DIME MAGAZINE
クレジットカード情報の不正利用の被害額が増加の一途をたどっている。フィッシングや総当たり攻撃など、我々の周りにはリスクがそこかしこに潜んでいる。カード加盟店などでは対策への取り組みが進んでいるが、今後、個人はどんな対策を取るべきか。ぜひ知っておこう。
知っておくべき増えるクレジットカード不正利用
IPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威2022」では、企業と個人における情報セキュリティの脅威ランキングがわかる。個人のランキングには「クレジットカード情報の不正利用」が5位にランクインしていた。
一般社団法人日本クレジット協会の「ショッピングクレジット動態調査」によれば、クレジットカード不正利用被害額は年々増えており、2020年は253億円、2021年は約330億円にも上っている。
クレジットカード被害事例
Webセキュリティの第一人者といわれるEGセキュアソリューションズ取締役CTOの、徳丸浩氏は、主なクレジットカード被害のケースは2通りあるという。
「クレジットカードの被害には、利用者に非があるものと、利用者には非がないものがあります。利用者に非があるものとしては『フィッシング』があります。メールなどからウェブに誘導して、そこでカード情報を入力させる手口です。ウェブにアクセスしてしまい、カード番号や暗証番号などを入力してしまう、という行為をしてしまうためです。メールが届いた時点で思いとどまることが重要です。
利用者に非がないタイプは、ECサイト等から漏洩したり、総当たり的にカード番号を推測する手口があります。こちらは利用者には防ぎようがないので、毎月カード利用明細を確認して、不審な利用がないか確かめ、異常があればすみやかにカード会社に連絡することで被害を補償してもらうことができます」
クレジットカードで決済しないという選択も
徳丸氏によると、近年、本人認証サービス「EMV-3Dセキュア」の仕組みが導入されつつあるという。これは「リスクベース認証」という仕組みを利用したもので、ECサイト等でクレジットカード決済をする際に、不正利用の疑いがあるときにのみ本人認証画面を表示するというよう、これまでと比べセキュリティが高くなっている。
しかし徳丸氏は、問題点もあると指摘する。結局、フィッシングに使われる偽サイトとの区別が難しいなどの点だ。総じて、クレジットカード情報漏洩は対策が難しいと言う。
そこで同氏はECサイト等ではクレジットカード決済ではなく、AmazonPayやPayPayなど、より安全な決済手段に移行していくのではないかと予測する。
AmazonPayやPayPayなどはクレジットカードよりリスクが少ないということだ。
「PayPayなどウェブ画面に表示されたQRコードをスマホで読み取るタイプの決済は、リスクが少ないと考えられます。その理由は、カード番号やパスワード等を入力する場面がなく、これらが流出する可能性がないからです。ただし、偽サイトの画面でカード番号等の入力を求める攻撃も考えられるので、『QRコード決済なのにカード番号入力を求められるのはおかしい』と気づく必要はあります。まだ、この種の攻撃は確認されていませんが、QRコード決済がECサイトでも普及した場合は、今後、出てくる可能性はあります」
クレジットカードを所持している人は、まずクレジットカード情報の不正利用が、年々増えているということを知る必要がある。そしてどのような手段で不正利用がされるのかを知っておき、リスクを常に意識することが大切だ。
その上で、偽サイトにだまされないという自信がない場合には、QRコード決済を検討してみるのも良いのではないだろうか。
【取材協力】
徳丸 浩氏
株式会社EGセキュアソリューションズ 取締役CTO
ウェブアプリケーションセキュリティの第一人者。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行う。著書「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」は、”徳丸本”と呼ばれ広くウェブ従事者に支持されている。
https://www.eg-secure.co.jp/
【出典】
一般社団法人日本クレジット協会の「ショッピングクレジット動態調査」
取材・文/石原亜香利
最新号
