クレジットカードの情報流出は防げない。会員側ができる対策とは

時折ニュースになるのが、色々な会社からの個人情報流出事件です。その中でもクレジットカード情報の流出は非常に重く受け止められていますね。

その情報流出事件で、クレジットカード情報も漏れたかどうかと言うことが、その事件の重大性を測るキーになっているぐらいです。

情報流出自体は防げないと考えておいた方が良い

情報流出自体は、例えば会員データベースのような物を保管しているサーバがクラッキングされてデータを盗まれたというような、情報技術に関する漏洩があります。

一方で、元社員が会社を辞める時に印刷された名簿を持ち出したという、アナログな方法での流出もあります。そのすべてを防止するのは極めて困難だと言わざるを得ません。

とは言え、経済的被害が出るような流出は、むしろ持ち主の責任によるものが多いです。

一番防がないといけないのは決済可能な情報

念のため、正規のサイトが準備している防犯機能を利用すると更に安全です。防犯機能についてはのちほど説明します。

近頃ではフィッシングが最も多く見られる

フィッシングは本物そっくりの偽サイトを準備して、被害者をそこに誘導し ID・パスワード・クレジットカード情報などを入力させて盗む手口です。

基本的にはある程度の注意さえ払っておけば引っかかることもないのですが、最近では被害者がどれだけ気をつけていても、通信を改ざんするという高度な手口も見つかっています。

高度なものは通信のプロに任せておいて、低レベルな手口に引っかからないよう注意しておくだけでもかなり効果があると思います。

• フィッシングサイトへの誘導にはメールが使われることが多い
• メールは被害者が慌てるような緊急性のある内容になっている
• フィッシングメールはよく読むと日本語が変
• フィッシングサイトには、ID・パスワードを間違ってもログインできる
• フィッシングサイトに情報を入力すると正しいサイトへ遷移する
• URL が https で始まるセキュアな通信を用いないサイトになっていることが多い

こうした特徴をよく覚えておきましょう。

フィッシング詐欺の手口は意外に原始的なものが多い

一例を挙げると、2019 年のゴールデンウィーク明けにばらまかれていたフィッシングメールですが「『ゆうちょ認証アプリ』による本人認証サービス開始」と言う表題の物がありました。

メールの中には “https://www.jpbank-japanpnst*******.com”（ * は伏字です） と言うリンクが貼られていました。一目で怪しいことが分かるURLですが、不慣れな人だと気づかないでクリックしてしまうかも知れませんね。

メールに書かれているリンクは絶対にクリックしない

いくら情報を盗むためのフィッシングサイトを作っても、そこに被害者がやってこないと意味がありません。そこで詐欺師たちはランダムにメールを送り付けてそこに被害者を誘導するのです。

ですから、こうしたフィッシングメールによる被害を避け、本物のメールの内容だけを利用してください。それには次のような手順を踏みます。

上のゆうちょ認証アプリの場合を例にして考えましょう。

• ゆうちょ銀行のアカウントを持っているか
  　⇒持っていなければその段階で詐欺メール確定
• 持っている場合は、ブックマークからゆうちょ銀行のトップページにアクセスする
• トップページからログインする
• ログインしたページに、メールと同じ案内があるかどうかを見る
  　⇒なければ詐欺メール確定
• 同じ案内があった場合、それに従って処理する

このように対応することで、フィッシングを避けながら大切な情報を見落とさない工夫ができるのです。

サイトへのアクセスを要求するメールはよく読む

もちろん、メールの中のリンクをクリックしてはいけませんが、それ以前にフィッシングメールではメールの日本語が変なことが多いです。

以前は、あからさまに「それは違うだろう」と突っ込みたくなるような日本語が多くて、明らかに外国の犯罪者グループによるものだとわかりましたが、最近はかなり日本語がうまくなっています。

