クレジットカードを安全に使うための対策まとめ [その他]
偽のオンラインショップ詐欺サイトに引っかかって自分の住所、氏名、電話番号、メールアドレス、パスワード、クレジットカードの番号、同有効期限、同セキュリティ番号を盗まれてしまいました。
さらに、盗まれたクレジットカード番号で買い物をされてしまいました。
過去記事 実録 フィッシング詐欺に騙されました
http://fujikuro.blog.so-net.ne.jp/2016-04-09
こうならないためにどんなことをすればよいのか調べて、新たにクレジットカードを作った記録です。
被害事例や対策情報をネットで検索し、結果的に選んだのはエポスカード(マルイのクレジットカード)でした。
(個人の体験に基づく対策方法で、ステルスマーケティングなどではありません)
| フィッシングを未然に防ぐ |
|---|
普通のオンラインショップに見せかけた偽サイトで個人情報を盗まれないための対策です。
OSを最新にする、セキュリティソフトをインストールするなどの、フィッシング以前にコンピュータを使う上で当然のことは省略します。
・https接続の確認
正当なオンラインショップでは、決済の画面で必ずhttpsが使われていますのでURLの頭の鍵マークを確認します。(Safariの場合)
・説明文の不自然さに注意する
日本語としておかしな言い回し(外国語の機械翻訳)や、使われているフォントがなんとなくおかしいなどに気をつけます
・クレジットカードの3Dセキュア・本人認証を有効にしてパーソナルメッセージを登録しておく
→ インターネットショッピングサイトでお買い物をするときに、自分があらかじめ登録しておいたパーソナルメッセージが表示されることで、本人認証画面が本物であることがわかる。パーソナルメッセージを登録できないクレジットカードは、本人認証画面を偽装された場合に見分けがつかず情報を盗まれる可能性があります。
パーソナルメッセージで本物の本人認証画面であることをユーザが確認できないまま、パスワードを入力してフィッシングに引っかかった場合は、不正利用の保証が受けられなくなる可能性があります。(クレジットカード会社の規約による)
| 盗まれた個人情報を悪用されたときの被害を最小限に |
|---|
万が一、フィッシングで個人情報を盗まれたときの被害を最小にする工夫
| メールアドレスとパスワード |
|---|
メールアドレスは普段使っているものとは別の「いつ捨ててもよいようなメールアドレス」を作っておきます。
GmailやOutlookメールなど無料で作成できますので、これを初めて訪れるオンラインショッピングサイト用に使います。
インターネットショップでのアカウントIDに紐付けるパスワードはすべてのサイト・サービスで異なる値にしておきます。
→ アカウントを作らされるようなショッピングサイトの場合、他のサービスでも使っているID,パスワードの組み合わせを入力してしまった時に、同じ組み合わせで使っているサービスにログインされて2次被害が広がる可能性があるのでこれを防ぎます。
例えばメールアドレスとパスワードが「example@gmail.com, password1234」ならば、メールアドレスはそのままでパスワードを新規に作成してVykUQuJ2m2evなどにします。
| 電話番号 |
|---|
連絡先電話番号はいつでも解約できるIP電話サービスの050番号などを使う。
→ 架空請求などの電話がかかってくるようになった場合に、いつでも電話番号を解約できます
「IP電話 比較」などのキーワードで検索すると見つかります。
| 生年月日など |
|---|
注文時に必須でない項目は入力しない。
→ 生年月日は多くのシーンで本人確認に使われるので、悪用される危険があります。必須項目でない場合は入力しないようにします。
| 盗まれたクレジットカード情報を不正利用された時の被害を最小限に |
|---|
万が一、盗まれたクレジットカードを使われてしまったときの被害を最小限にする工夫です。
以下に記載したクレジットカード会社のサービスは調べた範囲のものだけなので、これら以外にも該当するサービスが使えるクレジットカード会社もあると思います。
| 即時利用通知 |
|---|
クレジットカードを使ったときに、すぐにメールでお知らせが来る即時利用通知サービスを有効にします(支払い明細が確定したことを通知するメールとは別)
→ 万が一フィッシングサイトで買い物してしまった時も、メール通知が来ないことですぐに気づける
→ 万が一盗まれたクレジットカード番号で買い物されてしまった場合、身に覚えのない店舗での利用通知が来るのですぐに気づけます。
(エポスカード利用通知サービス、楽天カード、ソフトバンクカード、etc)
# このサービスを提供しているクレジットカード会社は日本では少ないですが、これが一番安心感があります。
クレジット会社は「不正利用を検知しているから安心」といいますが、クレジット会社のサーバーでの検知では、インターネットショッピングの場合国境がありませんから、本人の利用かそうでないかを見分けるのにも限度があると思います。
自分で利用して利用通知が来ればOK、利用していないのに利用通知が来れば不正利用..とユーザが一番よくわかるのですから不正利用をいち早く検知できるのはユーザです。
# 「1000円以下は通知しない」などの条件がありますので万全ではありません。実際に海外では10ドル未満の不正利用が多発していたそうです。
[実在店舗での利用通知メール]
[オンラインショップでの利用通知メール]
# エポスカードの場合は、利用時刻まで表示されているので大変助かります。(クレディセゾンではこのサービスがないばかりか、サポートに問い合わせても利用時刻がわかりませんでした)
| バーチャルカード |
