
ども、アラフィフ親父のオクラです
お小遣いの管理にソニー銀行のデビットカードを利用しています。
少ない小遣い、クレジットカードだと使いすぎて・・・なんてことにならないようにするためです。
デビットカードだと銀行口座から即引き落とし。
いつも残高を気にしながら使うので、使い過ぎずに安心なんですよね。
でも先日ちょっと不安になる出来事が起こりました。
アマゾンから身に覚えのない500円の請求があったんです。
そしてなんと、不正利用だったんです(正確にはカード番号の不正流出)。
ということで、カードを不正利用されたお話です。
今回の経験、注意喚起の意味を込めて記事にいたします。
結論(言いたいこと)は次のとおり、
- カード情報の漏洩は誰にでも起こりうる(防ぎようがない)
- 利用明細はこまめに確認、不審なものがあればカード会社に連絡
クレジットカードに不安があるあなた、身に覚えのない請求があったあなたは参考にどうぞ。
不正利用の顛末

アマゾンから身に覚えのない請求が
契約しているデビットカード、使用するとGmailに通知が来るように設定しています。
ある日、使った記憶のない利用通知がありました。
通知:カードのご利用がありました。
・カード利用日:20xx年xx月xx日
・ご利用金額:500円
・ご利用加盟店:AMAZON CO JP
身に覚えのないAmazonでの500円の利用料金です。
Amazonでの500円という金額、ネットで調べたら可能性のあるのは月払いのプライム会費、もしくはアマゾンフレッシュかもとのこと。
プライムは会員だけど年会費。
アマゾンフレッシュなるものは使ったことがありません。

何に使ったお金かな~
と気になりましたが、そのままにしていたら・・・
数日後「ソニー銀行デビットカードセキュリティ担当」さんからメールが来ました。
まず電話連絡をしたそうだけど、繋がらないのでメールしたようです。
不正利用の疑いがあるとのこと、内容は下記になります(一部要約)。
このたび、お客様がお持ちの カードにて、第三者による不正利用が発生する懸念があることを当社セキュリティシステムが検知しました。
下記お取り引きが、ご本人さまのご利用か否かを本メールのご返信にてお知らせください。
【対象のお取り引き】
利用日時:20xx年xx月xx日(日)
加盟店名:Amazonプライム会費(AMAZON CO JP)
取引金額:500円
現在、お持ちのカードは、安全上の観点から一部のお取り引きについてご利用を制限させていただいております。
補足事項として次の注意点も記載されていました。
- 取引に心当たりがなければ補償により口座へ返金(2週間ほどかかる)
- カード番号を変更したカードを再発行(無料、10日ほどかかる)
- 再発行中はATMでの入出金は利用不可
身に覚えのない500円はなんと不正利用だったんです。
カード番号が流出していたと言うことなんでしょうか・・・
件のカードは近所のイオンでの買い物と、Amazonでの買い物くらいにしか使いません。
怪しいショップや、スキミングされるような使い方もしていないはず。
ウィルスソフトも定評のあるやつを使っています。
この時点ではカスペルスキーを使っていました。現在はESETに変更しています。
どこからカード情報が流出したのか不明、原因もわからないので怖いです。
「セキュリティ担当」さんへ不正利用である旨をメールし、カードの再発行も依頼しました。
アマゾンの注文履歴と取引履歴を調べたんですが、該当の取引はありませんでした。
(私のAmazonアカウントでされた取引ではないので履歴がないのは当たり前なんですが。)
その後、500円は無事返金されました。
カードも再発行され、現在はカード番号が変わった新カードを使っています。
さらに半年ほどたちましたが、その後、不正利用はなく今に至ります。
カード情報漏洩の原因は

なぜ不正利用されたのか、番号等はどこから流出したのでしょうか。
疑問に感じた以下の3点を「セキュリティ担当者」さんにメールにて質問してみました。
- どうやってカード情報が洩れたのか
- 本当に Amazonからの請求なのか
- なぜ500円という少額なのか
質問と回答をまとめます。
Q:どうやってカード情報が洩れたのか。
A:第三者が16桁のカード番号を一定数作成し、特定のインターネットサイトに対して順次送信することで、有効なカード番号を探り出す手口によります。
情報漏洩による流出ではなく、ソフトによる「数撃ちゃ当たる」手法によりカード番号を割り出したということですね。
簡単に言うと、作成した無数のカード番号を特定のサイトに送信して「当たり」を探る手法です。
「セキュリティ担当者」さん曰く、この手口により第三者に特定された可能性がある情報は16桁のカード番号のみとのことです。
その他の各種パスワードや個人情報などに関する流出はないそうです。
Q:本当に Amazonからの請求なのか。
A:Amazon.co.jpへ向け、上記手口が実施されています。
要するに、カード番号を割り出す手口がAmazonへ対して送信されているということですね。
Amazonのサイトを利用して「当たり」を探っているということ。
「当たってしまった私のカード番号」がAmazonからの請求となったということでしょう。
なので偽物ではなく本物のAmazonからの請求ということになります。
逆にニセAmazonからの請求が通ってしまうようではカード会社側のセキュリティに難アリということになってしまいますもんね。
Q:なぜ500円という少額なのか。
A:照会のある金額は必ずしも少額とならない場合もあります。
今回は上記手口がたまたまAmazonのプライム会費に対して実行されているので、500円となっただけです。
500円じゃすまないこともあるということでしょう。
後述しますが、犯人は500円が目的ではありません。
注意する事と対策など

