いつもご視聴ありがとうございます。

いまXやネットニュースを中心に話題になっている

『イオンカードの不正利用祭り』について解説します。

怖いポイントは

不正利用に気づきカードを止めても被害は止まりません！

さらには新品未開封のカードもやられています

この動画ではなぜこのようなことが起こってしまったのか

徹底的に解説して行きます！

皆さんも相手の手口を知ることで、自分の身を守りましょう！

また使用していないクレジットカードは非常に危険です

不要なクレジットカードがある場合は即座に解約させましょう！

「イオンカード」の不正利用が急増した根本原因　なぜここまで返金対応が遅れているのか

　近年クレジットカードの不正利用に関する犯罪が増えているが、その利用スタイルの変化や対策手段の登場にともない、以前とは違う形での不正利用が増加している現状がある。

　以前までであればスキミングや番号の盗み見などの手段で入手したカード番号を元に偽造カードを作成する手法が多かったと思われるが、ICチップ利用の必須化により偽造カード作成は困難になり、盗んだカード番号をオンライン取引で利用するケースが一般化してきている。

　まずユーザーにフィッシングメールを送信してカード情報の入力を促したり、あるいは決済サービスを提供する企業のサイトをハッキングしておき、そこに入力された情報をかすめ取るといった手法だ。

　このようにして盗んだカード番号をオンラインの決済で利用して換金性の高い商品を購入し、売却することで利益を得るのが犯人の狙いだが、もともとオンラインでの取引は、人と人が店頭で行う対面取引に比べても不正利用がしやすいこともあり、3Dセキュアのような追加の本人確認手段が必須化されるなど、“素”の状態でカード番号を入力してもそのままでは決済が行えないケースが増えている。

　以前なら比較的登録条件が緩かったAmazonの海外法人も登録をカード番号登録を厳格化したり、モバイルSuicaのオンラインチャージ経由での不正利用が目立ったJR東日本でも1日あたりのチャージ金額に制限を設けるなど、対策が進みつつある。

イオンカードで不正利用が頻発した“穴”

　下記の記事にあるような今回のカードでの不正利用は、何らかの手段で盗んだカード番号をオンライン取引で直接利用するのではなく、特定のルートで得たカード情報を「Apple Pay」に登録することでユーザーの本人確認作業をスキップできる仕組みを悪用したもので、さらに発覚を遅らせて、かつ利用者が気付いたとしてもすぐに止めることが難しい状況を作り出すことで被害が拡大した。

イオンカード、不正利用の対応遅れを謝罪　「カード止めてと依頼しても止まらず、数十万円請求された」などの声

クレカの不正利用対応で物議、なぜ対応が遅れているのか「イオンカード」発行元に聞いた

　今回のイオンカードの不正利用について大枠での動きをまとめると、フィッシングメールなど何らかの手段でユーザーから得たカード番号やログイン情報を使って悪意のある第三者がApple Payへのクレジットカード登録を行い、この際に強制的にひも付けられる「iD」を利用してリアル店舗での買い物を連日繰り返した点にある。上限金額にして1万円ほど、これを連日異なる店舗での買い物に利用し、買い物通知は本来の利用者には届かず、後で請求が送られてきた時点で初めて気付くといった具合だ。

　さらに、「クレカを止めても請求が止まらない」という事態まで発生している。ここで用いられているのが「オフライン取引」と呼ばれるものだが、複雑なメカニズムなので本稿での解説は省く。詳細について興味ある方は手前味噌だが筆者の別記事を参照してほしい。

　本稿では「なぜ返金対応に時間がかかっているのか」「同じような犯罪は今後も起きるのか」の2点のみに絞って解説する。

なぜ返金対応に時間がかかるのか

　理由としては主に2つある。1つは、クレジットカードの不正利用をユーザーが訴えた場合、カード会社と実際に不正利用が行われた店舗の間での確認作業が発生し、対応が行われるまでに一定程度の時間がかかる点だ。筆者も過去に不正利用が行われて何度かクレームした経験があるが、確認作業に最短で1日から数日程度かかっており、明細が届いてから実際の引き落としまで1週間も猶予がなかったこともあり、確定分についてはいったん引き落としが行われ、次回請求分で当該を相殺となることが多かった。

