いったい何が原因で？カード不正被害未遂

あるカード会社から、電話がありました。不正使用の疑いがあって、確認のためだそうです。

ある日、オンラインゲームにおいて、私名義のクレジットカードの番号が入力されて決済申請があったそうなのですが、有効期限が間違っていたため、はねられたのだそうです。

確かにネット上では、カード番号と有効期限の入力で決済できることが多く、私もそうしたことがあります。しかし、今回は有効期限を「犯人」が誤りました。誤ったからカード会社も不審に思って露見したのですが、誤らなかったら私が請求されていたでしょう。

Q1

こんなことが起きた原因には、どういうものが考えられますか？今後の防止策として、どのようなことが考えられますか？なお、今回の件で、カード会社はカード番号を変更すると言っています。

Q2

カードは本来、提示してかつ署名して初めて使えるものです。逆に言えば、提示する以上、カード番号も有効期限も、多くのスーパー・デパート店員などが目にすることになります。にもかかわらず、インターネット上で、カード番号と有効期限だけの入力で決済できてしまうのは、著しく問題ではないでしょうか？スーパーだとカードを預けるのは一瞬ですが、デパートやレストランだと、1～2分カードを預けることがほとんどで、カード番号や有効期限を店員がメモすることは十分可能だと思うのですが。

Q3

カード番号を、提示なしに割り出すことは可能でしょうか？カード番号には規則性があり、住所・氏名等から割り出せるというようなことをどこかのテレビでやっていたような気がするのですが。

No.3 ベストアンサー 回答者： naana2 回答日時： 2008/06/26 13:43

私も被害経験者です。

私の場合は不正実際に使用されてからカード会社から連絡があったのですが・・・ここはQ1に該当しますね。

自分の場合はサウンドハウスという大手インターネット楽器販売店から情報が漏れていました。具体的な手順についてもその会社のデータベースのセキュリティーホールを突いた非常に巧妙な手口で少なくとも、会社の人為的ミスは少なかったように思えます。状況的にはP2Pソフトやウイルス感染による被害ではなく、外部攻撃による情報流失でした。
インターネットでの買い物やクレジットカードを利用した買い物の場合はどんな大手であっても万全ではないという風に判断しました。（日進月歩の世界で万能というものはありえないので）質問者様はネットで買い物とかされますでしょうか？
結果、クレジットカード会社から短時間の間にオンラインゲーム内において5000円づつ計4回の引き出しがあったのでクレジットカード会社が不正利用を検知してカード使用をSTOP カードの作り直しで対応、また不正利用されていた4万弱については全額返金扱いとなりました。

Q2について私もカード会社に言及したところ
例えば飲食デパートなどで買い物をした際の情報漏えいのケースとしては店側のクレジットカード伝票処理方法等に依存するということでした。クレジットカードを使用した際必ず端末にカードを通しますがこの機械を通じて店側で発行する書類、ないし控えの一部に情報が記述されるケースがあるようです。
本来は店側が個人情報を意識して処理しなければならないものの、その処理を怠たることによっても十分漏洩する可能性はあるということでした。
仰られるとおり、店員がカード番号を控えて・・・となるともはや防ぎようがないものですね。

Q3
これについては聞いたことがありませんが、基本は磁気カードですのでPASMOのように簡単に装置を使って読み出せるものだと認知しています。スキミングと呼ばれる手口においては財布にカードを入れて持ち歩いてるだけでいつの間にかスキミングされ、不正使用されるというケースもあるようです。電気店などでもそういうスキミング防止用のカードケースが売られていますが、全てのクレジットカードを専用カードケースに入れ財布にいれるとなると中々現実的ではありません。

No.2 回答者： noname#62235 回答日時： 2008/06/26 13:13

Q1 店舗でのカード使用時にメモされた。

ネットでフィッシングサイトにアクセスして、入力してしまった。倒産したネット店舗の顧客情報などが、流出した（過去にカード番号を含む個人情報が流出した事件がありましたよね）。でたらめに打ってみたらたまたまあなたの番号だった。とかいろいろ考えられますけど、どれかはわからないですね。対策はカード番号を変える以外ないですね。

Q2 はい。問題です。なので、多くのサイトでは生年月日や電話番号を入力させたりして、信頼度を上げるようにしてますね。最近ではCVV2という、カード裏面の番号を入力させる方式も増えてますね。
Verivied by VISAのような、ネット認証方式（店舗が与信を判断するのではなく、サイトにログインしてカード会社自信が、判断する方式）も、技術的には導入されているのですが、導入障壁が高いためあまり普及していません。
ただ、理論的には「カード番号と有効期限」だけでは、本人確認になっていません。だから、このような方式におけるネット決済は、後からいくらでも取り消し可能です。なので、この方式で損するのは店のほうでありユーザーは損しません。
もっとも、しょぼいカード会社（流通系、セ○ンとか）の場合、わかっていて請求の取り消しに応じないことが多いです。こういう場合は消費者センターに相談することです。

Q3 さあどうでしょう。技術的には可能なのかもしれませんね。

No.1 回答者： walkingdic 回答日時： 2008/06/26 13:11

>Q1

>こんなことが起きた原因には、どういうものが考えられますか？
沢山の理由が考えられるため、ちょっと特定は困難です。

>今後の防止策として、どのようなことが考えられますか？
ご質問者ができる対策は、
・怪しいサイトの通販での購入は避ける。
　特にカードのサインをＦＡＸで遅らせるところはカード会社からの信用が低いです。
　（サインレスができるのはカード会社が認めた店だけ）
・明細書はいつもきちんと目を通し、カード利用控えと照合すること

＞Q2
＞著しく問題ではないでしょうか？
利便性との兼ね合いです。ただＱ１に書いたように気をつけていれば、もし知らない利用があればカード会社に言えばその部分の支払いを求められることはないので、それが防御線になります。

＞Q3
＞カード番号を、提示なしに割り出すことは可能でしょうか？
＞カード番号には規則性があり、住所・氏名等から割り出せる
できません。

この回答へのお礼

ご回答、ありがとうございます。

怪しいサイトでは買い物していません。

FAX送信方式かはよく分かりませんが、カード会社からのオンライン認証後に署名していると思います。

お礼日時：2008/06/26 13:42