皆さまこんにちは。暑い日々が続きますね。
ところで、表題にあるように、わたくし、クレジットカードの不正利用にあってしまいました。
TVの中だけの話だと思っていました。ネット上の他人事記事だと思っていました。
カード歴20数年、初の体験です。
ぜひとも皆さまにお伝えせねばと思い、事の顛末と対応、事後処理など、まとめました!
いや、さすがに、ブログのネタができたとか喜んでませんよ、マジですマジ。
わたしの顛末を見ていただき、何かしら防衛のための意識を上げていただければと思います!
Contents
予兆
わたしは楽天カードマンが誕生する何年も前から、楽天カードを使っている、生粋の楽天カードマンです。今回も楽天カードにての被害でした。
こいつよりもわたしのほうが楽天カード歴は長いんです(笑)楽天カードはダサいので、外で出すのはちょっと気が引けます。
楽天ではカード利用があると、まず速報として、登録メールアドレスに、何月何日に何円使用したか、のみ記載されたメールが届きます。
「8月1日 30,780円」って感じです。
わたしのもとにそのメールが届いたのは8月2日。金額は3万円ほど。
速報では、使用先もわからない(笑)のですが、ここ数週間、3万円もの買い物はした覚えがありません。その時点で、この利用は一体なんだろう? と疑問に思いました。
しかし、わたしは電気、ガス、水道、携帯、ネットサービス(レンタルサーバなど)も全てカード引き落としにしており、以前にも一度、「こんな金額使った覚えがない!」という速報を見て焦ったのですが、フタを開けると、保険料だったということもありました。
ですので、今回も年に一度くらいまとめて引き落とされる、何らかのサービスかも、と少し不安は残りつつも、納得しておりました。数日後には、カード会社のご利用明細画面にて詳細は分かるわけですし。
発覚
速報があってから数日、あの3万円は何だったのだろうと、一日に一回は楽天カードマンのページへ行き、明細が追加されていないか確認しておりました。
しかし、8月5日くらいで、2日よりもあとに使用したカード利用の明細が記載されるようになり、それ以前の利用である3万円が明細に記載されないので、「何かのミスだったのかな」などと、少しのんきに構えるようになりました。
そして来る8月8日、その時も速報メールが来て、日付と金額のみ記載された明細が載っていました。(その速報明細の使用用途は自覚しておりました)ふと、そういえば、あの3万円、どうなったかなと、ご利用明細画面に飛んでみたのです。
ご利用額は以前に見た額と変わりません。3万円分増えている様子もなく、明細の1件1件も3万円のものはありませんでした。
しかし、そのままスクロールしていくと、「来月以降のご請求」という欄が。
そしてそれはそこにありました。
約3万円のカード使用明細が店舗名まで出て記載されていたのです。
やはり、あの速報は間違いではなかった。そう思うと少し焦りが生じました。
すぐさま、使用明細にある店舗名(半角カタカナで途中で切れていました)で検索をかけると、スポーツシューズ屋がヒット。
もちろん、ここ数ヶ月靴など買っていません。スポーツウェアやグッズも少し扱っているみたいですが、それも買っていません。
「不正利用された」
確定的になった時点で、ガーンと来ました。
カード会社への連絡
すぐさま、楽天カードの「身に覚えがない利用明細がある場合」リンクから、カード会社へ連絡するために飛びました。
飛んでいくと、もうええっちゅうねんというくらい、様々な確認事項がありました。
まずは楽天での購入履歴を確認しろと。次に家族が使用していないか確認しろ。そして、googleやfacebookで使っている場合、amazonで使っている場合、その他さまざまな確認事項が列挙してあります。
もちろん全部確認済み、というか、はっきりと使ったことがない(むしろ知りもしない)店舗での使用なので、素通りです。
カスタマーセンターコールサービスは、たまたまだったのか、かなりすんなり繋がりました。(いつもは鬼のように待たされます)
電話受付の方に、本人確認などを経て、状況の説明をしました。