|---|
メインのカードとは別にインターネットショッピングのみで利用できるバーチャルカードをつかう。
→ 万が一不正利用されてもクレジットカード番号を”自分で”すぐに止められます
→ 使う直前に利用可能額を設定し、使い終わったらすぐに0円に設定する
→ メインで使う番号とは別の番号なので、被害にあった時の対応が軽減される
(エポスバーチャルカード)
# 普通はクレジットカード会社の営業時間に電話をしてクレジットカード番号を止めますが、パソコンから自分で操作していつでもすぐに止めることができます。
# 対応しているクレジットカード会社は日本では少ないと思います。
# プラスチックのカードが発行されるわけではなく、Webで発行されたバーチャルカードのクレジットカード番号をオンラインショッピングで利用するだけです。
| ネット不正利用保険 |
|---|
ネット不正利用保険のついたカードを使う。
→ 万が一不正利用されても請求の取り消しができます。
(エポスカード、JACCSカード、VIASOカード、JCBカード、au WALLET クレジットカード、etc)
| 海外利用の有効/無効 |
|---|
使う直前にクレジットカードの海外利用を有効にし、使い終わったらすぐに無効にする。
→ 情報を盗んだ犯人が、海外インターネットショッピングサイトで不正利用しようとしてもできなくなります。
(エポスカード 海外利用停止サービス)
→ 犯人が日本国内のインターネットショッピングサイトを利用した場合は効果がありません。
| 会員サイトログイン通知 |
|---|
クレジットカード会員のサイトでサービスを有効にする。
→ 万が一ログインパスワードを盗まれてクレジットカード会社のページにアクセスされた時でも、早く気づけます(自分のアカウント情報が改ざんされることを防ぐ)
| 3Dセキュア・本人認証パスワード |
|---|
注文し終わったら3Dセキュア・本人認証パスワードを変えておく。
→ 万が一3Dセキュア・本人認証画面を偽造され盗まれた番号で不正利用されそうな時でも、パスワードが合致しなければ利用できなくなります。
→ 「パーソナルメッセージ」をあらかじめ登録しておき、それが画面に表示されることでクレジットカード会社が本当に表示している画面であることが確認できます。
→ 犯人が3Dセキュア・本人認証画面に対応していないインターネットショッピングサイトを不正利用したときは効果がありません。
→ 偽ショッピングサイトでこの画面が表示されなければ、ユーザは「対応していないサイトなのかな」と考えそのまま偽のショッピング操作を続けて個人情報を盗まれてしまう。なのでフィッシングサイトで個人情報を盗まれる危険はつきまといます。
【参考にしたサイト】
ネットショッピングで安心
https://www.eposcard.co.jp/smp/web_security/index.html
いつでも安心して使えるセキュリティ機能
https://www.eposcard.co.jp/security/index.html
【関連記事】
実録 フィッシング詐欺に騙されました
http://fujikuro.blog.so-net.ne.jp/2016-04-09
クレジットカードを不正利用された記録 その1 経過
http://fujikuro.blog.so-net.ne.jp/2016-04-06
クレジットカードを不正利用された記録 その2 結末
http://fujikuro.blog.so-net.ne.jp/2016-06-24
なるほど、EPOSカードはセキュリティの観点から、なかなかのすぐれものであることがわかりました。
実は私、過去に店員さんに勧められて作ったものの、その後あまり使っていないEPOSカードがあり、もう解約しようかと思っていたのです。でも、これを読んでちょっと考えが変わりました。
バーチャルカード、初めて知りました。これは使えそうですね。
今、使っているカードについても、どのくらいセキュリティ対策が施されているかを調べてみようと思います。
私の知る範囲では、JCBの提携カードは使用時の本人認証が厳しいという印象です。でも、詐欺サイトではJCBは使えなかったので、別のカードを使ったのですよね・・・その時点で気づけよって話ですね。
ところで、私がひっかかった詐欺サイトは、一時、消滅していましたが、昨日見たらまた復活していました。客に詐欺とばれたときだけ、一時的に姿をくらますという手法なのでしょうか。こういう詐欺サイトを根絶する方法ってないんでしょうかね。
by えみ (2016-04-26 09:36)
>>えみ さん
エポスカードは今回の詐欺でクレジットカード会社の対応を調べている中で知りました。
記事にも書きましたが、利用通知機能がとても安心感があります。実店舗の場合はレジで会計してすぐにメールが届きました。
今後はこの機能が付いてないクレジットカードは使わないつもりです。
>私がひっかかった詐欺サイトは、一時、消滅していましたが、昨日見たらまた復活していました
私の時も同じでした。ある日エラー画面になりその後また復活していました。
メールの場合はフィッシング対策協議会というところに転送して通報できるのですが、フィッシングサイトの場合は「消費者庁」(現在は国民生活センター)へ、ということになっていますね。
https://www.antiphishing.jp/contact.html
海外の犯人が海外のサーバーを利用しているので、根絶にはほど遠そうです。
コメントありがとうございました。
by ふじくろ (2016-04-26 10:58)