クレジットカードの明細を見ていたら、「えっ、こんな請求した覚えがない…」と感じたことはありませんか?あるいは、毎月引き落とされているサービスの名前を見て「これ何?いつ登録した?」と首をかしげた経験は?
実は、クレジットカードや電子決済の不正利用は、特別なターゲットにだけ起きるものではありません。日本クレジット協会の発表によると、2023年のクレジットカード不正利用被害額は540億円を超え、過去最高を更新しました。被害件数も増加の一途をたどっており、もはや「他人事」では済まない問題になっています。
この記事では、不正利用がどうやって起きるのか仕組みをゼロから解説し、身に覚えのない請求が来たときの正しい対処法、そして今日からできる予防策を初心者にもわかりやすく説明します。
① まず知っておきたい:不正利用の「4つの種類」
「不正利用」と一言で言っても、その手口はいくつかのパターンに分かれます。まず全体像を把握しましょう。
| 種類 | 内容 | 特徴 |
|---|---|---|
| ① カード番号の不正利用 | 盗まれたカード番号・有効期限・セキュリティコードを使ってオンラインで買い物される | カード自体は手元にあるのに被害が起きる |
| ② サブスク勝手加入 | 知らない間に有料サービスに登録・課金されている | 少額で気づきにくい。長期間続くことも |
| ③ QR決済の不正利用 | PayPay・楽天Pay等のアカウントを乗っ取り、残高や連携口座から引き出す | スピードが速く、被害に気づいたときには手遅れのことも |
| ④ フィッシング詐欺経由 | 偽サイト・偽メールに誘導されてカード情報を自分で入力してしまう | 本物そっくりの偽サイトが増加。見分けが難しい |
これらは単独で起きることもあれば、組み合わさって起きることもあります。たとえば「フィッシング詐欺でカード番号を盗まれ → サブスクに勝手登録 → QR決済アカウントも乗っ取られる」という連鎖被害が実際に発生しています。
② クレジットカード番号はどうやって盗まれるのか?
カードが手元にあるのに不正利用される——これが不思議に思える人は多いはずです。その答えは「オンラインショッピングではカードの現物ではなく、カード番号・有効期限・セキュリティコード(CVV)という3つの数字さえあれば決済できる」という仕組みにあります。
手口①:フィッシング詐欺(偽サイト・偽メール)
「カードの利用が停止されました」「不審なアクセスがありました」などの不安をあおるメール・SMSが届き、偽のログインページや偽の「本人確認」ページに誘導されます。そこにカード番号を入力してしまうと、即座に犯人の手に渡ります。
実際、Amazonや楽天、三菱UFJ銀行、ゆうちょ銀行を装ったフィッシングメールは年間数千万件規模で送られており、フィッシング対策協議会の2023年報告によると月間報告件数は10万件を超えることもあります。
本物の会社は「メールやSMSでカード番号を入力させる」ことは絶対にありません。「カードが止まった」「本人確認が必要」というメール・SMSが届いたら、リンクをクリックせず、公式サイトをGoogle等で検索して直接確認してください。
手口②:スキミング(物理的なカード情報の盗取)
ATMや店舗の決済端末に偽の読み取り機器(スキマー)を取り付け、カードの磁気情報を盗み取る手口です。偽のキーパッドやカメラで暗証番号も同時に盗まれるケースがあります。海外では特に多く報告されており、日本でもATMへの設置事例が確認されています。
手口③:データ漏洩(企業からの流出)
自分がショッピングに使ったウェブサービスがサイバー攻撃を受け、会員のカード情報が流出するケースです。自分がいくら注意していても、利用先のサービスが攻撃されると被害に遭います。過去には大手通販・ホテル・航空会社など大企業からの漏洩も多数発生しています。
手口④:フォームジャッキング(正規サイトへの罠の埋め込み)
正規のショッピングサイトのシステムに悪意あるコードを埋め込み、決済フォームに入力したカード情報をこっそり盗み取る攻撃です。利用者にはまったく異変がわからず、普通に買い物が完了するように見えます。Magecart攻撃とも呼ばれ、セキュリティ企業の調査では数万のサイトへの感染が確認されています。
手口⑤:ダークウェブでの売買
上記の方法などで盗まれたカード情報は、「ダークウェブ」と呼ばれる一般のブラウザではアクセスできない匿名のネットワーク上で売買されます。1件あたり数百円〜数千円で取引されており、買った側がさらに別の不正利用をするという連鎖があります。
自分では一切覚えがないのに不正利用される場合、何年も前に登録したサービスからの情報漏洩が原因のことがあります。「昔使っていたサイトだから大丈夫」は通用しません。カード番号は時間差で悪用されることがあります。
③ サブスク勝手加入の仕組み:なぜ知らない間に登録されるのか
パターンA:フリートライアルの「罠」
