楽天カード不正利用の顛末

先月楽天カードの不正利用が発覚した件、防備のためにメモ。
二年前にもNICOS(VISA)で被害にあったことを思い出した。
あのときは利用明細を見て気が付き、
こちらから連絡して調査依頼など手間がかかったが、今回は違った。

12月20日、楽天カード株式会社セキュリティセンターを名乗る電話あり。留守電に、カードが不正利用された可能性がある、折り返し電話せよとのメッセージ。念のため、092から始まる電話番号が詐欺など不審なものでないか、ネットでチェック。

後で気付いたのだが、登録PCメルアド宛てに–【重要】楽天カードから緊急のご連絡」–というタイトルで同内容のメールも二通届いていた。こちらには現在カードは利用停止されている、とあった。電話対応24時間。受信時間を見ると朝5時台と9時台であった。

電話すると、12月18日に楽天モバイルで二件の買い物をした覚えはありますか、と訊かれた。もちろん身に覚えはない。楽天カードを利用した記憶は、その前10月末の楽天トラベルのみ。

なぜ判ったのかと尋ねるに、カードが通った買い物は二件であるが、これ以外にも、楽天モバイルでの買い物でカードがはじかれたものが何件かあり、不正利用が疑われたのだ、という。

すぐにカード再発行の手続きを取るというし、二度目なのでこちらも落ち着いたものであった。ただし、常々楽天カードは利用を速報メールで知らせてくれるのを評価していたのが、今回は届いていない、せっかくの良いサービスが肝心の時に役に立たないんじゃ仕方がない、と少し文句を言うと、こちらではその理由はわからない、何故でしょうね?と首をひねる様子。理由を調べるようお願いします、と電話を切った。

これはまことに申し訳ないことであった。私も実はぜんぜん落ち着いてなどいなかったのかもしれない。あとで見たら、利用速報メールが一通、二件分の内容で届いていた。

前回に比べれるまでもなく、システムによる不正疑い&利用停止作業が相当早い。この点は良いのだが、今回もやもやが残るのは、カード情報がどうして漏れたのかがあいまいなことだ。楽天IDとPWが漏れているのなら、カードを再発行しても同じことになる。このカード、ほとんど楽天での買い物以外には利用していない。つまりどこかでスキミングされたとは考えにくいのだ。直前(といっても2か月以上も前)の利用が楽天トラベルというのも気になる。

担当者は、物理的に漏れるだけでなく、利用サイトのセキュリティが甘かった場合や、あるいはPCが乗っ取られて情報が漏れる場合もあるし、コンピューターでカードナンバー(と有効期限?)の組み合わせを総当り的に行っての不正利用もあり得ると言うが、気になるのは利用されたのが楽天モバイルであったことだ。

いずれにしろ、どこでどう漏れたのか、それがカード情報なのか楽天IDなのか、はっきりとは解らないということだ。もちろん犯人はオンライン上の足跡は消していくし、追跡もガードもイタチごっこなのだろう。

2015年の第3四半期(7~9月)の不正使用被害額は、30.6億円で、前期比では8.5%の増加、不正使用被害額に占める偽造被害額は、5.1億円で、8.5%の増加、また番号盗用被害額は、19.3億円で、前期比15.6%の増加。
クレジットカード不正使用被害の集計結果について(ニュースリリース)(日本クレジット協会)

2014年の被害額は上半期で総額30億円とあるサイトにあった。これに比べるにかなりの増加率である。以前は利用の際のスキミングをまず心配したが、カード偽造はICチップや利用時のPINコード入力で減っているのではないか。上記の数値でも、番号盗用被害額が偽造被害額の4倍となっている。もはやカード保持には不正利用を織り込んでおくべきなのかもしれない。つまり、カードはスキミングリスクのある(可能性のある)場所では使わず、オンラインでも決してカード情報など入力せず、を貫いたとしても、カードを保持している限り、番号総当りでやられれば、本人の努力で防ぎようはないからだ(防止策はカードを持たないこと、しかない)。