それでも、よく読むとありえない表現があるのです。先のゆうちょ認証アプリのメールにもいくつかおかしい点があります。

• 最近、ゆうちょ銀行は…
  　⇒銀行なら、必ず具体的な日付を入れます
• もしバインディングしているのがトークンの場合…
  　⇒バインディングという専門用語はあまり使いません
• メールにログインしてください
  　⇒普通だと「サイトにログインしてください」
• お取扱時間：平日　8時30分21時
  　⇒時刻表示が変ですね。～や「から」などの接続語がないです

このような表記がある場合、貼ってあるURLをクリックするのは絶対にやめてください。

正規サイトが準備している対策は積極的に利用する

主にクレジットカード会社や銀行関係、大手通販会社などはフィッシングやマルウェア・ウイルスに対する対策を講じています。

ですので、多少面倒でもそれをうまく利用することが対策になるでしょう。

ソフトウェアキーボードの活用

ログインの際にIDやパスワードを入力するために、どのキーが押されたかを記録して盗み出すウイルス・マルウェアがあります。

これを防ぐために、企業のサイトにはソフトウェアキーボードというものが準備されていることもあります。

これは画面上にキーボードを表示してマウスタッチなどで操作するものです。

これだと、そのマルウェアなどが役に立たないので防犯になります。

Phish Wallなどの活用

JCB や一部の銀行などは、Phish Wall（フィッシュウォール）と言うソフトウエアを導入しています。

これは会員側は無料で利用できるソフトで、インストールしておくと、正しいサイトにアクセスした場合にポップアップで知らせてくれるものです。

導入していない企業も少なくありませんが、自分の取引のあるところから勧められたらインストールすると良いと思います。

本人認証サービスに登録する

ですので、必ず登録しておくようにしてください。

ブラウザ機能も進化している

サイトだけではなく、ブラウザにも防犯機能が備わっています。URL が “https://” で始まっていると暗号化通信に対応しているので、通信傍受による情報漏洩が防げます。

同様に、アドレスバーに鍵マークがついている場合は、暗号化通信に使われる証明書が正しいことを示しています。でも、最近ではフィッシングサイトもこれを利用していますから、判断基準にはしにくいです。

一方で、詐欺サイトだという連絡がユーザーから届くと、通信を遮断してくれる機能が備わっているブラウザもあります。ですので、常にブラウザは最新のものに更新しておくことも防犯対策になるのです。

フィッシングサイトに騙されてしまったらカードを止める

万が一、フィッシングサイトに引っかかってしまい、カード番号や暗証番号などを入れてしまった場合、それに気づいた段階ですぐに、カード会社の紛失盗難窓口に連絡してください。

原則としてさかのぼって60日以内の不正利用は補償の対象になります。

フィッシング被害の届けを出して補償を受けられるようにする

クレジットカードの不正利用については、正しい暗証番号が使われると原則補償対象外になります。しかし、フィッシング被害では暗証番号も盗まれますから、気づいたら直ちにその旨を届け出ないといけません。

単なる紛失や盗難の届けでは補償対象外になってしまう可能性が高いです。

次の記事では、不正利用されたときの対象方法を紹介しています。

使い捨てのカードはあまり残っていない

海外の、あまり信用できそうにないサイトでカード払いする時に便利だったのが、クレジットカードに付帯する「使い捨てカード番号サービス」だったのですが、現在サービスの残っているところは見つかりませんでした。

それでも、いくつかのクレジットカードの付帯サービスでバーチャルカードやバーチャルプリカがありますのでそれを使うと、今ひとつ信用できないサイトで買い物をする時に便利です。

• エポスバーチャルカード・VISA
• 楽天バーチャルプリカ・マスターカード

もちろん、エポスカードや楽天カードの会員に対するサービスですが、普及率の高いカードですので利用しやすいと思います。

一方、ライフカードのVプリカなら、ネット上だけでなくコンビニでも買えますし、ライフカード会員でなくても購入できるので便利です。