クレジットカード不正利用の体験で学んだ5つの教訓

ある朝、仕事に出ようと急いでいたところ、一瞬で状況が一変しました。80ドルのクレジットカード請求がSMSに届いたからです。身に覚えがありません。

そこで、私はどうしたか。まずはカードを利用停止し、銀行で再発行の手続きを済ませ、新しいカードを発行しました。最終的にはすべての問題が解決し、80ドルも返金されました。素早く対応したことが大きかったと思います。ですが、今回お話ししたいのはこの顛末についてではありません。私がこの事件で何を学んだか、それをお伝えしたいと思います。

教訓1. 重要なのは迅速な行動

これは、世界中のどの銀行についても言えることです。すぐに反応して不正があったことをただちに証明すること。早ければ早いほど、お金を取り戻せる可能性は高くなります。そのためにも、何らかの不正取引があった場合はすぐに通知してもらえるように、取引内容通知サービスを申し込んでおきましょう。詳しくは、自分の口座のある銀行のサービス内容を確認してみてください。

Well, that's one way to securely bank online… Check out our newest Cyberworld Survival Guide installment at http://ow.ly/zAdDo

A photo posted by Kaspersky Lab (@kasperskylab) on Jul 25, 2014 at 9:43am PDT

口座の取引状況を通知してくれるサービスがなければ、最後の手段として、毎月の明細書を入念にチェックしてください。私はSMS通知を設定していたので、5分でカードを利用停止でき、この不正取引についてその日のうちに申し立てることができました。（※訳注：日本の場合、SMSを使った通知サービスは一般的ではないようです。メールによる取引内容通知サービスは、いくつかの銀行で提供されています）

教訓2. どんな保険でも役に立つ

保護レベルを上げるほど、詐欺師にとってのハードルが高くなり、結果として損失を最小限に抑えることができます。そこで、すべてのオンライン決済で3Dセキュア（MasterCardセキュアコード、Visa認証サービス）を利用してください。さらに、オンラインバンキングでは2段階認証を有効にし、チップアンドピン対応の支払い端末を選び、スワイプと署名のみの決済は利用しないでください。

オンライン決済には、安全なWi-Fiネットワークしか使わないように。PCには強力なアンチウイルスソリューションをインストールしてください。また、保険に入っておくのもいいでしょう。

折に触れ重要性が強調される「2段階認証」ですが、そもそもそれはどういう仕組みでどういうアカウントに必要なもの？…解説します。 http://t.co/0Gahdovakq pic.twitter.com/7up8hk9T1H

— Kaspersky Labs Japan (@kaspersky_japan) June 16, 2014

私の場合、上記すべてを利用して対策をとっていました。詐欺師が私のカードからお金を盗み出そうとしたことは過去にもあったかもしれませんが、私に通知されなかったということは、どれも徒労に終わったのでしょう。

教訓3. 予防は万能薬ではない

詐欺師は、いかにしてセキュリティ手段を迂回するかに心血を注いでいます。うまくかいくぐれれば、それだけ稼ぎが見込めるからです。そのため、上記で紹介した対策をとったとしても、完全に保護される保証はありません。犯罪者たちからして一番効率がよい方法は、詐欺ソフトウェアを仕込んだATMから現金を引き出す方法、それから、不正侵入したマシンから被害者名義でオンライン決済する方法です。前者の場合は、カード情報を複製して現金を引き出す手口がとられます。後者の場合、オンラインでお金が使いこまれます。

私の場合、カードの扱いには慎重だったので、より高度な手口で狙われる可能性がありました。今年学んだ教訓のひとつは、大手小売店のシステムが特殊なトロイの木馬に感染している場合、クレジットカード払いを利用するのは危険かもしれないということです。特に、古いPOS端末を使用していることが多い米国の小売店にはこのリスクがあります。私は自分のカードを米国でよく利用していたので、このような詐欺のターゲットになってしまったのかもしれません。

もうひとつ無視できないのが、オンライン業者からの支払いデータの漏えいです。私のカードは3Dセキュアに対応していますが、犯罪者は3Dセキュアに対応しない、古い決済処理システムを利用する店を探り出し、私のカードを使ったのでしょう。

教訓4. クレジットカード詐欺は組織犯罪の先駆け

ひょんなことから、私はこの教訓を確信するに至りました。クレジットカードを利用停止した後、1週間ほどは何の不安もなく過ごすことができました。しかし、新たなテキストメッセージが届き、米国の別のオンラインショッピングサイトで私のカードで支払いが試みられたと知らされました。それから数日後にも同じような通知が届いています。さらにそれから1週間後、メキシコのある店でオフライン決済の試みがあったと通知がありました。

そのカードは利用停止済みだったので、すべての試みは結局失敗に終わっています。これはつまり、私のクレジットカード情報を盗んだ人物が（おそらく、他にも何万件ものカード情報が登録されたデータベースという形で）さまざまな人に再販し、買った人がそれぞれ何度も不正利用しようとしたということです。

教訓5. 常にプランBを用意する

さらに、プランC、D、Eもあると良いでしょう。私の場合、推定損失額はそれほど大きくなく、たとえ返金されなかったとしても重大な被害というほどではありませんでした。

クレジットカードがハッキングされたら、何はともあれすぐに対応するのが重要

Tweet

しかし、友人の何人かは似たような詐欺被害に遭い、かなりの額を失いました。ある人は休暇中に事件が発生し、食費や交通費など、いま必要なお金までなくなってしまったそうです。

そんな状況に陥らないためにも、いざというときの切り札は少なくとも2つ用意しておくべきです（3つ、4つあれば、なお良いでしょう）。利用する決済システムは、1つだけでなく複数にしておく。クレジットカードは、異なる銀行で発行したものを何枚か用意し、利用額を均等に分散する。オンライン決済用に専用のカードを用意し、その口座には大金を置かないようにする。さまざまな銀行が発行している、オンライン決済専用の仮想クレジットカードを利用するのも良いですね。