クレジットカードを不正利用された記録 その1 経過 [その他]
オンラインショッピング歴30年ほどになりますが、ついにやってしまいました。
ことのあらましは、インターネットショッピングでクレジットカード払いで注文し、その後そのオンライン店舗が偽ものであったことに気づいたものの、盗まれたクレジットカード番号で買い物をされてしまったという流れです。
| インターネット通販で注文 |
|---|
2016年3月20日 探していた商品(メガネスタンド)をインターネットでGoogle検索したところ、検索結果の上の方に表示されたショッピングサイトにアクセスしました。
店舗住所は兵庫県加古川市xxxxx、店舗運営責任者と店舗セキュリティ責任者は日本人なのかな?と思える漢字表記の姓名(それぞれ別名)でした。
(のちに説明文をよく読むと日本語が不自然でした)
| 当サイトへようこそ!お客様と取引できることは当社の光栄でございます。ショッピングについてのご質問があっても、info@daeorcnh.com でご利用ください。 一番のサービスをお客様に感じられることは当社の努力目標とします。気に入らないことがあれば、当社の不足を指摘していただけると感謝いたします。 どんな質問があっても、お気軽に問い合わせてください。当社は一生懸命に解決して、お客様に簡単、安心のショッピングを提供するに力を尽くします。または、F.A.Qをクリックしてください。いつでもお客様の手伝いをお準備いたします。お問い合わせは次のメソッド:メール、ライブチャット。 メール: ライブチャットが利用できない場合は、私たちにメッセージやメールを残してください。 早速お客様の問題を解決するように。または、次のフォームで伝言して、早くお客様にお返事いたします。 ※ お客様のアドレス帳に私たちのアドレスを追加してください。 ※ スパムフォルダのチェックを忘れないでください。 |
|---|
注文のためにその店舗のアカウントを作るようになっていたため、メールアドレス、パスワードを入力してアカウントを作りました。
クレジットカード番号、有効期限、セキュリティコード、住所、氏名、電話番号も入力して注文処理を終えました。
注文後、「マイページ」を見ると1個だけ1回のみ注文したのに2回注文したような履歴になっていましたのでおかしいと思い、問い合わせのメールをしました。
なんとなく少し怪しげな感じだとは思っていました。
心配になってきたのでサイトの情報を調べてみるとサーバーはアメリカ、ドメイン登録はwhoisで調べたところカーボベルデ共和国という聞いたこともない国でサーバー証明書もありませんでした。
(のちの調べでGoDaddy.comというドメインレジストラ・レンタルサーバサービスを利用して作った偽ショッピングサイトだということがわかりました。)
| 業者と連絡が取れない |
|---|
3月22日 メールの返事もありませんし、よくある「注文完了」メールのようなものもないので、インターネットショップサイトにアクセスしてみるとエラーで表示できなくなっていました。
騙された可能性が高くなってきたので、「インターネットショッピングの業者と連絡が取れなくなりました」と、国民生活センターに電話(03-3446-1623)して相談しました。
インターネットショップサイトのURLを伝えエラーで表示できないことも確認していただきました。
「ほぼ詐欺業者でまちがいないと思う。クレジットカード会社に連絡して番号を変えるように。今後架空請求などの連絡があると思うが無視するように。サイトに記載してある住所氏名はどこかで盗んだ情報の可能性がある」とのことでした。
| クレジットカード会社に詐欺の連絡 |
|---|
3月22日 クレディセゾンのカード裏に印刷されたインフォメーションセンターに電話しました。
この時点で不正利用と思われる支払い請求は上がっていないことを、オペレーターとともに確認しました。
カード番号はすぐに無効になり、新しいカード番号で再発行していただきました。
費用は無料で1〜2週間後に郵送で届きました。
この時、どういうわけか渡航歴を聞かれました。
| 不正利用の支払い請求がきました |
|---|
3月29日 もう一度件のインターネットショッピングサイトにアクセスしたところ、なぜかサイトが復活していました。
心配なのでさらに下記の団体に相談してみました。
公益社団法人 日本通信販売協会
The Japan Direct Marketing Association(JADMA)
通販110番
1週間前の22日に請求がないことは確認し、すでに古い番号を無効にしていたので新たに請求されることはないと思っていましたが、日本通信販売協会のお話では「そんなことはない、請求が来る可能性はある」とのことでしたので、クレディセゾンのサイトで確認したところ請求が上がっていました。
中国のインターネットショッピングサイトで、何者かが盗んだクレジットカード番号で買い物をしたようです。とうとう不正利用されてしまいました。
「すぐにクレジット会社に連絡を取るように」とのアドバイスのもとクレディセゾンに電話しましたが時間外で受付されませんでした。
| クレディセゾンに不正使用の報告 |
|---|
3月30日
私「不正利用の請求が上がっているので取り消してほしい。」
クレディセゾン「この請求についてはとりあえず一時停止とする。この請求が不正利用であるのかを調査し、不正利用が認められた場合には請求を取り消す。結果は電話か郵送で知らせる。」
私「調査にはどのくらいかかりますか?」
ク「場合によっては2〜3ヶ月かかる。」
どういうわけかまた渡航歴を聞かれました。(インターネットショップサイトなので渡航歴は関係ないと思うのですが..)
