クレジットカードを安全に:ネット上と現実世界での保護対策

2014年5月19日

大手小売チェーンでの大規模な情報漏えいや、常につきまとうオンライン詐欺のリスクに関するニュースを見て、そもそも本当にクレジットカードを使っていいのか迷っている人もいるかもしれません。ですが、もちろん使った方が良いのです。やはり大量の現金をポケットに入れて持ち運ぶよりはずっと安全ですし、新しいスマートフォンアプリであれ、自動車であれ、オンラインで買い物をする際にクレジットカードの代わりになるような手段はありません。したがって銀行カードは、セキュリティ面で問題が起きる可能性はあるものの、優れた支払手段と言えます。ただし、自分の「バーチャルポケット」が犯罪者にとって都合よく開いていないように注意しなければなりません。では、クレジットカードの安全を守るための対策を見ていきましょう。

cards

適切なカードを選ぶ

この1枚さえあれば何が起きても大丈夫、という万能の銀行カードはありません。American Express、MasterCard、Visa、UnionPayの他にも、世界各国に無数のカード会社があります。市場によっては、クレジットカードのほかデビットカードがあります。状況に応じて、2種類か3種類、またはそれ以上のカードを使いたいということもあるかもしれません。それぞれに独自のセキュリティ対策が施されています。一般的に、クレジットカードは多くの面で厳重に保護されており、銀行はクレジットカード取引の確認で非常に厳格なセキュリティ手順を実施しています。クレジットカードでの購入には多くの国で保険がかけられているため、悪意のないカード所有者に不正取引の代金が請求されることはありません。さらに、一部の国の犯罪者は、クレジットカードでの取引は逮捕されるリスクが高くなるため、利用を避けています。しかし、ここで挙げた理由はどれもあらゆる人に当てはまるというわけではありませんし、何の保証もありません。クレジットカードを選びさえすれば他のセキュリティ対策はすべて忘れていい、というわけではないのです。

一般的に、クレジットカードは保護対策がしっかりしており、犯罪者は使用を敬遠します。しかし、安全が保証されているわけではないため、他のセキュリティ対策が不要になるわけではありません

カード会社を選ぶときは、計画しているカードの用途について考えてみましょう。「世界で使える」と言われるカードはたくさんありますが、目立った空白地がなくほぼすべての国で利用できるのは、今のところMasterCardとVisaだけです。ヨーロッパに住んでいる人やヨーロッパによく旅行に行く人は、おそらくMasterCardが最良の選択肢でしょう。ヨーロッパの一部のATMではMasterCardしか利用できないからです。主な例外は中国(規制が厳しく、中国での最良の選択肢は間違いなくUnionPayです)とオリンピック開催都市(オリンピック期間中は、公式の会場ではVisaしか使えません)です。さらに重要なことに、MasterCardとVisaは技術とセキュリティの面で他社の先を行っています。また両社は、業界全体のセキュリティソリューションを主導しています。

カードを選ぶときに一番重視するのは金利や特典かもしれませんが、セキュリティ対策も考慮する必要があります。銀行のWebサイトで「セキュリティに関するアドバイス」のページをチェックしましょう。「知らない人にカードを渡さない」といった一般的なアドバイスが多いと思いますが、その銀行が顧客に提供しているセキュリティツールの一覧も見つかるはずです。以下のような便利なセキュリティツールを探してみてください。

