大学生の頃、20歳になると同時にクレジットカードを作って早11年。
日々当たり前のようにクレジットカードを使ってきましたが、この前、ついにやられました。
クレジットカードの不正利用被害に遭ってしまいました・・。
メインで使っていたナンバーレスの三井住友カード ゴールド(NL)が不正利用されてしまったのです。。
それは、先月の出来事。
突然受信した不穏なメールから全てが始まった
ある金曜日の夜、不穏なメールを受信しました。
「<重要>【三井住友カード】お取引が決済できませんでした」という件名のメールが送られてきたのです。

ちょうどスマホを触っている最中に通知が来たので即座に開封できたのですが、内容を見ると不正利用検知システムにより止められた決済があると。
その付近の時間では何の決済もしようとしておらず、その時は「サブスクなどの定期的な支払いが誤ってシステムに引っかかってしまったのだろう」程度にしか思っていませんでした。私はパソコンの大先生()ですからフィッシング詐欺などには引っかかりませんし、ナンバーレスカードだからカード番号の盗み見もできませんから、不正利用されるような心当たりは全く無かったのです。
そのまま軽い気持ちで内容を確認してみると、、、全く身に覚えのないの取引が!!!
とある化粧品ブランドの公式オンラインストアなるところで、2万円ほどの決済がされようとしていました。
当然私がそんなサイトを利用することはありまません。まさかまさかの本当の不正利用だったのです。
このメール、サイトも間違いなく三井住友カードのもので、これ自体がフィッシング詐欺というわけでもありませんでした。すぐさま自身の利用かどうかの確認で「いいえ」を送信(=不正利用)し、それにより同時にクレジットカードは利用停止され、再発行手続きが行われました。。
予想だにしないマジもんの不正利用に動揺しましたが、検知システムのおかげで一応は事なきを得たので「あーよかった、不正利用はされたけど、検知システムのおかげで未遂に終わった。さすが三井住友カード!」と、その時は一旦安心しました。
しかし、事が事だけに念のため利用明細を確認してみることに。
すると・・・全く身に覚えのないSHEINの決済が何件もあるではないですか!!!!
どういうことだこれは!!!なんだよ不正利用検知システムって!ザルじゃねーかよ!!!
なんと、今回の不正利用が発生する数日前からSHEINで数千円程度の少額決済が何件も繰り返されていたのです。
既に完全に不正利用の餌食になっていましたorz
まぁでも、1回あったらふつうは何件もあるよね。ゴキブリみたいなもんだよね、、、、
ただもう夜のいい時間になっていましたので、カード自体は利用停止になっていることもあり、詳しい調査は翌日することにして、その日はそれでもう寝ました←
補償(明細削除)がされるまで
翌朝になると再び三井住友カードがメールが届き、利用確認の回答を受け付けたことと、「カードの無効化・再発行を受付完了しました。」とのことでした。しばらくしたらiPhoneにもApple Payから使えなくなりましたと出て、勝手に削除されていました。。
そして、不正利用の調査依頼を出しました。
まず調査依頼
利用明細に載っている決済は、そのままだと自分の利用として請求・引き落としの対象になったままなので、まずは調査依頼を出す必要があります。
三井住友カードだと、利用停止手続きをした日から60日前までの利用までが補償対象になるそうです。
損害の発生がカードの利用停止のお手続きをした日の60日前までの利用について補償します。
カードの不正利用に対する保障制度について | 三井住友カード
恐らく60日を過ぎた不正利用は泣き寝入りになると思われますので、利用明細の確認は大事ですね。まあ、2ヶ月もあるので、普通にチェックしていれば大丈夫だと思いますが、、、。引き落とし2回分ですからね。
しかし、今回の不正利用はその週のうちの出来事ということもあり、まだ利用データがカード会社に届いていない取引も多くあったようで、不正利用の明細が日々増えていきました。
SHEINもたくさん来るし、育毛剤とか携帯キャリアの高額決済が来たりも。お前は一体誰なんだ。
調査依頼は、不正利用が増えるたびにチマチマ出していました。別に出すことでペナルティがかかるわけではないし、溜めておく意味もないので。。調査依頼を出すときの明細の選択画面では、既に調査依頼を出した明細はグレーアウトされており、どの明細が依頼を出しているか分かるようになっていました。