「30日間無料!」という広告をクリックし、試しにカード情報を入力すると、無料期間終了後に自動で有料プランに移行します。このこと自体は規約に書かれている正当なビジネスモデルですが、解約手順をわかりにくくしたり、解約ページを見つけにくくしたりして、ユーザーが解約できないようにする悪質な業者も存在します。
パターンB:ダーク・パターン(意図的に騙すUI設計)
ウェブサイトやアプリの画面設計を意図的にわかりにくくして、ユーザーを誤った操作に誘導する手法を「ダーク・パターン」と呼びます。例えば「無料で続ける」ボタンと「有料プランに登録する」ボタンのデザインをほぼ同じにして間違えやすくする、チェックボックスが最初から「有料オプション加入に同意する」にチェック済みになっているなどの手口があります。
パターンC:アカウント乗っ取りによる不正登録
Amazonや楽天などのアカウントが乗っ取られると、保存されているクレジットカード情報を使って犯人が別のサービスに登録したり、ギフト券を購入したりします。この場合、被害者は「Amazonから身に覚えのない請求が来た」と感じますが、実際にはAmazonを経由した不正利用です。
パターンD:アプリ内課金の意図せぬ購入
スマートフォンのゲームアプリで、子どもや本人が意図せずに高額のアイテムを購入してしまうケースもあります。Apple・Googleともに返金申請の窓口がありますが、手続きには一定の時間がかかります。
サブスクの不正加入は1件あたりの金額が小さいため「気づきにくい」のが最大の特徴です。月額980円が12ヶ月続けば11,760円の被害になります。毎月のカード明細は全項目を確認する習慣をつけましょう。
④ QR決済(PayPay・楽天Pay等)の不正利用:スマホ経済の新たな脅威
QR決済はなぜ狙われやすいのか
PayPay・楽天Pay・d払い・au PAYなどのQRコード決済は、スマホ1台で即座に支払いができる便利なサービスです。しかしその「スピードと手軽さ」が、不正利用されたときの被害を拡大させる側面も持っています。
| 不正利用の手口 | 内容 |
|---|---|
| アカウント乗っ取り | フィッシング詐欺・パスワードリスト攻撃でログインされ、残高を全額送金・使用される |
| SMS認証コードの詐取 | 「本人確認のためSMSのコードを教えて」と騙されて入力。これで2段階認証を突破される |
| 偽QRコードの設置 | 店頭の正規QRコードの上に偽のシールを貼り、別口座に送金させる(主に中国・アジアで多発) |
| チャージ詐欺 | 「ポイントをあげる」「アカウントを修復してあげる」と称して残高をチャージさせ騙し取る |
| フリマアプリ経由 | フリマで偽の取引をして、QR決済で支払わせた後に商品を送らない |
【実例】2019年の「セブンペイ事件」から学ぶこと
2019年7月、セブン-イレブンが提供する「7pay(セブンペイ)」がサービス開始直後に不正アクセスの被害を受け、約900人・約5,500万円の被害が発生しました。原因の一つはパスワードリセット時のセキュリティ設計の不備で、他人のアカウントのパスワードをリセットできる状態になっていました。サービスは同年9月に廃止されましたが、この事件は「QR決済の設計・セキュリティの重要性」を社会に広く認識させる出来事となりました。
「パスワードリスト攻撃」とは何か
ダークウェブで売買されている、過去に流出した大量のID・パスワードのリストを使って、他のサービスに自動的にログイン試行する攻撃です。「複数のサービスで同じパスワードを使い回している」人は、一つのサービスで漏洩した情報が別のサービスへのログインにも使われてしまいます。
QR決済に紐付けた銀行口座・クレジットカードは、アカウントが乗っ取られると直接お金を抜き取られます。銀行への不正送金は、振り込んだ後は取り戻すのが非常に困難です。QR決済アプリのセキュリティ設定は最高レベルに引き上げておくことが必須です。
⑤ 今日からできる!7つの完全対策
対策①:カード明細を「毎月・全件」確認する習慣をつける
不正利用への最初の防衛線は「早期発見」です。多くのカード会社では不正利用の申告期限があり(多くは60日〜120日以内)、遅れると補償を受けられないこともあります。
おすすめの方法は以下の2つです。
- カード会社のアプリを使う:利用のたびにプッシュ通知が届くよう設定すると、即座に異変に気づける
- 月1回「明細全件確認の日」を決める:月末や給料日など、固定日に必ず全項目チェックする
カードアプリの「利用通知(プッシュ通知)」機能をONにすれば、1円でも使われた瞬間に通知が届きます。自分が使っていないのに通知が来た→即座にカード会社に電話→被害を最小化、という流れを作れます。
対策②:パスワードの使い回しをやめる + パスワードマネージャーを使う
「パスワードリスト攻撃」を防ぐ最も効果的な方法は、すべてのサービスで異なるパスワードを使うことです。とはいえ、数十〜数百のサービスで異なるパスワードを人間が管理するのは現実的ではありません。そこで役立つのが「パスワードマネージャー」です。
| ツール名 | 特徴 | 料金 |
|---|---|---|
