8月下旬、筆者の知人がキャッシュレス決済の不正利用被害に遭った。本連載のテーマにぴったりの内容だったので、ナイスタイミングと言っては不謹慎だが、被害の顛末を見てみよう。嘘のような本当の話である。

クレジットカードの不正利用に気付くまで

まず、彼女は「盗聴ハンター」としてテレビにも出演し、届け出をだしたうえで探偵業も営むセキュリティのプロだ。犯罪防止に寄与した人を表彰する作田明賞(第9回)の優秀賞を最年少で受賞した実績もある。

「ミイラ取りがミイラになる」とはちょっと違うが、少なくとも「医者の不養生」に似た失態ではある。まったく…… と呆れそうになったものの、事件の概要を聞くと、決して他人事ではないことがわかる。事件の輪郭はこうだ。

(1) 8月某日、家族との韓国旅行初日、利用中のクレジットカード会社からの不在着信が残っていたことに気づく。彼女は「また何かのサービスの案内だろう」と思い、折り返さずに放置した。

(2) しかし韓国で買い物中、着信を寄越したクレジットカード会社のカードが使えなくなっていることが判明。おかしいと思いつつ、別のクレジットカードで買い物や食事を続けた。

(3) 使用できなったカードはアップルペイにも登録していた。「あの不在着信とカードが使えなくなったことは関係があるのかな」と気になっていたので、帰国後、試しにアップルペイでそのカードを使ってみると、今度はちゃんと使用することができた。

(4) しかし別の機会に再びクレジットカード本体で決済を試みたところ、またしても使えず。やはりおかしいと思い、ようやくカード会社に確認の電話を入れると、次の事実が発覚した。

(5) 韓国旅行初日、台湾で彼女のクレジットカード情報を使って何者かが3000円分のネットショッピングを実施。その1分後、今度はオーストラリアで彼女のクレジットカード情報を使って13万円分のネットショッピングが試みられたが、毎月の使用限度額をオーバーするため、決済エラーでショッピングは未遂に終わった。

(6) 海外での連続使用を不審に思ったカード会社は、本人に確認の電話をかけたが繋がず。それからまもなく、今度は韓国でクレジットカードが使用されようとしたため(これは本人によるもの)、カード会社は不正利用であると断定し、カードを一時停止した。

結局、被害を受けた原因は何だったのか

13万円の決済が未遂で終わったのは、毎月のカード限度額を20万円に設定していたことが功を奏した。すでに7万円分は使用していたので、被害は最初の3000円だけで済んだのだ。不幸中の幸いと言っていい。

もし、もう一方の生きていたカードが不正利用されていれば、そちらは限度額を200万円に設定していたので、もっと酷い目に遭っていたに違いない。

一体、なぜこんな被害に遭ったのか。おそらく「ハッキング」か「スキミング」だと思われる。

「ハッキング」は、何者かがパソコンやスマホへ不正アクセスし、個人情報やカード情報を抜き取ったのではないかというもの。「スキミング」はクレジットカードに記録されている情報を「スキマー」という機器で盗み取り、クレジットカードを偽造するなどして悪用する手口だ。レジやATMで狙われることが多く、彼女いわく「ハワイ旅行中にやられたかもしれない」とのことだ。

なぜアップルペイは使えた? 最悪の可能性も検討する

カード会社の迅速な対応は頼もしいが、カードが停まっていたのにアップルペイは普通に使えたというのは実に恐ろしい。

キャリアであるauに確認したところ、アップルペイは店などで使用した際に、元のクレジットカードが機能しているかどうかの「有効性確認」をカード会社に行わない。だからカードが停まっていても決済できたのだという。もちろん、いずれはアップルペイでもカードは使えなくなるが、停止までにはしばらくのタイムラグがあるということだ。

つまり、不正入手したクレジットカード情報をアップルペイなどのクイックペイを経由して使えば、しばらくの間はクレジットカードが停まっていてもカードを使い続ける猶予がある、ということになる。盲点である。

クレジットカード情報を悪用しようとすれば、まだまだ色んな方法があるに違いない。こうした犯罪の手口は、キャッシュレス決済で世の中が便利になるに連れてますます増えてゆくはずだ。

防止策はあるだろうか。完全な安全策などは、まず存在しないと思っていい。

できることと言えば、カードを利用するたびに通知メールがくるよう登録しておくこと、そして毎月の利用明細を必ず確認することはマスト。そしてこの被害女性のように、海外旅行中に使用するカードやネットで使う用のクレジットカードの使用限度額は20万円程度に下げておくことも有効である。

ちなみに、アップルペイでの不正利用は補償対象にはなるが、自作自演の可能性(不正利用と偽って知人に爆買してもらう等)もあるためそれなりの調査も入るし、手続きもとても手間がかかる。

今回の被害額は3000円だが、それさえカード会社が補償してくれるので、結果は無傷で済んだ。しかしこうした被害がすべて補償対象になるという保証もないし、補償対象期間は60日間という縛りもあるので、ゆめゆめ油断しないように。