調査依頼を出すと5営業日以内に回答が来るとのころですので、調査依頼を出し、結果を待ちます。
分かりにくい「回答結果」を受領し、補償へ
調査依頼から数日すると、
【三井住友カード】ご紹介いただいたご利用明細の結果連絡です。htts://〜
というSMSが届きました。
URLを開くと「利用覚えのない明細に関するお問合せ結果」というページが表示され、調査依頼を出していた利用明細と共に、改めて確認し利用覚えがあるかないかを選択して回答しろと出てきます。
調査依頼に対する「回答」が連絡されるかと思いきや、もう1回明細が不正利用かどうか「お前が回答しろ」という、期待しているのとは異なる、しかも既にやったことを改めて指示される内容が表示されるのでちょと困惑しました。
恐らく「不正利用の可能性が高い」という結論がまずあって、確定処理のため再確認をさせようとしているだけだとは思うのですが、そのあたりの説明もなく、
改めてまして内容をご確認いただき、各明細の右欄に記載の(利用覚えなし/ご本人利用)のどちらかをご選択のうえ、次画面に進んでください。
という文章だけがいきなり表示されるので、こちらとしては「???」になってしまいます。
「調査の結果、不正利用の可能性が高いと判断されました。つきましては補償を確定させるため、改めて内容をご確認ください。」という感じだったら、まだ分かるんですが・・・。
しかも、次の画面に行ったら行ったで『再発行のご希望』で「再発行を希望する」か「カードを停止(無効化)のみを希望する」かの2択を迫られます。実際にカードが再発行されるまでの間はまだいいんですが、問題は新カードが発行処理された後で、旧カードではなく新カードが対象として表示されるので、非常にややこしい。まるで新カードを止めることを申請するような感じなるんですよね。
恐らく、このシステムが個々のカードではなくVpassアカウントをベースにしているからなのでしょうけど、ちょっとこれは送信するのを躊躇してしまいます。ここは取引に基づいたカード番号が表示されるべきだと思いました。一応、注意書きで、「補償申請された売上が計上されているカードを既に再発行されている場合は、再発行のどちらを選択いただいても、新たに再発行されることはございませんのでご安心ください」とは出てきますが、微妙に状況と一致していないし、新カードが対象として表示されている以上は戸惑います。
で、それで改めて回答をすると、数日後に利用明細から不正利用の取引が消えていきました。。これが「補償」ってことですね。
調査依頼を出した単位で「回答連絡」が来ますので、こちらもチマチマ再回答を進めていきました。必ずしも依頼を出した順に来るわけではなく、内容(件数とか?)により多少前後して届いたりしました。
新カード発行まで
今回不正利用されたカードはナンバーレスカードなので、再発行も早くできるのは?と期待していたのですが、金曜日に停止・再発行手続きをして、土日を挟んで4日後の火曜日の夜にはVpassアプリ上で表示されるカード番号が新しくなっていることを確認しました。
利用停止・再発行手続きをしたのは金曜の夜であることを考えると、実質翌日の再発行になるのではないでしょうか?物理カードだとカードが届くのを待つ必要がありますが、ナンバーレスカードならカード会社で処理さえされればアプリで確認できるようになるので、利用不能期間を最小限に抑えられるのはメリットですね。
ただ、アプリ上の番号は新しくなってもカード会社からの連絡は無く、「本当に使えるの・・・?」と不安あありました。まあ、Apple Payの設定もできたし、使ったら普通に使えたのでそのまま使い始めましたがw
その後、カード会社からは木曜日に「昨日新しいカードを発送しました」とメールが届きました。どうやら物理カードの再発行がされてから連絡が来るようですね。とはいえ、土日を挟んでも1週間以内には発送されたことになります。
そして、次の月曜には新しいカードが届きました。普通郵便で。
普通郵便だと対面受け取りをしなくていいというメリットは確かにありますが、今の普通郵便は配達日数が長くかかるうえに土日の配達はされないので、どうなんでしょうね・・・?ナンバーレスならあまり関係ありませんが、普通の物理カードなら1日も早く受け取りたいと思うのですが・・・。更新カードならまだしも、停止後の再発行カードだし。
