クレジットカード
当ブログ(や他にも多くのメディア)では、スキミングのさまざまな手口や、クレジットカード詐欺について何度か取り上げています。今回は、あまり目に付かず、大半の利用者が気付いていない危険についてお話ししたいと思います。海外の店舗への支払いに関するリスクや、決済システムの構造的な欠陥についてです。
セキュリティコードが不要な決済
オンライン決済の処理には、セキュリティコード(カードの裏に記載されている3桁の数字。CVVコードとも)の提示が必要だと考えられています。しかし、一部のオンラインショップではこのステップを省略できるようになっており、セキュリティコードが決済ゲートウェイに送信されません。
この件について、DiaSoftでビジネス開発部門の研究開発担当ディレクターを務めるSergey Dobrinyuk氏に聞きました。「送信される認証情報は、カード番号、有効期限、カードに記載された名義人の氏名、カード裏面に印刷されたセキュリティコードです」
「エンボス加工されたカード(表面の文字が浮き出ているカード)は、オンラインでの支払いによく利用されていますが、Visa ClassicやVisa Goldなど、比較的グレードの高いカードです。カードを発行した銀行が、顧客の身元や支払い能力をチェックしています。そのため、少額決済の場合、店側はカード番号しか確認せず、信用照会を省略することがあります。銀行のお墨付きの上客だと確信しているからです」
「これを『フロアリミット』と言います。銀行や店舗によっては、このフロアリミットがなんと1,000ドルという場合もあります」(Dobrinyuk氏)
同氏によれば、新興国ではこれほど高いフロアリミットはあまり設定されておらず、より高いレベルのセキュリティを採用した決済システムが多いのですが、カードの認証情報に関するポリシーが統一されていません。各オンラインショップが自分たちでルールを決められるようになっているのです。
Dobrinyuk氏は次のように説明します。「暗証番号も3Dセキュア認証も必要なく、リモートで完結した取引は、利用者から異議の申し立てが可能です。取引の正当性に疑問がある場合は、銀行にチャージバックを求めましょう。調査ののちに、お金が戻ってくることでしょう」
Dobrinyuk氏は、オンライン決済に3Dセキュア規格(Visaの「Verified by Visa」やMasterCardの「SecureCode」など)を採用しているオンラインストアの利用を勧めています。これは一種の2段階認証です。
しかし、決済システムに追加のセキュリティ対策を導入するかどうかを決めるのは、オンラインストアです。カードが3Dセキュアで保護されていても、ストアがこのステップを省略してしまうかもしれません。
バーチャルカードの利用も、有効な対策です。有効期間が短く、利用可能枠もごく少額。情報が盗まれたとしても、メインのカードの認証情報が漏えいすることはないでしょう。
ご存知のように、カード番号を誰かに教えるのは賢明ではありません。騙されてカード名義人の氏名や有効期限を犯罪者に伝えてしまうようなことがあれば、セキュリティコードがなくても簡単にお金を盗まれます。幸い、こうしたケースではチャージバックを求めることができますが、そのためには不正な取引に早く気付いてすぐに行動を起こさなければなりません。
クレジットカードが不正利用された!…Kaspersky Dailyのライターの身に起こった事件から学ぶ、5つの教訓。#クレジットカード http://t.co/cu1Wc0YLpT pic.twitter.com/G2n81E126y
— Kaspersky Labs Japan (@kaspersky_japan) November 19, 2014
「Electronic use only」
VISA Electronをはじめとする、ごく基本的なクレジットカードについては、よく誤解があります。このようなカードはエンボス加工がされておらず、表面に「ELECTRONIC USE ONLY」(電子処理専用)という注意書きが印字されています。
こうしたカードはオンライン決済に使えないのだと思っている人が多いのですが、使えるかどうかはカード発行元の銀行次第です。決済システムのポリシーでは、このようなカードのオンライン利用を禁止していません。
簡単に言うと、オンライン詐欺師はごく基本的なレベルのカードからもお金を盗めるということです。
海外への支払い
為替変動のために、海外の店舗とのオンライン決済や、外国での現金の引き出しで問題が起きることもあります。主なリスクの1つは、不利な為替レートです。
「このケースでは、最大で4回も通貨換算が行われます。Eコマースプラットフォームの端末、加盟店銀行、決済システム、発行銀行の4回です」。Dobrinyuk氏はこう警告します。
手数料は各段階で発生しますが、カード所有者は手数料の合計しか把握できません。さらに、手数料は、購入金額の合計に含まる場合と含まれない場合があるのです。「率直に言って、決済システムと銀行の料金体系に詳しくない一般の利用者は、全体の仕組みがどうなっているのか理解できないでしょう。私からのアドバイスは、手数料の安い店舗で買い物をすることです」(Dobrinyuk氏)
カードへの請求が決済の処理より後になることもあります。これは、数日おきか、数週間おきにしか銀行と連絡を取らない店舗もあるからです(決済システムのポリシーでは、最長で45日間の遅延が認められています)。こうした遅れや、突然の為替変動のために、不利な為替レートがカード請求金額に適用される場合があるのです。
ロシアのカード所有者の多くは現在、海外のオンラインストアで買い物をするときや、海外のATMから現金を引き出すときに、このような問題に直面しています。こういう状況で大金を扱わなければならない場合は、やめておくことをお勧めします。口座残高がマイナスになってしまう可能性が非常に高いからです。
おかしな話に聞こえるかもしれませんが、預金額を超える引き出しができないデビットカードの方が、リスクが高くなります。この場合、特殊な当座貸越(Technical OverdraftまたはRestricted Overdraft)が適用され、銀行からカード所有者に対し最大で年利100%のペナルティが請求されます。
通貨換算を避ける
一部の銀行が提供している多通貨クレジットカードでは、取引に使う通貨を利用者が選べます。ヨーロッパを旅行するときはメインの通貨をユーロに、米国を訪れるときは米ドルに、という具合です。これが通貨換算を回避する一番簡単な方法です。
よくあるように、通貨が固定されたカードを海外で使うと、VISAも、MasterCardも、他のカード会社も、自社独自の為替レートを適用します。この場合、余分に支払う金額は比較的小さく、数%かそれ以下です。
しかし、値札に書いてある通貨ではなく、自国通貨での取引を勧めてくるATM、サードパーティ決済システム(PayPalなど)、POS端末などでは、高額を余分に支払うことになります。その場ですぐに把握するのは、ほぼ無理でしょう。すべての通貨のすべての最新為替レート、手数料などを思い出しながら、ある程度時間をかけて慎重に計算しなければなりません。
気を付けてください。たいていは、相当な額を払いすぎる結果となってしまいます。そのような魅力的な提案は断って、値札に書かれている通貨か、自分が今いる国の通貨で支払うようにしましょう。
***
クレジットカードも、その請求の仕組みも、半世紀近く前に考案されたものであり、完ぺきには程遠いというのが実状です。決済サービスが提供する技術的なソリューションも、この上なく便利というわけではなく、売る側がより大きな利益を得て、買う側のセキュリティが低下するようにできています。しかし、スキルを磨くことで、リスクを軽減できるかもしれません。慎重になり、今回紹介したような落とし穴に注意を払うことです。
ヒント