【Webスキミング】カードが不正利用された時のお話【実録】

こんにちは、シバタです！
いつもは初心者向けのすごく初歩的なPhotoshop実技を書いているのですが、年度末ということもあるので趣向を変えまして、本当にあったちょっと怖い話を紹介していこうと思います。

注意していたはずが…カードが勝手に使われている！

こちらの画像、数年前実際にカードが不正利用された時の使用速報です。
日付はぼかしていますが、こんな時間帯にこんな金額を買い物する人はなかなかいません。
当時の私は起床したときにこれを見てまぁまぁのパニックになりました。

カード会社に連絡しても、詳細が確定しないと対応できないとのことだったので、一週間弱、ただ積まれていく見知らぬ買い物に怯えながら確定を待ちました。
最終的に設定した上限金額で止まったので、しばらく静寂が訪れました。

これがその時の詳細のスクリーンショットです。
全部、不正利用です。
先にご利用先に「私使ってないです…」ということを連絡して決済をキャンセルしていただいた後、カード会社に連絡してカードを停止、再発行していただきました。

不正利用の原因は？

当時の私は通販での散財が趣味だったのですが、日本で長く運営されている通販サイトの利用が主流だったので、カード情報の流出にまるで心当たりがありませんでした。
要は「長いことオンラインショップやってるし、安心でしょ！」という思い込みがあったのです。
ですが、その思い込みに原因がありました。

数年前のことですし、該当の企業様は信用回復に努めておられるので諸々を詳らかにはいたしませんが、端的に理由をまとめますと
「運営元にはカード情報は残していないが、不正アクセスによってペイメントアプリケーション自体を書き換えられて、入力された時点でカードの情報が盗まれていた」
ということでした。
いわゆるWebスキミングが発生していたわけです。

Webスキミングは運営する側も消費者側も大打撃

決済サービス自体にアタックされることがあるというのを、私もその時初めて知りました。
悪意のある第三者の介入によって、企業もお客様も損失を被るのです。
実際に被害を受けた利用者目線としては、「注意していたはずなのに…」という気持ちになりますし、結局はこっちでカードの停止や再発行の手続きをしなければいけないので大変です。
しかしそれ以上に、運営する側はもっと大変です。
普通に運営しているだけだったのに、情報漏洩の疑いがあると言われても寝耳に水だと思います。
今回紹介したケースでは、システムが不正アクセスを受けているということを検知しなければ何がおかしいのか気がつきません。当時の企業様も、「お客様やクレジットカード会社からの問い合わせで対応した」と説明されていました。
長期にわたって原因が特定できるまで調査期間を設け、その間にどんどん損なわれた信頼性を回復するための対策を立てなければなりませんでした。
結果として、決済周りのシステムを一新し、お客様のプライバシーを保護するための仕組みを見直したということが報告されました。同時に、利用者の被った損失や、各種手続きの負担の補填をするということも発表されました。
そうしてようやく、一連の騒ぎは収束へと向かったのです。

何故Webスキミングは気づきにくいのか？

第三者に指摘されるまで対応できなかった今回の手口。システムの脆弱性を突かれて不正アクセスを受けた、ということに気づけなかったことが被害の拡大を招きました。
例え運営元で情報を残していなかったとしても、利用者の方で入力するシステムそのものが情報流出の原因に変わっていると、システム自体を管理している場合を除いては気付くのが困難です。
Webスキミングの仕組みのおおまかな説明は、docomo business様のページがわかりやすいかと思います。

「Webスキミングとは」
https://www.ntt.com/bizon/glossary/e-w/web-skimming.html

手口の性質上、決済システムだけに限らず、運営に利用しているサービスのセキュリティ対策に気を配ることが重要になります。
ご利用のサービスによっては頻繁にアップデートが入っているものもあると思います。不具合の情報があった時、大抵はその経緯と対策がアップデート情報に記載されていますので、それを確認するのが望ましいです。

また、ECサイトを利用する方は、お持ちのカードの動きを気にかけてください。
早急に対応することで返金していただける場合があります。
今回のケースのように、不正利用に気づいたことで、贔屓にしているお店の経営が続くことにもつながります。
一般社団法人日本クレジット協会様のページも参考にしてみてください。動画もあってわかりやすいです。

「守ろうクレカ　防ごう不正利用」
https://www.j-credit.or.jp/customer/security-movie/

コロナ禍以降、大手通販サイトのみならず、ECサイトは増えています。
十分セキュリティ周りに気をつけて、ネットショッピングを楽しみましょう。

余談

このブログを執筆してる最中、まさに昨日のことですが、Webサイトのリニューアルのタイミングと注意点に関わる記事が投稿されていました。

【必見！】ホームページリニューアルのタイミングと注意点とは？

サイトを運用されている方で、本記事をきっかけに「セキュリティ周りを見直してみようか」とお考えの場合は、ぜひこちらも合わせてご覧いただき、サイト運用の方向性をご検討ください。

また、今年の4月に個人情報保護法が改正されます。
弁護士法人Authense法律事務所様より、この度の改正のポイントが端的に解説されている記事が出ておりますので、こちらも紹介いたします。

「【2023】個人情報保護法改正とは？令和4年施行の改正ポイントを弁護士が解説」
https://www.authense.jp/professionalinsights/bt/privacy/72/

プライバシーポリシーなど、個人情報保護に関わるページの更新も考えていただけますと幸いです。