「クレジットカードの不正利用はなぜ・どのように起こるの?」
「企業ができる対策は?」
など、クレジットカードの不正利用について疑問を持っていますよね。
カードの不正利用被害は年々増加していて、主にECなど非対面で決済できるweb上で発生しています。
そこで、自社の利益を守るためにもカード正について理解し、それに対応できる対策を講じていく必要があります。
この記事では、
- クレジットカードが不正利用される7つの原因・手口
- 自社のECサイトなどで不正にクレジットカードを使わせない方法
- クレジットカードの不正利用が発生した時の対処法
などを解説していきます。
本記事を一読し、カードの不正利用についての知識を身に着けて、いざという時にすぐに対応できるようにしましょう。
\かっこ株式会社調査まとめ!近年のクレカ不正とは?/ 
目次
クレジットカードの不正利用とは?
クレジットカードの不正利用とは、第三者がカード所有者本人になりすまして商品やサービスを購入することです。
カードを不正利用されるということは、金銭的被害は避けられません。
もしカードの不正利用をされてしまったら、被害に気付いた後の素早い対応が重要になってきます。
カードを不正利用された時の対処法は、以下の記事で紹介しています。
クレジットカードの不正利用は毎年増加している
クレジットカード・セキュリティガイドラインが策定された背景として、クレジットカード不正利用被害額が過去最高を増加し続けていることも関係しています。
クレジットカード不正利用被害額は増加し続けていて、2023年は過去最高の540.9億円の被害が発生しました。
中でも、クレジットカード番号盗用被害は全体の9割を占めていて、2023年は504.7億円の被害が発生しています。
以下は、クレジットカード番号盗用被害額の推移を表しているグラフです。
※参考:日本クレジット協会
クレジットカード不正利用被害額が過去最高を更新し続けている理由として、キャッシュレス決済を利用する人が増えていることもありますが、不正者の増加や不正手口の巧妙化によって簡易的なセキュリティ対策では突破されてしまうケースが多いからです。
クレジットカード・セキュリティガイドラインは、これらの不正からユーザーを守るためにも定期的に改訂され、EC事業者やカード会社に最善の対策を行うように求めています。
クレジットカードの情報はなぜどこから漏れる?
クレジットカードの不正利用が増え続けていることで、どこからカード情報が漏れてしまっているのか疑問を持つ方も多いでしょう。
カード情報が漏れてしまう原因として、
- 利用者がカードを紛失する・盗難される
- 利用者がカード情報入力中の他人にパソコン画面を盗み見される
- 利用者が詐欺サイトにカード情報を入力してしまう
- 企業やネットショップ(EC)が情報漏洩してしまう
などがあります。
基本的には利用者の些細なミスですが、企業やネットショップ(EC)が情報漏洩してしまい、カード情報が不正者に渡ってしまうということもあります。
企業側はクレジットカード情報を非保持化するなどで対策しておくことが望ましいです。
ECなどでクレジットカードが不正利用される7つの原因・手口
先ほどお伝えしたクレジットカードの不正利用被害額の93%は「番号盗用」によるもので、これを簡単に説明するとECなどの非対面でのカード決済、番号を記入して利用できる場所で不正利用されているということです。
そもそも、クレジットカード情報が利用者以外の人に情報が洩れていることが原因ですが、不正者は以下のような手口を利用しクレジットカード情報を集めています。
- フィッシング詐欺
- スキミング
- ネットショッピング詐欺
- 出会い系サイト詐欺
- なりすまし
- フリーWi-Fi
- ネットショップからの情報流出
まずは、クレジットカードが不正に利用される原因・手口について詳しく解説していきます。
①フィッシング詐欺
フィッシング詐欺とは、ネットユーザーから経済的価値がある個人情報などを奪うために行われる詐欺行為です。
よくある手口として、一般的に信頼されている金融機関や官公庁になりすましたメールを送り、偽のサイト(フィッシングサイト)に誘導して個人情報を入力させます。
フィッシング詐欺は「至急」「要確認」など不安を煽るような言葉を使って偽サイトに誘導し、カード情報などの個人情報を盗み取るのが特徴です。
また、偽のサイト(フィッシングサイト)は、本物そっくりに作られているため本物かどうか見極めるのは非常に難しいのでカード保有者は誤って情報を入力してしまいやすいです。