カードを受け取った頃には全ての不正利用明細も消えていましたので、今回の騒動は1週間ちょいで全ての後始末が完了した感じになりました。。
「キャッシュレスの母艦」が突然使えなくなる怖さ
今回初めてクレジットカードの不正利用に遭いましたが、「キャッシュレスの母艦」たるクレジットカードが突然使えなくなるのは非常に怖いなと思いました。
キャッシュレス決済が普及していく中で、生活におけるクレジットカードへの依存度は間違いなく上がっています。ネット通販や配信系ではクレジットカードは必須に近いですし、生活に関わるサービスの決済もクレジットカードということも多いでしょう。その中である日突然クレジットカードが使えなくなると、生活に支障をきたしかねません。
2枚目以降のサブカードを持っておくことが、リスクヘッジとして非常に重要だと痛感しました。
とりあえず2枚目があれば切れ目なくクレジットカード決済は使えますからね。
私は三井住友カードの他にはJCBカードを持っているので、新しいカードが使えるようになるまではJCBカードで凌いでいました。チャージが面倒なプリペイド方式の決済手段は使っておらず、キャッシュレス決済はほぼ100%クレジッドカード依存ですので、JCBが無かったら死んでました。。まあ、リアル店舗では現金払いという代替手段が十分に機能しますが、ネット通販やUber Eatsなどのネットサービス系はカードが無いと困りますからね。。
それを考えると、3枚目があったほうが、JCBじゃなくてVISAかMasterのほうが、、とかいろいろ出てきますが、とりあえずは2枚で十分でしょうか。。
定期支払いの登録変更が大変
そしてカードが急に止まると困るのは、携帯電話やサブスクなどの定期的な支払いです。全部登録し直さないといけなくなります。
ただ、「クレジットカードの登録を全て修正しなければならない」というのは確かに面倒なんですが、それ自体は5年に1回の有効期限更新のときにやらなければならないことなので、そこまで特別なコストではありません。
問題は、突然カードが止められるので各サービスの支払日に決済ができない場合があるということです。
決済が通らなかった場合、サービスが使えなくなるとか、信用情報に傷が付くとか、いろいろなリスクが生じそうです。
私もネット回線、携帯電話、生命保険など、カードで行っている毎月の定期的な支払いが幾つかあったので、これらの対応をしなければなりませんでした。
Netflixなどのネットサービス系はだいたい即時に情報反映ができるので大丈夫でしたが、NTT回線やUQ mobileとかはネットからカード情報登録が出来ても「翌月から反映」とのことだったので、「詰んだか?」と頭を抱えました。
結果的に、UQ mobileは決済が通らないとなるや否やすぐ支払い用ハガキが送られてきて、それで支払い。NTTのほうは「翌月から反映」だったはずですが、無事に当月決済されていました。うーん、日付的には旧カード停止後の決済のはずなのですが、なんでなんでしょうね。。
他の支払いはタイミング的に「停止前に旧カードで決済済み」のものも結構あって、運良くそんなに影響はありませんでした。最悪、平日の日中に電話をかけまくらないといけないかなとか思っていたのですが、正直めんどくささを考えれば、UQみたいにハガキが送られてきてから払ってもいいのかなと思いました。催促後にすぐ払えば信用情報に傷が付くこともないでしょうしね。
どこから漏れたのか?
しかし、疑問に思うのは「一体どこからクレジットカード情報が漏れたのか?」、ということです。
先述したように私はパソコンの大先生()ですのでフィッシング詐欺なんかには引っかかりません。最近怪しげなメールやリンクから誘導された先でクレジットカード情報を入力したなんてことももちろんありません。
ナンバーレスカードなので、リアル店舗で使ったときに情報を控えられて悪用されるということもありえません。
スキミングについても、今回の不正利用はネットショッピングばかりですし、リアル店舗でも変な店とか使っていないので、その線も無さそうです。
となると、クレジットカード情報を登録していたサービスのどこかから漏れたのでしょうか・・・?