他にも色々と質問しましたが、オペレーターは詳しいことがわからず状況の把握も不完全で話がかみ合わないので折り返し連絡いただくことになりました。
| 地元警察のサイバー犯罪部署に相談 |
|---|
3月30日 クレディセゾンの対応が心もとなかったので下記の部署に相談しました。
神奈川県警 コンピュータ不正侵入110番
https://www.police.pref.kanagawa.jp/mes/mesd7017.htm
件のインターネットショッピングサイトも実際に見てもらい、話も聞いていただきました。
このサイトがフィッシングである可能性が大変高いという認識で、説明の文言が日本語として不自然なことは「おそらく外国人が母国語を機械翻訳して作ったのではないか」とのこと。
「サイトに記載されている住所や氏名もデタラメもしくは盗み取った情報を悪用している可能性」とも。
また「今回はクレジットカードだが、銀行振込にして外国人留学生の名義で作った銀行口座に振り込ませるケースも増えている。」とのことでした。
こちらの住所氏名電話番号も告げて電話を切りました。
クレジットカード会社も含めて今まで相談した中で、神奈川県警が一番親身になってお話を聞いてくださいました。
| クレディセゾンに未請求不正利用について相談 |
|---|
3月31日
今のところ不正利用は1件のみですが、被害がこれ以上拡大しないよう今後未請求の利用が請求されても停止してほしい旨連絡しました。
オペレーターでは詳細がわからず折り返し電話ということになりました。
折り返しきた電話では「それはできない」とのことでした。理由はわかりません。
他にも色々と質問したのですが明確なお答えはありませんでした。
「不正利用の報告があれば加盟店にチャージバックを要求して調査し、不正が認められれば請求取り消しになるだけ。不正が認められなければ請求する。」ということで他のことは聞いてもわからないor答えないというスタンスのようでした。
| クレディセゾンに請求の詳細を問い合わせ |
|---|
4月1日
よくよく考えてみますと不正利用された請求では何がいつ何時に買われたのか?疑問でしたので聞いてみました。
偽のインターネットショップで注文した時間はこちらのログに残っていますが、クレディセゾンの請求確認画面では日付しかわかりません。
中国の店での購入時刻がフィッシングサイトでの私の注文時刻より遅い時間であれば、不正利用の可能性も高まると思ったのでした。
「時刻も何の商品かもわからない。店舗の種類は革製品・バッグ」とのことでした。
1つ質問するたびに「少々お待ちください」とどこかに聞きに行ってから回答されるので、伝言ゲームのようになり、なかなかすんなりと話が進みません。
最後に、聞きに行って戻ってきたオペレーターからあらたまって「お伝えすることがあります」と言われました。
「はい、なんでしょう?」と返すと、「不正利用にはチャージバック以外には何もできません。」とのことでした。
”これ以上電話をかけてくるな”という牽制の意味で捉えました。
気づくと、すっかり悪質クレーマー扱いになっていました。
# どういうわけかまたこの時も渡航歴を聞かれました。
| 大きな疑問 |
|---|
クレジットカードの不正利用は誰がどのように不正を判断するのか?
海外の物理的な店舗で使われて、カード会員が渡航歴もなければ不正かもしれませんが、インターネットショップで使われた場合はどのように判断するのでしょうか?基本的に世界中から買い物できてしまいます。
もしかしたら、不正利用時のIPアドレスと私のそれとが一致するのかどうかを見るのでしょうか。でも犯人がTorやVPNを使っていたら?..判断できませんよね。
ネット上では「チャージバックを要求された加盟店が正当な利用であることの証拠を出さない場合はチャージバック成功」という情報もありましたが(真偽はわかりません)、実店舗の場合はカード会員のサインや4桁の暗証番号入力などで検証できても、インターネット上の取引ではどうなるのでしょうね?
結末はこちら
クレジットカードを不正利用された記録 その2 結末
http://fujikuro.blog.so-net.ne.jp/2016-06-24
【関連記事】
実録 フィッシング詐欺に騙されました
http://fujikuro.blog.so-net.ne.jp/2016-04-09
クレジットカードを安全に使うための対策まとめ
http://fujikuro.blog.so-net.ne.jp/2016-04-24
怖いですね。
不正使用されないことを願ってます。
気をつけなくちゃ!