フィッシング詐欺の事例や被害に遭った時の対処法については、以下の記事で詳しく解説しているので参考にしてください。
②スキミング
スキミングとは、クレジットカード情報を読み取る「スキマー」という装置で、カードの磁気データを読み取って偽造カードにコピーする手口です。
スキミングの手法として、銀行ATMのカード挿入口にスキマーを取り付けて、カード情報を盗み取るといったものがあります。
また、ジムやスパなどでロッカー荒らし被害に遭い、そこでカードがスキミングされてしまうケースも発生しています。
※引用:JCB
最近のカードはICチップが搭載されて暗号化されていて、スキミングに対して高い防犯性があります。
ただ、店舗側が磁気決済を併用する関係で、カードに磁気ストライプが残っているとスキミングのリスクはゼロにはなりません。
③ネットショッピング詐欺
ネットショッピング詐欺とは、架空のショップサイトを立ち上げて架空の商品を販売する詐欺手口です。
全て架空であるため、カード決済をしても商品が届かず(または全く別の安価な商品が届く)、カード情報だけが流出してしまいます。
特に、「日本語表記がおかしい」「会社名や連絡先が架空のもの」「商品が相場よりも極端に安い」といったサイトは怪しいので、安易にカード決済をしないようにしましょう。
対策
ネットショッピング詐欺の対策として挙げられるのが、
- サイト自体の見た目、日本語表記が不自然なサイトでは購入しない
- 記載してある連絡先に繋がるか確認する
- 前払いだけでなくクレジットカード決済や代引きが可能か確認する
などです。
そもそもサイト自体の見た目に違和感があったり、日本語表記が不自然な場合は、外国人による詐欺行為の可能性が高いので商品購入はやめておきましょう。
そして、記載してある連絡先に繋がるかどうかもネットショッピング詐欺を見分けるポイントです。
連絡先や住所などの記載がない場合は、ネットショッピング詐欺の可能性が高いということを覚えておきましょう。
④出会い系サイト詐欺
出会い系サイト詐欺とは、出会い系サイトに登録させてクレジットカード決済でポイントを購入させる詐欺手口です。
このようなケースは、自らサイトを利用した負い目がある上、詐欺を立証することが難しいこともあり、泣き寝入りする被害者が多いです。
⑤なりすまし
なりすましとは、何らかの方法で入手した他人のIDとパスワードを利用しサービスにログインするといった行為のことを指します。
なりすましの主な目的は、サービスを不正に利用して、そのサービスに登録されている個人情報などを参照したりすることです。
なりすまし被害に遭うと、カード情報などの重要な個人情報が盗み取られ、不正注文されるなどの金銭的被害が発生します。
なりすまし対策として挙げられるのが、
- 多要素認証を導入する
- セキュリティソフトを導入する
などです。
多要素認証を導入すれば、たとえID・パスワードが流出しても、他の要素が揃っていない限りログインすることができません。
そして、セキュリティソフトを導入することで、なりすましだけではなく、あらゆる不正アクセスを未然に防ぐことができます。
ただし、セキュリティソフトは導入すれば終わりではなく、常に最新の状態を保つことが対策として重要です。
⑥セキュリティが不安定なフリーWi-Fi
セキュリティが不安定なフリーWi-Fiを悪用して、個人情報を抜き取る手口もあります。
フリーWi-Fiはセキュリティが脆弱であることが多く、ユーザーの情報が盗まれる危険性があります。
また、偽のアクセスポイントを設置して通信内容を盗み取るような悪質な手口も報告されています。
⑦ネットショップからの情報流出
ネットショップからの情報流出とは、ネットショップに不正アクセスすることで顧客の個人情報を盗み出す手口です。
不正アクセスは日々どこかで行われていて、不正アクセスによる顧客の個人情報が流出する事件も後を絶ちません。
ネットショップからの情報流出対策として挙げられるのが、
- 大手ネットショップでのみ商品を購入する
- クレジットカード情報を入力しない
などです。
例えば大手通販の楽天市場やAmazonでは、補償なども充実しているので比較的安心して買い物をすることができます。
もし、カード情報が流出するのが不安な場合は、代引きや後払いなどの決済方法を利用するようにしましょう。
過去に情報漏洩があった企業の安全性について知りたい方は、以下の記事で詳しく解説しているので参考にしてください。
【事業者向け】ECなどで不正にクレジットカードを利用させない4つの対策
ここからは「事業者向けにECなどで不正にクレジットカードを利用させない対策方法を紹介していきます。