とはいえ、AmazonやAppleなどのメジャーどころから漏れることはないだろうし、万が一漏れたら大騒ぎです。となると怪しいサイト、マイナーなところからの流出しか考えられませんが、最近ちょっとマイナーなところで決済していたのは、あるにはあります・・・←
でも、怪しいところではないし・・・。そのマイナーどころも含め、使っているサイトで流出しましたって情報も出ていません。最近、「FC2」での決済が、警察からの槍入れで決済代行業者がFC2から撤退していった影響で、決済不能を回避するため一時期さまざまな代行業者が使われているようでした。もしかしたら、その中に怪しい代行業者が紛れ込んでしまったのでしょうか・・・?なお、「FC2」で何を利用していたかは非公表とさせていただきます。
あと、可能性が高いのはオーストラリア出張ですね。昨年11月と今年7月に行ったんですが、2回ともクレジットカード情報をホテルに控えられました。海外では割と一般的なのか、それとも外国人だからなのかは分かりませんが、デポジット代わりという意味もあるんでしょうけど、チェックイン時にカード情報の提示を求められ、全ての情報を控えられました。ナンバーレスだからと逃れられることもなく、アプリで提示しました。。7月の出張は急な延泊があったのですが、そのときの追加料金の精算も提示したカード情報を用いてホテル側がいつのまにか決済していたので、ホテルから情報が流出すれば即不正利用されるでしょう。。
確かに、SHEIN.co.ukやSHEIN.comといった海外サイトでの不正利用もありましたし、海外のオーストラリアから漏れたというのは矛盾していません。しかし、日本サイトでの不正利用もあったので、結局はよく分かりません。。まあ、同一人物が不正利用しているわけではないんでしょうが・・・。
しかし、原因が分からないことには対策も再発防止策も取れないので、困ったものです。やっぱり、マイナーなサービスではクレジットカードは利用しない、ということしかないですかね。。
利用通知サービスは微妙
対策として、三井住友カードには「ご利用通知サービス」というのがあるので試しに使ってみたのですが、これは正直微妙でした。
「ご利用通知サービス」はカードが利用されるとリアルタイムに通知が来て、不正利用があったとしてもすぐ分かるというサービスです。スマホのVpassアプリで設定してみたんですが、確かに利用から数分後には通知が来るので、これなら不正利用にすぐ気付けそうです。
しかし、不正利用自体を防げるわけではありません。。あくまでもパッシブセーフティですね。
しかも、カードの不正利用なんて滅多に起こることではありませんから、それを考えると受け取る通知の99.9%は無駄なものになります。正直、無駄な通知がたくさん来るのはストレスですし、次第に通知内容の確認も疎かになってしまうでしょう。結局は、意味が無くなってしまう可能性が高いと思います。。
クレジットカードを日常的に使っていないとかであれば、いいのかもしれませんが・・・。
結局、利用通知サービスはオフにしました。。
これからも使うよクレジットカード
というわけで、生まれて初めてクレジットカードが不正利用された話でした。
今回の被害総額は153,971円で、1週間に渡り合計20件の不正利用がされていました。ただし全て補償の対象となったので、実質的な被害はゼロです。
不正利用検知システムのおかげで早めに気付くことができたこと、ナンバーレスカードだったので迅速に利用再開できたこともあり、被害は最小限に抑えられたかなとは思いますが、やっぱり被害に遭わないのに越したことはありません。不正検知システムも結局は1件しか弾けておらず、あまり期待しないほうが良さそうです。逆に、なんてあの1件だけは検知できたんだろう?って思いますが、、、
結局、流出した経緯も謎のままです。まあ、マイナーなサイトでは出来るだけクレジットカード決済を利用しないことが一番かなと思います。。。
どこのどいつが、どういう目的で不正利用したのかも気になります。。犯罪活動のため?本当に自分がタダで利用するため?まあ、こういうのって、ダークWebとかでばら撒かれるんでしょうから、いろんな連中が使っていくのでしょう。。
ちなみに、警察への届出はしていません。実質被害はゼロだし、流出原因は不明だし、全てネットショッピングでの不正利用であるため、警察に行ったところで何にもなりませんから。。カード会社からは、警察に行ってるんですかねぇ…?
まあ、これからはより一層気をつけてクレジットカードを使っていきたいと思います。。。マイナーなところでは出来るだけ使わない、そして利用明細はきちんと確認するのが基本ですね。利用明細をちゃんと見ないと不正利用にも気付けませんから、明細の確認は本当に大事と思います。皆さんも気を付けましょう!←
コメント