一通りの説明後、調査室から改めて連絡をいたしますということで、一度電話を切りました。
1時間もせず、楽天カードから電話があり、同じような説明をすると、上記のWebに記載されていた、家族使用はなかったか、系列店ではないか、など、一通り尋ねられました。(どうやら必ず確認しなければならないようでした)
わたしの説明から、「これは不正利用の可能性が高い」となった時点で、カードの利用停止をするかと尋ねられました。
確かに、一度だけとはいえ確実に不正利用されているカードを使い続けるなんてありえません。すぐに停止してくれと申し出ました。
しかし、考えてみれば不思議です。一度は決済が通ったカード、なぜ、たった一度だけしか使わなかったのだろうか。(これはあとから、3万円というそれほど大金ではない金額的に見て、気づかれずに使用し、足がつかない、発覚しないことを目論んでのやり方だと推察しました)
カード停止のあとの煩わしさがふとよぎり、一瞬、どうしようか迷ったのも事実です。
しかし、「お客様の判断で停止しない場合、このあとの不正利用があっても、補償が難しくなる」的なことを言われて、すぐさま、「停止してください」となりました。
停止の手続きをそのまま電話で行い、「電話終了後1分程度で使用できなくなります」とのこと。しかも、関連するサービスにETCカードがあり、連動しているようで、そちらも同時に使用不可となると。
そして、新カードの発行は1週間後になりますとのこと。
と、いうことは、お盆期間、カードどころかETCもだめってことですか? それは夏休みは全日お家で過ごせということですか?
出不精のわたしとはいえ、9日間ある夏休み(休みの多さには定評がある職場)の間、高速を使わない(旅行などに行かない)のはなかなか寂しいことでして。
そこでも、また迷いが・・・。わざわざカード止めなくてもいいかな・・・。一回だけだし。
そのためらいを感じたのかコールセンターは「どうします? すぐに停止しますか?」
しかし、その後の言葉に、必ず「お客様判断で停止しなかった場合(ry」
そりゃ、一度クラックされてるカードは今すぐにでも止めないと怖いですもんね。カード会社も私も。
泣く泣く「すぐに止めてください」と伝えました。
再発行の連絡
カード停止の手続きと同時に再発行の手続きもしていたので、再発行の連絡は早かったです。
手続き翌日の8月9日には「再発行完了」のメールがきました。しかし、郵送のため、届くのは1週間はかかるとのこと。さらに、お盆などの長期休暇中は遅配することが多いので、ご容赦くださいとのこと。
うーん、どう考えてもお盆休み終わってしまう。
再発行カード到着
しかし、なんと、再発行完了メールからわずか3日、8月12日に、なんとカードが届きました!
やるじゃねぇかカードマン。
しかしながら、誠に残念ですが、ETCカードはついていませんでした。どうやらETCの方は後ほど発行→郵送という形で、こちらはもう少し時間がかかるようでして・・・。
ムムッ! じゃねぇよ、役立たずパンダめ・・・。
まぁ、楽天カードが悪いわけではないんですが、ETCカードはできればクレジットカードと一緒に来てほしかったです(泣)
考察
不正利用が発覚してすぐに、一体なぜ? という自問が始まりました。
いわゆるスキミング(カード読み取り機にて不正にカード情報を搾取する)などにあったとは考えにくいです。
なぜならば、私は基本的に外でお買い物をしません。
もちろん、日用品や食品、飲み物やその他コンビニで手に入るようなものなど、一般的な買い物はしますが、その場合はほとんど現金です。
ほとんどの買い物がネット上で済んでいるので、カードの実物を使うことは少ないんです。
となると、カード番号の流出です。
しかし、少し調べると、カード番号はどうやらかなり流出しているようで、流出カード番号を調べるツール、カード番号がまだ生きているか調べるツール、カード番号からセキュリティコードを生成するツール、このあたりが海外サイトには結構ありました。
(画像はカード番号がまだ使えるかどうかの検証ツールです)