事業者側は、クレジットカードの不正利用で商品を購入された場合、チャージバックという仕組みによって商品は返ってこないのに返金作業を行わなければいけなくなります。
しかもその際の返金は事業者が負担するのです。
そのため、事業者側は特にクレジットカードの不正利用で商品が注文されることを防がなければいけません。
主な対策方法は以下の4つです。
- 3Dセキュアを利用する
- セキュリティコードを利用する
- 配送先情報を蓄積しておく
- 不正注文検知システムを導入する
という4つの方法が挙げられます。
これは2018年に施行された改正割賦販売の内容を受け、クレジット取引セキュリティ対策協議会が公開した「実行計画2019」にも記載されています。
詳しく解説していきます。
対策1. 3Dセキュアを利用する
1つ目は3Dセキュアの利用です。
3Dセキュアとはカード会社が契約者に提供する本人認証の仕組みです。
決済に必要なクレジットカード番号や有効期限に加えて、契約時等に設定した独自パスワードも照合することで、本人確認を行います。
カードに記載されていない情報のため、紛失や情報の漏洩による不正注文の減少が見込めます。
また、3Dセキュアによる本人認証がなされた注文でチャージバックとなった際は、基本的にカード会社が売上・代金を負担します。
- カード利用者の本人確認がされている場合はカード会社
- 本人確認がされていない場合は加盟店
と前項で記載しましたが、ネットショップ(ECサイト)等の非対面決済では、3Dセキュアがこの本人確認にあたるため、不正注文の減少だけでなく、チャージバックによる費用負担リスクもなくせる対策となります。
ただし、本来の利用者がパスワードを覚えていない、別画面に遷移することによる心理的負担がある、といった理由から購入者が途中で購入をやめてしまう「カゴ落ち」発生のリスクが大きくなります。
また、3Dセキュアに対応していないカード会社も存在していることにも留意しましょう。
対策2. セキュリティコードを利用する
2つ目は券面認証(セキュリティコード)の導入です。
セキュリティコードとは、クレジットカードに記載されている3桁もしくは4桁の数字です。
このセキュリティコードに関しては購入者と事業者のそれぞれの視点から情報をまとめています。ぜひこちらもご覧ください。
カード番号や有効期限等の情報に加え、セキュリティコードでも認証を行います。
セキュリティコードはクレジットカードに記載されているため、確実に不正利用を防ぐ方法ではありませんが決済に必要な情報が増えることでセキュリティ精度は高まります。
対策3. 配送先情報を蓄積しておく
3つ目は配送先情報の蓄積です。
不正配送先情報を蓄積し、その情報と合致した場合には商品を送らないことで、不正注文の対策となります。
ただ、自社だけでの対策では限界があります。
前項の参考情報で記載した「O-PLUX」のように、不正な配送先情報を利用企業で共有して活用できる不正検知システムを入れれば一挙に解決が可能です。
\かっこ株式会社調査まとめ!近年のクレカ不正とは?/
対策4. 不正注文検知システムを導入する
最後は不正注文検知システムの導入です。
不正検知システムとは、
- 取引データ
- 統計分析
- 検知システムそれぞれのノウハウ
といった情報から、決済を行う前に危険性を判断するシステムのことです。
※参考:O-PLUX
不正検知システムを利用すれば決済前・発送前に精査ができるため不正利用・チャージバック発生のリスクを減らせます。
また、システムによる自動審査を行えるので、審査時間削減による工数・コスト削減も見込めます。
かっこ株式会社のO-PLUXは累計110,000サイト以上の導入実績があり、クレジットカードの不正利用など、不正な注文をリアルタイムで検知できます。
不正注文検知システムの具体的な例が知りたいという方はぜひこちらもご覧ください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
【参考】チャージバックの仕組み
前項に記載したチャージバックは「異議申し立て」と呼ぶ場合もありますが、取り消された売上がどうなるかもご紹介します。
この際の売上は、
- カード利用者の本人確認がされている場合はカード会社
- 本人確認がされていない場合は加盟店
が負担をします。EC・通販などでは本人確認をしないことが多いため、チャージバックの被害はEC事業者など加盟店側の運営にも大きな影響を与えるものとなっています。