　不正利用に即気付いた場合には被害は最小限で済むが、前月のすでに引き落とした分に不正利用が含まれていた場合や、今回の特殊事例で「クレカを止めても引き落としが続く」というケースでは対応期間が長引く可能性がある。

　もう1つのケースは、件数が多すぎてカスタマーセンター側が“パンク”している可能性だ。不正利用というのは常に一定程度の水準で発生しているものだが、イオンカードのケースではもともとのユーザー数が多いうえに、登録時の“穴”を突かれたため集中的に狙われた可能性が高い。

そのため、キャパを超える問い合わせが殺到し、処理が追い付いていないものと考えられる。先ほど挙げた記事中でも「1月の不正利用の関連書類が10月にようやく届いた」といった情報が引用されていたが、これは同時期にそれだけ問い合わせが殺到していたことを物語っていると推察できる。

　いずれにせよ、このような大規模な不正利用はカード会社にとっても寝耳に水なことであり、被害者には申し訳ないが、カード会社側で真摯な対応姿勢を見せている以上、もう少しお付き合いをしてあげてほしいところだ。

今後このような犯罪は発生しないのか

　今回は「盗んだカード情報」を「Apple Payに登録」して、機内モードなどネットワーク通信を遮断した「iDのオフライン状態での利用」を続けることでカードの不正利用を行う手法が用いられた。

　ある情報源によれば、不正利用が急増されたこともありイオンカードを用いたiDのオフライン利用は現在極度に制限されており、前述のような連日1万円のような使い方は不可能になっている。一方で、これが理由で自動販売機などを含めてiDの利用そのものが極度に制限されるケースが想定されるため、イオンカードユーザーはその点に留意する必要がある。

　一方でクレカの不正利用手法は日々進化しており、犯罪者側は穴を見つけては攻撃を水面下で仕込んでいる。いたちごっこの世界ではあるが、少なくとも今回起きたようなケースは対策が進みつつあり、今後は同じ手段での攻撃は難しいだろう。ユーザーとしてできる自衛策は、フィッシングメールを含む怪しいサイトへの情報入力を毎回警戒するとともに、小まめに利用履歴を確認して不正利用の兆候を少しでも早く発見することが挙げられる。

イオンカード、不正利用の対応遅れを謝罪　「カード止めてと依頼しても止まらず、数十万円請求された」などの声

　「イオンカードを不正利用され、カード会社に対応を求めたのに、何カ月も対応してもらえないまま不正利用が続いている」――こんな悲鳴がXに相次い投稿されて、話題になっている。

　こうした声を受け、イオン銀行とイオンフィナンシャルサービスは10月8日、不正利用の被害対応に時間がかっていると謝罪。「被害実態や複雑かつ巧妙化する犯罪手口の解明と、被害金額の特定・返金処理などに時間を要している」と釈明した。

　Xでは「イオンカードの不正利用が6月に発覚し、止めてほしいと依頼しても止まらず、8月までに30万近く支払った」「不正利用されてカードを再発行したけれど、返金が可能か3～6カ月かかるので不正利用分はいったん支払った。返金されるか不安」「1月にイオンカードに不正利用の連絡をしたが、関連の書類が10月にようやく届いた」などの声が出ている。

　ここ最近は、フィッシング詐欺による被害や、ECサイトへの不正アクセスなどを通じ、カード情報が漏えいするケースが急増し、不正利用の被害も増えている。カード各社とも、不正利用の対応に追われているが、イオンカードは「他のカード会社に比べて対応が不親切で、遅い」とネットで話題になっていた。