つまり、クレジットカード番号は意外と流出していて、さらに番号のみでネット決済できるサイトもまだまだあり、その上、セキュリティコードまでジェネレートしてしまえるということです。
大手の情報流出(YahooやDocomo、KDDIなど)はニュースになりますが、小規模ネットモールや、小規模店での情報流出はニュースにならないどころか、そもそも情報流出したかどうかも気づかれていない可能性があります。
小規模なWebショップにあるセキュリティホールをついて、例えばDBからデータを抜いても、形跡を限りなくわかりにくくするツールを使えば、ばれない可能性は高いと思います。(データを抜くと行っても、コピーするだけなので、もともとのデータはもちろん残っています)
それは、大手と違い、小規模店や中小企業にはセキュリティ要員を置く金銭的余裕はなく、また、外注する分にも、サーバ管理として一括外注するので、余計なオプション(セキュリティオプション)はつけたがらないそうです(某塚商会営業員談)
となると、カード情報が流出していても、誰も気づいていないという事態は、結構あるんじゃないかと推察されます。
(ちなみに、「個人情報流出 日本」などで調べると、結構大手もバンバン漏らしてたりします)
さらに、今回のように、少額での不正利用が非常に多いそうです。わたしの場合は3万円と少々高額でしたが、1万円程度が最も多いとのこと。
たしかに、明細を見る癖がない人だと、1万程度の上下は毎月のこと、別段怪しいとも思わないでしょう。実際にある友人は明細など見ないからわからないと漏らしてましたし。
となると、カード番号が流出したことも、さらに不正利用されたことも、こっそり闇に葬られて、誰にも気づかれていない、という状態が何件もあると考察できます。
ある意味、ごっそり使って(高額な買い物で50万程度)一気に抜くより、バレずにこっそり継続的にの方が、リスクも少なければ、最終的な金額も多くなるでしょう。
そういった意味で、自衛策は必須だと思います。
自衛策
最大の自衛策は使わないことです。しかしながら、このネット社会、すでにクレジットカード払いが当たり前になっており、むしろ他の手段は代引きであったり、銀行振込であったりと、利用者に何らかのデメリット(手数料など)が発生するものしかありません。
なので、クレジットカードは使用するとの前提での自衛策を考察します。
まず、ネットでの買い物はPayPalなどの大手の支払いサービスを使って行うほうが良いと思います。これだけ流出していると、クレジットカード登録は多少怖いです。(AliexpressなどのAmazon並みに大手ならば大丈夫かもしれません)
また、PayPalに対応していなくても、Webマネーなどのプリペイドカードに対応しているならば、そちらを使用する、国内ならば、銀行振込で自分の持っている口座と同じ銀行ならば、銀行振込を優先する(手数料がかからない)くらいでしょうか。
当たり前ですが、httpのサイトでの登録はしない。httpsサイトでも、オレオレ証明書などありますので、できれば企業名の出る、EV認証を受けたサイト(chromeでは緑色の文字で企業名や組織名が出ます)でしか、クレジットカードの登録は控えたほうがいいかもしれません。
かなり不便になりますが、正直、不正利用調査のための電話、カード停止に関わる各種手続き(電気・ガス・携帯などのカード変更手続き、さらに水道に関しては書類送付が必要)を考えると、それくらいの不便は受け入れようと、今なら思います。
もちろん、スキミングがなくなったわけではないので、店舗で使う場合は、目の前でカード処理するところを確認することも忘れないでください。
まとめ
この顛末は、今後のクレジットカード不正利用被害を少しでも抑えることができればと思い記事にしました。
もちろん、一番は自戒の意味を込めてです。
クレジットカード不正利用なんて、対岸の火事だと思っていたら、実は自分が燃えていた。これがまさに今のわたしです。
皆さまも、一度、カードのセキュリティについて見直してみてください。
それでは、このへんで、アディオスアミーゴ(・∀・)