カードのセキュリティツール

  • ICカード: いわゆるICカード(正式にはEMVカード)は、ヨーロッパの銀行ではすでに普及していますが、米国やカナダなどの一部の地域ではまだ使われ始めたばかりです。磁気ストライプとともに埋め込まれたチップによって安全性が大幅に高まり、カード情報を盗んで複製しようとする試み(Targetの情報漏えいATMスキマーなどのケース)のほとんどを防ぐことができます。ICカードも古い(磁気式)読み取り機に対応していますが、MasterCardとVisaは2015年後半からICカードの義務化を求めています。カード各社は、非EMVカードを使用して行われた不正請求を、2016年から補償の対象外にすると発表しています。
  • チップ&ピン: ICチップによって、お店や銀行がこれまでより安全にカードを読み取れるようになったといっても、カード所有者の本人確認は必要です。古いカードではサインによって本人確認をしていますが、サインは店側で確認しないことが多く、簡単に偽造できてしまいます。これに代わる本人確認手段が4桁の暗証番号(PIN)です。現在ATMで入力しているのと同じように、カードで買い物をする度にこの番号を入力します。伝票にサインするのと同じくらい簡単ですが、安全性ははるかに上です。
  • 暗証番号の変更: とても簡単で有効な手段ですが、まだ標準の機能ではありません。あらかじめ決められた暗証番号を、もっと覚えやすい番号に変えることができます。また銀行によっては、暗証番号を忘れたときに、カードの再発行が不要になることもあります。ただし、誕生日や連続する4つの数字など、簡単な暗証番号にならないように注意してください。
  • 写真入りカード: カード名義人の写真が印刷されたカードというのは、至ってシンプルな対策ですが、カードが盗まれたときにお店で使われるのを防ぐという効果があります。
  • 即時支払通知: 主にSMSを使用して、カードの引き落としが正当なものかをすぐにチェックできるというシンプルな機能です。取引の正確な内容と引き落とし額が記載されたSMSが、引き落とし後ほんの数秒で届くため、不正請求や請求ミスを見つけるのに役立ちます。早い段階で通知を受け取ることで、カード会社への不正利用申し立てをしやすくなります。


  • 3Dセキュア: これはオンライン取引のセキュリティを強化する機能です。ブランド名(Verified by Visa、MasterCard SecureCode、J/Secure、American Express SafeKeyなど)で呼ばれることが多いのですが、本質的な部分は同じで、銀行やカード会社がオンライン決済で本人確認を行うためのものです。確認は、一般的に2ステップで行われます。まず、クレジットカード情報をお店のWebサイト(またはお店が利用している決済処理サービスのサイト)で入力します。すると、自分が利用している銀行の特別なページにリダイレクトされるので、そこで特別なパスワードを入力して取引内容を確認します。一部のサービスでは、固定の2つめのパスワード(安全性が高いとは言えない)を入力するだけですが、比較的新しいサービスでは、SMSで送られてくるワンタイムパスワード(非常に安全性が高く、フィッシングを防止できる)を入力します。オンラインで頻繁に使う予定のカードでは、この機能を必ず有効にしておきましょう。
  • 仮想カード: これもオンライン詐欺への対抗手段です。物理的なカードがあるわけではなく、インターネット上での購入だけに使用されます。オンラインバンクからすぐに発行でき、メインのカードに紐付いた補助的なカードという場合と、別のカードという場合があります。前者の場合は1回の購入にだけ有効で、その後はブロックされます。後者の場合は、オンラインバンクから管理して、安全性と利便性のバランスをとることになります。考えられるセキュリティ対策としては、利用限度額を設定する(日別、月別、合計)、カードを定期的に再発行する(毎月、毎週、必要な場合は毎日)、カードの残高をほぼゼロに維持する(買い物をする前に毎回手動で残高を追加する必要があります)、などが挙げられます。
  • NFC 近距離無線通信(NFC)は、正確にはセキュリティ対策ではなく無線技術で、2つのデバイスを少し接触させることで情報を交換することができます。MC PayPassやVisa PayWaveなど、ブランド名の方が知られているかもしれません。NFCチップは非常に小さく、一般的な磁気ストライプやEMVチップとともにカードに埋め込まれていることもあります。NFCカードで支払いをするときは、カードを端末に触れさせることになりますが、財布の中に入れたままでも認識可能な場合もあります。その場合、カードを誰かに手渡す必要がなく、見せる必要すらないため、とても安全です。カードを家に忘れたり、どこかに置き忘れたりすることも少なくなるでしょう。ただし、バンキング分野でのNFCの利用はまだ比較的日が浅く、無線技術(数cmという極めて近距離ですが)であることから、まだ知られてない手口で悪用される可能性もあります。そのため、NFC対応カードは、非接触型の即時決済が有用であることがわかっている、比較的少額の支払いだけに使用してください。たとえば、交通機関、ガソリンスタンド、ファストフード店、駐車場などです。
nfc-paypass

