クレジットカードを不正利用された話

2021年3月24日

テレワークで在宅作業中の3月15日(月) 午前。

11時頃、スマホに電話がかかっていました。作業中で出ることができなかったのですが、鉄道系クレジットカード会社からのようでした。

30秒ほどの留守電には、セキュリティ担当部署からの電話であるということと、カードの利用確認の要件で、折り返し電話が欲しい、とのことが残されていました。

カードを不正利用されたらしい

セールスの電話はたびたびかかってくる会社ですが、さすがにセキュリティ担当からの電話には、折り返しました。(こちらから電話をかけると、通話料がかかるから、と、折り返し電話をかけてもらえましたよ。)

聞けば、3月13日(土)の早朝5時台に、とある宝石店のネットショップで、20万円弱のカード決済が行われたらしいんです。もちろん、全く身に覚えのない買い物です。

メインで使用しているカードではなく、以前に勤めていた会社への通勤に使用していた大手私鉄のカードなので、たまーに、その系列百貨店に行ったときに買い物で使用するくらいです。

なので、ネット通販で利用したこともなく、カード番号をPCに入力したこともありません。カードを落としたこともないですし、ここ数年で使用したお店というと、その百貨店に入っている大手の書店や、大手の洋菓子店、百貨店直営の食品売り場くらいなので、カード番号が盗まれる、というのも常識的には考えにくいところです。

ここで触れた「カスペルスキー パスワードマネージャー」にすら登録していない、本当に「普段使用しない」カードだったんですね。

どこから流出したのか

そのような話(パスワードマネージャの話はしてないですが)を、セキュリティ担当の方と話をしたんですが、どうも、カードそのものから情報が漏れたのではなく、「クレジットマスター」と呼ばれる手法で、ヒットしてしまったようだとのことです。

クレジットマスターとは、

クレジットマスター(英語: Credit Master)とは、クレジットカードの番号の規則性を悪用し、クレジットカード番号にある計算を加えて、他人のカード番号を割り出す手口である。

https://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AC%E3%82%B8%E3%83%83%E3%83%88%E3%83%9E%E3%82%B9%E3%82%BF%E3%83%BC

ということで、法則さえ導き出せれば、他人のカード番号を割り出せてしまう、というものです。

もちろん、カード決済を利用されたことがある方は、ご存じでしょうが、カード番号だけで決済ができるわけではありません。カード有効期限や、カード裏に記載されているセキュリティコードが必要です。が、そのへんは、総当たりでもなんとかなってしまう組み合わせの数しかないんですね。

このサイトの記述を参考にさせて頂きました。(電話を終えてから、昼休みに調べていました)

でも、さすがに、最大の個人情報「名前」は組み合わせじゃ無理、と思ったら、名前の入力なしで決済できるECサイトもあるんですね。

というわけで、個人としての振る舞いに落ち度はなく、ある意味「どうしようもない」状態です。

幸いにも、というのか、理由は不明ですが、お店側からキャンセル手続きが入っていたようで、金銭的な被害には会わずに済みました。

カード番号は既に停止処理されており、このカードでの、これ以上の被害は発生しないのですが、同様の手口が増えているそうです。カードを再発行しても、この種の犯罪はなくならないですから、再び被害にあう可能性もあります。(これは、カード会社の方も認めていらっしゃいました)

そのためにも、我々が出来る予防策としては、利用明細をより細かくチェックする(使わないカードこそチェックをすべき、と今回思いました)、セキュリティに関しては面倒くさがらない(より厳格に本人チェックができるなら取り入れる)、という感じで、自衛できるところは自衛するしかなさそうですね。

不正利用に、いかに早く気付けるか、が重要なのかもしれません。