by ぽんこ (2016-04-07 16:08)
>>ぽんこさん
すでに1件不正利用による請求がきてしまいましたが、これ以上被害が広がらないことを祈るばかりです。
情けないです..(>_<)
by ふじくろ (2016-04-07 16:31)
昨年から経済産業省でクレジットカード、セキュリティ対策協議会なるものが設立されてます。クレジットカードの不正利用は、クレジットカードの偽造は減少傾向にありますが、ネット、非対面での決済は年々増加し、クレジットカード不正利用の6割がこの被害です。クレジットカードの利用の前提は、あくまで加盟店契約をした店舗が、クレジットカードの利用者が確かに本人であることの確認をおこなうことで成立します。ネットの非対面でこれをおこなうとすると、相当に店舗でお金と時間が必要となりますよね。そこで、この本人確認の責務をクレジットカード会社側に倒す仕組み(業界ではライアビリティシフトっていうグローバルな決まりごと)が3Dセキュアです。店舗は、この3Dセキュアを導入することで、本人確認の責務をクレジットカード会社側に転換することができます。このメリットはさまざまありますが、昨今、商品を即時に届けるニーズがありますが、店舗は不正かどうかのチェックをしなくても、商品を配送できる、配送して不正利用であれば、それはクレジットカード会社側に転換できるんです。今のクレジットカード利用者は、公共料金を初め色んなところにカード情報を登録しており、一度、カードが不正利用されると、カードの切り替えで使えなくなるほかに、カードの膨大な登録先の変更など、かなりの精神的苦痛がまってます。このような社会悪を発生させないためにも、3Dセキュアは導入すべきです。
by takezo (2016-04-23 15:04)
>>takezo さん
詳しい解説ありがとうございました。
3Dセキュアの定義をよく存じませんが(挙動はわかります)、例えば別画面が開いてパスワードを入力するだけでしたら認証画面そのものが偽物だった場合パスワードまで漏洩してしまいますね。
パスワード入力の画面にパーソナルメッセージが表示されていれば、この画面がクレジットカード会社によって表示されたものが確認できるので安心できます。
パーソナルメッセージに対応していないクレジットカード会社の場合、3Dセキュア/本人認証サービスを使っていない時よりも被害は拡大します。
また、すべてのオンライン店舗が3Dセキュア/本人認証サービスに対応しているわけではないので、詐欺サイトでこの認証画面が表示されなくてもユーザは何の疑いもなく詐欺に引っかかると思います。
3Dセキュアは導入すべきと思いますが、これだけでは不十分だと思います。
by ふじくろ (2016-04-23 15:26)
私も3日前に同じく詐欺サイトにひっかかりました。まだ、カード会社(私もセゾン)には売り上げ請求も、他からの請求もあがってませんが、今後心配です。私は、決済ができなくて5回ほど試したので、履歴をみたら、5回購入いずれも決済失敗の表示です。他からの不正請求があったら、本当に不安ですよね。また、続報があれば教えて下さい
by もも (2016-05-04 19:31)
>>ももさん
私も詐欺サイトに引っかかってから2日でクレジットカードを止めたのですが、止めるまでの不正請求が数日後に上がってきてしまいました。
1ヶ月以上たった現在、不正請求はその1件のみです。
後日談はもちろんブログに書くつもりです。
1度引っかかると本当に苦労しますね。
by ふじくろ (2016-05-04 21:49)
この間、NHK「あさイチ」でクレジットカードの不正利用急増の特番やってましたけど、
クレジットカードの不正利用被害、昨年は120億円、驚きですね。
その大半がネット、非対面での番号盗用によるもの。
クレジットカードの偽造被害は年々減ってるのに、ネット、非対面での不正利用は年々増加ですから、何とかして欲しいものです。
ネットショッピング、よく考えるとアカウントが乗っ取られ、ログインされれば、ショップに登録されてるカード使って、ワンクリックでショッピングできてしまうから危険ですよね~。
ショップでの情報漏えいは日常茶飯事、フィッシングやウィルスのたぐいが横行してるから被害に巻き込まれないようにしないとです。
最近は小額決済の不正利用で気づかないケースもあるので、やっぱり、利用明細はしっかりチェック、ショップのパスワードは定期的に変更、ショップにクレジットカードを登録はしてはいけないんだろうな~と。
それと、店舗選びも重要かと。
3Dセキュアが導入されてる店舗は、仮にアカウントが乗っ取られても、自分自身がクレジットカード会社に登録したパスワードが無いとショッピングできない仕組みだから、そのようなセキュリティ対策がしっかりしてるショップを選ぶべきでしょう。
by sophie (2016-06-23 16:14)
>>sophie さん
そんな番組があったのですね、情報提供ありがとうございます。
対策のための記事を以前書きました。
クレジットカードを安全に使うための対策まとめ
http://fujikuro.blog.so-net.ne.jp/2016-04-24
大きな問題は、上記記事にあるような対策ができるカードが少ないことです。
パスワードに関しては、推測されにくい長い文字列にするのはもちろんの事、使いまわさないことが一番の対策になると思います。
当方の場合は、クレジットカードの不正利用そのものよりも個人情報までも盗まれてしまったことが痛手でした。
by ふじくろ (2016-06-23 17:04)