簡単な安全ルール

さて、ここまでは銀行とカードを選ぶためのヒントと、考えられる限りのセキュリティ対策を紹介してきました。チップ&ピンカードで3DセキュアやSMS通知を利用すれば、インターネット上での支払でも現実世界での支払でも、安全性が大きく高まりますが、こうした保護対策も以下の簡単な安全ルールを守らなければ効果はありません。

 

  • カードは誰にも渡さない: 至って当たり前のルールですが、実際には守るのが難しい場面もしばしばあります。レストランでウェイターにカードを渡して、店の裏で処理してもらうこともあるでしょうし、奥さんや旦那さん、10代のお子さんに貸してあげることもあるかもしれません。不正使用されないように、自分の目が届くところで使うように言ってください。たとえば、レストランの場合はレジのところまでウェイターについていきます。海外でカードを使う場合は特に大切なことです。クレジットカードを家族とうまく使うには、お子さんやパートナーには家族カードを渡すのがいいでしょう。
  • 危険な場所で使わない: 一番危ないのは、路上のATMと、人目の少ない公共の場のATMです。スキミング(カードの複製を作るためにカード情報や暗証番号を記録する行為)の恐れがあります。また、非常に小さな店や、古い機器を使っている店ではカードの利用を控えましょう。
  • 暗証番号は絶対に教えない: あなたの暗証番号を聞く権利は誰にもありません。例外は一切なしです。暗証番号を書き留めておくのはやめてください。忘れるのが恐いという人は、スマートフォン向けの特別なパスワードマネージャーを使うといいでしょう(当ブログのiOSアプリとAndroidアプリのレビュー記事で紹介しています)。暗証番号をATMやPOS端末に入力するときは、キーボードが見えないようにもう一方の手で覆ってください。誰かがすぐ近くに立ってこちらを見ていないか注意する必要があります。暗証番号が盗まれたと思われる場合は、すぐに銀行に連絡しましょう。
  • 問題は必ず報告する: カードを紛失したときや、身に覚えのない請求が来たときなど、何か問題が起きたときはすぐに銀行に連絡してください。詐欺師は盗んだカードをできるだけ早く使おうとするため、早めに連絡できるかどうかで命運が分かれます。
  • 安全なオンライン決済ができる環境を整える:. 簡単に言うと、コンピューターがマルウェアに感染しておらず、ネットワークが保護されていて、通信が暗号化されているという状態です。また、接続先のサーバーがお店や銀行を騙る偽物ではなく、正規のサーバーであることも確認しなければなりません。実際のところ、これを人間の目で確認するのは難しいため、こうしたチェックを自動でやってくれるシンプルな「パッケージ」ソリューションが用意されています。この「ネット決済保護」という機能はカスペルスキー インターネット セキュリティ(カスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)のコンポーネントとして提供されています。
  • フィッシングを避ける:. 犯罪者の間で非常によく使われる手口が、大手銀行(Barclaysなど)、オンラインショップ(Amazonなど)、オンラインサービスプロバイダー(Appleなど)を装ったメールを大量に送りつけるというものです。こうしたメールには、「アカウントの確認」「不審な引き落としの確認」「高額商品の配送の確認」が必要といったことが書かれています。メール内のリンクをクリックすると、銀行、ショップ、プロバイダーの偽のWebサイトに転送され、パスワードやクレジットカード情報の入力を求められます。フィッシングの被害に遭わないために、こうしたメールのリンクは絶対にクリックしないでください。自分のアカウントが心配なときは、そのサイト(icloud.comやamazon.comなど)を手動で開いてアカウントにログインしましょう。メール内のリンクをクリックすることだけは絶対にやめてください。

他にもアドバイスがあるという方は、ぜひ下のコメント欄でお知らせください!