社の対応を体験したことないので比較できないけど、個人的には満足というか、いい感じだった。

さすがアメックス。


不正利用されたらカード再発行

アメックスに電話した際に、「カード情報がどこかから流出した恐れがあるので、カードを停止します」とも言われた。

即座に停止である。

カード再発行には2週間必要で、再発行後のカード番号は変更になる。

公共料金の支払い関係はアメックスで変更してくれるとのことだった。

ただし、Amazonや楽天などショップに登録してるカード番号は、自分で変更する必要がある。

いろいろ面倒だが、しょうがない。


カード番号が流出した原因を探す

しかし結局のところ、なぜ自分のカード情報が流出したのか?

アメックスのニュースリリースに、気になる話があった。

ホテルグループのIHG(アメリカ地域)が、マルウェアによって情報漏洩したらしい。

つい最近。

2017年9月5日

このたび、米国ホテルグループInterContinental Hotels Groupより、「同店をご利用されたお客様のクレジットカード情報が外部に漏えいした可能性がある」との連絡がございました。

現在、弊社にて事実確認ならびに本件に起因する不審な売上の有無を調査中でございます。

https://www.americanexpress.com/jp/content/communication/2017/leaking-info.html

IHG側のリリースはコチラ。

IHG Notifies Guests of Payment Card Incident at IHG-Branded Franchise Hotel Locations in the Americas Region | Hotel Online

漏洩したのはアメリカ・エリアのホテルとのこと。

ただ、自分が過去に北米やメキシコでIHGに泊まった際には、SPGアメックスは決済に使っていない。

つまり、自分は関係ないかもしれない。

とはいえIHGのことなので、

「アメリカ」云々は関係なく、流出しちゃってる可能性も・・・?

すげー、ありそう(笑


どうだろうな。


そんな感じ。

自分のメールアドレスやパスワードの流出を確認できる「have i been pwned?」。確認したら、流出しててガックシ。

クレジットカード カテゴリーの記事一覧 – やじり鳥

この記事を書いた人 Wrote this article

tonogata
TOP