チャージバックは不正利用から消費者を守る仕組みですが、消費者も事業者も可能な限り不正利用を未然に防ぐ対策をとることが重要です。
チャージバックについてはこちらの記事でより詳しく解説していますので、気になる方は併せてご覧ください。
【事業者向け】不正利用の加害者になってしまう可能性がある
事業者の場合、不正利用の加害者になってしまう可能性があります。
一度情報流出があれば、カード利用者・他のECサイト等の運営事業者双方に被害を及ぼすことになります。
対策として、改正割販法にも記載されている「カード情報の非保持化」を行い、抜き取られる情報そのものを無くすことは大前提です。
とはいえ、不正アクセスでサイトが改竄されてしまい、悪質なサイトでの決済画面に購入者を誘導されたり、入力したカード情報を不正者にも送信されてしまったりといった形での流出が増えています。
サイトやカートシステム等の脆弱性対策の徹底と、万一不正アクセスがあった際にすぐ気づけるような検知・監視体制も必要です。
クレカ不正に関するよくある質問と回答
最後に、クレジットカードの不正利用についてよくある質問と回答を紹介します。
実際にカードの不正利用被害に遭ってしまった方や、不正利用被害に遭うのが不安な方は以下の質問と回答に目を通しておくといいでしょう。
【質問1】カードの不正利用はどこから情報が漏れたの?
クレジットカードの不正利用が漏れてしまう原因は、
- カードの紛失・盗難
- パソコン画面を盗み見される
- 詐欺サイトにカード情報を入力
- 企業やネットショップからの情報漏洩
などです。
カードを不正利用を不正利用される手口について詳しく知りたい方は、「2. ECなどでクレジットカードが不正利用される7つの原因・手口」で詳しく紹介しています。
【質問2】カードを不正利用されないための対策は?
クレジットカードを不正利用されないためには、怪しいサイトにカード情報を入力しないことが大事です。
企業になりすましたメールを送りつけて、偽サイトに誘導してカード情報を盗み取るフィッシングメールにも気を付けましょう。
どれだけ気を付けていてもカードを不正利用されてしまうケースはあるので、セキュリティが充実しているクレジットカードを選ぶことも大事です。
【質問3】カード不正利用後に補償申請する方法は?
クレジットカードを不正利用された時は、必ずカード会社に不正利用分の代金を補償してもらう申請を行いましょう。
補償申請方法の手順は以下の通りです。
- カード会社に連絡してカードの利用停止を行う
- 警察に被害届を提出する
- カード会社で不正利用分の補償をしてもらいたい旨を伝える
補償申請を行うためには、警察に被害届を提出する必要があるので忘れないようにしましょう。
不正利用だと認められれば、各カード会社は補償申請の手続きを進めてくれます。
各カード会社によって補償してもらえる期間は違うので、カード会社に確認するようにしましょう。
【質問4】カードを紛失・盗難された時はどうすればいい?
クレジットカードを紛失・盗難された時は、すぐにカード会社に連絡してカードの利用停止を行いましょう。
その後、最寄りの警察署でカードの紛失・盗難された旨を伝えてください。
財布を落としてしまった場合の対応方法については、以下の記事で詳しく解説しています。
まとめ
クレジットカード不正利用の手口は、日々巧妙化していて被害者の数も増加傾向にあります。
被害に遭う方の多くは、カードが不正利用される手口や対策についての知識が乏しいです。
カードを不正利用されないためには、まずは不正利用の手口についての知識をつけておくことが大事です。
カードを不正利用される原因・手口は、主に7つあります。
- フィッシング詐欺
- スキミング
- ネットショッピング詐欺
- 出会い系サイト詐欺
- なりすまし
- フリーWi-Fi
- ネットショップからの情報流出
しかし、不正利用の手口を理解していたとしても、カードの不正利用を完全に防ぐことは難しいです。
そこで、事業者が自社のECなどのサイトで不正にクレジットカードを利用させないために以下のような対策をしていく必要があります。
- 3Dセキュアを利用する
- セキュリティコードを利用する
- 配送先情報を蓄積しておく
- 不正注文検知システムを導入する
クレジットカードの不正利用リスクを減らす対策や不正利用が起こった場合の対処法を把握しておきましょう。
また、企業様はクレジットカードの不正利用によるチャージバックのリスクを減らすためにも、不正注文検知システムを導入することをおすすめします。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
