イオンフィナンシャルサービスは3月13日、2025年2月末までの1年間にイオンカードなどの不正利用で99億円の損害を受けたと発表した。 イオンフィナンシャルサービス1社だけで99億円もの被害とは、何があったのか。110枚以上のクレカを活用するクレジットカード専門家の菊地崇仁さんに聞いた。 「今回の犯人はクレカの仕様に非常に詳しく巧妙に仕組まれた不正利用ですが、根本的な原因はイオンカードアプリの欠陥にあるといえます」 一連の不正は、イオンカードアプリ経由で登録したアップルペイで決済されていた。犯人がフィッシングメールやSMSなど何らかの方法で入手したカード情報を元にすれば、アップルペイの登録が簡単にできる状況があったというのだ。 犯人は不正に登録したアップルぺイなどを使って、コンビニなどで換金性の高い商品の購入、売却を繰り返し、金銭を得ていたとみられる。 イオンカードは今回の不正利用の原因をすでに修正し、同様の不正利用はもう起こらないとしている。 「だから安心、ではありません。2024年に起きたクレカの不正利用の被害額は555億円（日本クレジットカード協会）。被害額は増大する傾向です。 しかも、555億円は不正利用の届けを受けた金額であり、不正利用に気づいていないケースは含まれません。氷山の一角に過ぎないのです」（菊地さん、以下同） 紙の利用明細書の有料化が広がり、クレカの利用明細を見返す習慣がなくなった人も多いのでは。 「クレカ利用額の引き落としを見ているだけでも、数万円など高額の不正利用なら気づく人が多いでよう。しかし、数百円単位の不正利用に気づく人は少ないのです」 これに乗じて、少額の不正利用がサブスクのように毎月連続して行われる被害が増えているという。 たとえ数百円の不正利用でも、何年も続くと被害額は大きくなるのだが、実は、もっと恐ろしい事態に襲われることも……。 「サブスク的な不正利用は、そのクレカが利用可能か、持ち主が不正利用に気づきやすいか、などの判断基準として利用されている可能性があるのです」 犯人たちは、数百円の不正利用を広く多くの人に連続的に行うことで得られる金銭を稼ぎながら、同時にカード番号などの情報を売っているのだという。 「確実に利用可能なカード番号や不正利用に気づかないカード番号は、“詐欺に使えるカード”として名簿化され出回ってしまいます。そのクレカの持ち主は、名簿を買った別の詐欺師によるもっと大きな被害に遭う危険性があります」 よくクレカを使う尚美さん（仮名）は、クレカの明細確認を怠っていて、毎月330円の不正利用に気づかなかった。その後、見舞われた大損害をこう証言する。 「いつから不正利用があったのか、わかりません。330円なんてコンビニで使ったんだろうくらいの軽い気持ちでした。ショックなのはクレカの限度額すれすれ、100万円近い不正利用です。実はこれも4カ月くらい気づかなくて……。銀行の預金残高がなくなり引き落とし不能の通知が来て、やっと気づきました。カード会社に不正利用を連絡しても時効だと言われてしまい……。被害の総額は100万円を超えますが、全部自腹です」 ■確認メールがフィッシング詐欺の可能性も 不正利用がたとえ少額でも、大きな被害につながる“詐欺に使えるカード認定”は避けねばならない。不正利用はいち早く見つけてカード会社に連絡、カード番号の変更など対応をとる必要がある。 また、不正利用は原則カード会社が補償してくれるが、補償期間は不正利用の発生から60日、長くても90日だ。尚美さんのように気づかないのは論外としても、利用明細を見て1カ月前の不正利用を見つけても補償期間は残り数週間。カード会社とのコンタクトに時間がかかることもあり、間に合わないケースもあるという。 「最近はクレカを少額決済に使う人も増えています。1カ月前に数百円を何に使ったか、覚えている人は少ないでしょう。利用明細のチェックは1カ月ごとでは遅すぎます。2～3日に1回は必ず行うものだと考えてください」 たとえば「通勤時間中に」などチェックするタイミングを決め、ルーティン化するといいという。 「明細チェックは公式ホームページからWEBで行うより、アプリがおすすめです。アプリに指紋や顔など生体認証を登録すれば、ログインが簡単ですよ」 不正利用の増加を受け、経済産業省も対策に乗り出した。4月からクレカのセキュリティ強化を義務化するのだ。ポイントは2つ。 【1】ネットショッピングで高リスクと判断された決済には、必ずSMSなどの2段階認証を実施する。 【2】実店舗ではクレカ利用時にサインでの認証を廃止。4月以降は暗証番号での認証かタッチ決済に。 4月から「暗証番号を忘れたからサインで」は通用しない。 クレカを使った覚えがないのに、利用後の確認メールやSMS認証が送られてきたら、不正利用の疑いがある。しっかり確認しよう。 「ただ確認メール自体がフィッシング詐欺の可能性もあります。メールに記載されたURLはクリックせず、問い合わせ窓口に連絡してください」 クレカを安全に便利に使うため、明細チェックを日課にしよう。