前回の被害時に、3Dセキュアが有効だ、PayPalも安全だ、と聞かされた。VISAやMasterでの買い物であれば3Dセキュアによるガードがあっても、楽天市場での利用にその様なガードはない。楽天の場合それに代わるのがカード利用速報サービスや楽天IDへの不正ログインをメールで知らせてくれる「ログインアラート」ということなのだろう。

幸いこのたびは発覚も対応も早かったが、システムのチェックをすり抜ける場合もあるだろうし、本人が常に気にかけている必要はある。私もさっそく楽天IDのPWを複雑化し、「ログインアラート」のお知らせメールも有効化し、登録カード情報を削除し、セキュリティセンター担当者には、これからも素早く不正利用を見つけてくださいね、よろしくお願いします、とお伝えした。

あとは迷惑メールフォルダをこまめにチェックすること、他の楽天DMメールに紛れてしまわないように、不要なDM受信を拒否設定すること。最後は人的アナログチェックが有効、という結論であった(それと、もう一つ。被害リスクを減らすためにも、使っていないカードは解約すること、か…)。

【参考】
3つの理由。なぜ楽天はアカウント乗っ取りや不正ログインなどによる不正利用被害が多いのか。(2015.6.30)
楽天ダウンロードでカード不正利用の被害にあいました
【追跡ネット犯罪(1)】本誌記者の楽天アカウントが何者かに乗っ取られる / 早急なパスワード変更を推奨!!(RocketNews 2012.2.13)

【後日談】
その後、オンラインで請求明細をチェックしたところ、楽天モバイルからの請求が一件カウントされていた。問い合わせたところ、システム上以前の請求が上がっているだけであり、新たに不正利用されたのではない、とのこと。即座に請求明細からも消去された。

そのまた数日後、12/29日利用分としてまたもや楽天モバイルから利用請求のお知らせメールあり。日付が29日なので一瞬新カードでの不正利用を疑ったのだが、オンライン明細には掲載されておらず。代わりに同じく楽天モバイルでの別額の請求が上がっている。

またもや確認のTel。説明によれば、楽天モバイルは楽天系列会社なので、システム上引き落とし出来なかったものが再計上されて上がってくる場合がある、こちらも新たに利用されたわけではない、という。が、いちいち心臓に悪い。

カードは不正利用が疑われた段階で利用停止となり、疑いが確定となれば無効化も確定となるわけだけれど、購入されてしまったものに対する請求は、(楽天のグループ企業の場合?)しつこく旧カード保持者宛てにあがってくる、ということらしい。ほっておいてもどこかの段階できちんと請求が取り下げられるのならいいのだが、そうでないと引き落としされかねない。

引き落とされても後に返金してくれるだろうけれど、いちいち面倒くさい(こうやって気が付いて連絡するのだっていちいち面倒くさい)。双方に手間ひまと、楽天には費用も発生する。カード不正利用が確定したら、カード無効化と同時に保持者への請求計上停止も即行って欲しい。「なにしろグループ会社が多いものですから…」と担当者は言い訳していたが、だったら余計のこと、システムの改善が必要だろう。

  • トップへ戻る
  • カテゴリアーカイブ
  • HOME

2 Comments

  1. アマゾン、楽天市場や、Yahooショッピングも不正利用被害が多いですが、それは、クレジットカード不正利用があっても痛みが無いから、被害は全て出店してるお店ですからね~。
    ログインさえ出来てしまえば、ワンクリックで決済。
    さらに、店舗には迅速出荷を求めてきますから、店舗はろくに本人確認できない状態なので、被害続出です。
    私は、過去、楽天でやられましたが、それ以降、ログインさえできてしまえば、簡単にワンクリックで決済できてしまうセキュリティの脆弱なサイトには、クレジットカードの登録をしていません。
    クレジットカードの登録は、3Dセキュアが導入され、クレジットカード会社に登録してあるパスワードで本人確認ができるサイトに限定しています。

    • sophie さん

      コメントありがとうございます。

      大元のところで被害防止の抜本的な対策を取ってほしいですけれど、
      おっしゃるように現状では私たちが自衛するしかないですね。
      便利さはリスクと抱き合わせだということも、
      あらためて肝に銘じたいと思います。

メールアドレスが公開されることはありません。* は必須項目です。


*


*