お申し出内容についてのご案内

拝啓 平素は格別のお引き立てを賜り、厚くお礼申し上げます。

この度のクレジットカードのお取引に関するお申し出につきまして、弊社より取扱店または加盟店契約会社等に異議申し立て、または保険による補償適用の検討を行うこととなりましたのでご報告申し上げます。

異議申し立て及び補償適用の検討にあたり確認事項がある場合や結果が判明した場合は、改めて電話または書面にてご連絡させていただきます。

なお、結果判明までに3カ月から半年ほど日数を要することがあり、審議内容によっては申請が不可と判定される場合がございます。

また、異議申し立て及び補償適用の検討を行うことによって、お申し出をいただいたお取引に結び付く：IDやアカウントが、取扱店または加盟店契約会社等の判断において凍結される可能性がございますのであらかじめご了承ください。

ご不明な点がございましたらご連絡いただきますようお願い申し上げます。

クレカの不正利用対応で物議、なぜ対応が遅れているのか「イオンカード」発行元に聞いた

　イオンフィナンシャルサービスが手掛けるクレジットカード「イオンカード」へのユーザー対応が物議を醸している。「不正利用が6月に発覚し、停止を依頼したのにもかかわらず不正利用は止まらず、8月までに数十万円を支払った」という投稿がX（旧Twitter）で拡散したのをきっかけに、同様の対応を受けたユーザーからの声が集まっている。

中には、不正利用の返金の審査が数カ月かかることから、不正利用額を一旦支払ったというユーザーや、1月に連絡した不正利用に関する書類が10月に届いたとするユーザーなど、対応しない、あるいは対応が遅いとする声が目立つ。

　同社は10月8日にお知らせを掲載。「詐欺被害にあわれたお客さまへの対応にお時間がかかっていることについてお詫び申し上げます」と謝罪したうえで、「被害実態や複雑かつ巧妙化する犯罪手口の解明と被害金額の特定および返金処理などに時間を要しており、結果としてお客さまに多大なご心配とご迷惑をお掛けしている事実は否めません」と、不正利用の対応が追いついていないことを明かした。

　なぜ、不正利用への対応が遅れているのか、イオンフィナンシャルサービスに確認したところ、「それだけが全ての原因ではない」としつつも、「春先から弊社を騙ったフィッシングメールが急増している」背景があるという。イオンカードを騙ったメールに記載されたURLからカード情報を入力してしまうことで、犯罪者にカード情報が渡ってしまうケースだ。

　「昔と違い最近のフィッシングメールは、われわれが見ても同じと思うぐらいに精巧なものがある」「それだけが（不正利用の）原因ではないが非常に多い。フィッシングメールの増加にともなって問い合わせも多くなっている。一番の原因ではと考えている」（イオンフィナンシャルサービス）

　不正利用の対応では、一定の期間ユーザーとのやり取りや調査が必要になる一方で、件数は「雪だるま式に増えている」としており、カスタマーサポートのキャパシティをオーバー。被害額の確定や返金処理などに時間がかかってしまっているという。同社は「弊社の課題と認識している」としており、最優先事項でサポートの増員を行っていると明かす。

　なお、イオンフィナンシャルサービスでも不正利用検知の仕組みは導入されており、ユーザーの普段の使い方と違う決済を検知すると、いったんストップをかけて本人による利用かを確認するスキームになっている。一方で、ここ最近は他社が提供する非接触決済を使った少額決済の仕組みが悪用されるケースが増加。こちらは仕組み上検知が働かないため、提供事業者と問題解決に向けて動いているとする。

　また、ユーザーへの対策としてフィッシングメールへの注意を呼びかける。先述の通り、精巧なフィッシングメールが存在することから、「メールの送信元を確認したり、不正なメールのURLからクレジットカード番号を入力したりしないように注意していただきたい」とした他、3Dセキュアの利用も推奨。オフライン決済など3Dセキュアが効かない取引もあるが、不正利用に一定の効果があるとしている。