同じ被害にあわないために注意することはあるかも質問してみました。
次のような回答がありました。
有効なカード番号を特定できるまで、連続して入力し続ける不正手口の特性から、今後、同様の事象が発生する可能性はあります。
セキュリティシステムにより早期に検知し、お客さまに被害が発生しないようモニタリングを一層強化してまいります。
アプリでの利用限度額設定やご利用停止・再開メニュー等をご活用いただくことをおすすめします。
ご利用の覚えのないお取り引きを確認することがあれば、お早めに当社までご連絡ください。
内容をまとめると次のようになります。
- カード番号漏洩は無くならない
- カード会社も対策を強化している
- ユーザ側でも限度額設定、利用停止設定、利用通知設定で対策をして欲しい
- 不正の疑いがあればすぐにカード会社に連絡して欲しい
結局のところ、根本的な対策は不可能なので利用明細をこまめに確認するしかないということですよね~。
「数撃ちゃ当たる」でカード番号を盗むのは簡単?

今回のクレジットカード番号を盗んだ手法ですが、クレジットマスターといわれているらしいです。
ツールで総当たり攻撃して盗み出すやり方。
まさに「数撃ちゃ当たる」手法です。
カード番号は16桁もあるので「正しい番号」を割り出すのは難しそうですが・・・
クレジット番号には一定の規則性があり、それを利用すると割り出すべき桁数は大幅に少なくなります。
カード番号16桁のうち最初の6桁はカード会社固有のもの、最後の1桁はチェックデジットで自動的に算出されるものとのこと。
ということで割り出すべきカード番号は16桁ではなく9桁となります。
セキュリティコードや有効期限も割り出すとなると大変ではと思いますが、セキュリティコードは3桁しかありません(4桁の場合もある)。
そして有効期限は5年と考えて、総当たりさせるなら今年今月を起点に過去4年、未来4年で9年の幅、掛ける12か月なので108通りしかないですよね。
これらを組み合わせながら総当たり、膨大な数のような気もしますが、コンピューターでの処理なので自動的にできてしまいます。
量的にも「数撃ちゃ当たる」程度の量なんでしょうね。
スパコンでも解読に億単位の年数がかかるRSA暗号的な複雑さではないのでしょう。
そもそも使用するのが0~9までの数字だけの組み合わせですし、ハッカーからしたらカード情報などチョロいものなのかもしれません。
この手法の怖いところは、こちら側では防ぎようがないということです。
運悪くクレジットマスターの網にカード情報が引っかかったらアウト。
極端に言えば、一度も使ったことのないカードでも情報が盗まれてしまうこともあるということになります。
500円という少額でも得する理由

今回の不正利用ですが、なんで500円という少額なんだということが一番引っ掛かりました。
500円ぽっち少なすぎないか、それとも500円を大量に盗んでるのか。
そもそもプライム会費の支払いなので、物品や現金を得るわけじゃないのでマネタイズできないでしょうに。
想像をめぐらしてみると、「正しいカード番号」が欲しいだけなのではと思いつきました。
もしかしたらカード情報自体の取得が目的なのではないでしょうか・・・ググって調べたらビンゴ!
こんな記事を見つけました。
参考記事:ネット上で売買されているカード情報は400万件、うち7,000件が日本のカード情報である現実
闇ネットの界隈では、カード情報を売ることで利益を得ることができるようです。
日本のカード情報は1件42ドルほどとのこと。
売買されたカード情報はセキュリティの甘いサイトを見つけるための足掛かりに使ったりということもあるみたいです。
正しいカード番号とセキュリティコードだけで決済ができる、緩いECサイトを見つけてサイバー攻撃するとか・・・。
カード情報の漏洩に気づかなければ、次の大きな犯罪の弾に使われてしまう可能性があるということ。
犯罪の芽を摘むという意味でも、しっかり利用明細を確認して、不審なものがあればカード会社に連絡するのがよさそうです。
まとめ

ということでカードの不正利用についてまとめます。
まず第一に「カード情報の流出は防ぎようがない」ということを認識しておきましょう。
なので対策としては、
- 使用履歴をしっかり確認する。
- 怪しいと思ったらすぐにカード会社に相談する。
ということに尽きると思います。
あなたは身に覚えのない請求があってこの記事にたどり着いたのではないでしょうか?
もしそうならば、まずカード会社に連絡してみましょう。
追記
今回の件ですが、カード会社のセキュリティシステムは優秀だなと感じました。
ソニーバンクの対応はレスポンスも早くとても良かったです。
またソニーバンクのデビットカードは利用通知が即時なので、不正に気付きやすい仕組みなのも好感が持てます。
カード複数持ちのすすめと高セキュリティカードの紹介
お小遣い管理用はデビットカードですが、家計管理用のメインカードは三井住友カード(NL)を使用しています。
カードは次のような2枚持ちがとてもおすすめです。
- メインバンクと紐づけての家計管理用
- サブバンクと紐づけての個人的利用
三井住友カードは都市銀行系のカードだけあってセキュリティがとても厳しいです。
例えば換金性の高い商品(iPhoneなど)をネットショッピングで購入しようとするとセキュリティエラーとなったりします。
(・・・カード会社に連絡して一時的に解除してもらって購入する必要があります)
これを不便と感じるか、安心と感じるか使い方によるかと思いますが、私は「家計管理用として使うならすごく安心」と考えています。
ハイレベルセキュリティのカードをご希望ならご検討ください。
上記は紹介プログラムを利用したリンクとなります。
申込み特典として最大10000円相当のVポイントプレゼントとなります。
よろしければご活用ください。