| iCloudキーチェーン(Apple標準) | iPhoneユーザーなら追加設定不要。Safari・アプリと連携 | 無料 |
| Googleパスワードマネージャー(Android標準) | Androidユーザーなら標準搭載。Chrome連携 | 無料 |
| 1Password | 多機能・高セキュリティ。ファミリープランあり | 月額約500円〜 |
| Bitwarden | オープンソース・無料で高機能 | 基本無料 |
パスワードマネージャーは「強力なランダムパスワードの自動生成」と「サービスごとの自動入力」をしてくれます。自分で覚える必要があるのは「マネージャーのマスターパスワード1つだけ」です。
対策③:二段階認証(2FA)を全サービスで有効にする
二段階認証とは、ログイン時に「パスワード」とは別に「もう一つの確認」を要求する仕組みです。仮にパスワードが盗まれても、2つ目の認証をクリアできなければログインできません。
二段階認証の種類(強い順):
- 認証アプリ(Google Authenticator / Authyなど):30秒ごとに変わる6桁のコードを使う。最も安全
- SMSによるコード送信:携帯番号にコードが届く。SIMスワップ攻撃のリスクがある
- メールによるコード送信:メールにコードが届く。メールが乗っ取られると突破される
SMSで届いた認証コードを「本人確認のため教えてください」と言ってくる人は100%詐欺です。銀行・カード会社・QR決済事業者が、SMS認証コードを電話口や入力フォーム以外で要求することは絶対にありません。
対策④:バーチャルカード(ワンタイムカード番号)を使う
オンラインショッピング専用に「使い捨て」または「利用制限付き」のカード番号を発行できる「バーチャルカード」サービスを活用しましょう。本来のカード番号を使わないため、情報が盗まれても実際のカードへの被害を防げます。
主なバーチャルカードサービス:
- Visaバーチャルカード(三井住友カードなど):オンライン専用の使い捨て番号を発行
- 楽天カードのバーチャルカード:楽天ペイアプリ内で利用可能
- Apple Pay / Google Pay:デバイス固有の番号(トークン)を使用するため、実際のカード番号が店舗に伝わらない
- Kyash:プリペイド型バーチャルカード。チャージ額以上は使えないため被害が限定される
Apple Pay・Google Payは、決済のたびに「トークン」と呼ばれる使い捨ての番号を使うため、店舗側に本当のカード番号が伝わりません。対応している店舗・サービスではApple Pay/Google Payでの支払いを優先することで、カード番号の漏洩リスクを大幅に下げられます。
対策⑤:QR決済アプリのセキュリティ設定を強化する
PayPay・楽天Pay・d払いなどのQR決済は、アプリ内のセキュリティ設定を最大限に引き上げることが大切です。
【PayPayのセキュリティ強化手順】
- アプリを開き「アカウント」→「セキュリティ」
- 「生体認証」→ ON(起動・送金時に指紋/顔認証を要求)
- 「送金・出金パスワード」を設定(画面ロックとは別のパスワード)
- 「PayPayカード連携の上限額を設定」(月間・1回あたりの利用上限を下げる)
- 「ログイン通知」→ ON
【楽天Payの設定】
- 楽天Payアプリ → 「設定」→「セキュリティ設定」
- 「生体認証でアプリをロック」→ ON
- 楽天会員のログインに二段階認証を設定(my.rakuten.co.jpから)
対策⑥:信頼できないサイトでのカード入力を避ける/セキュリティ確認のチェックリスト
オンラインショッピングで「このサイト、大丈夫かな?」と思ったときに確認すべきポイントをまとめます。
| 確認ポイント | 安全なサイト | 危険なサイト |
|---|---|---|
| URL | https://〜で始まる(鍵マークあり) | http://(暗号化なし)、URLが意味不明な文字列 |
| 会社情報 | 運営者・住所・電話番号が明記されている | 会社名・所在地が不明、特定商取引法の記載がない |
| 価格 | 相場から大きく外れていない | 「90%オフ」など異常に安い |
| 支払い方法 | 複数の支払い方法(カード/PayPal/コンビニ等) | 銀行振込のみ、暗号通貨のみ |
| レビュー | 良い評価も悪い評価も混在する自然なレビュー | レビューが全部5点・似たような文体 |
| ドメイン | 公式サイトと一致(amazon.co.jp等) | amazom.co.jp(1文字違い)、amaz0n.com等 |
「https(鍵マーク)だから安全」は間違いです。フィッシングサイトもhttpsを取得しているケースが増えています。鍵マークは「通信が暗号化されている」ことを示すだけで、「サイト自体が安全」という証明ではありません。URLと会社情報を必ず確認してください。
対策⑦:不審なサブスクを定期的にチェック・解約する
自分でも忘れているサブスク登録を洗い出す方法を紹介します。
【iPhone:App Storeのサブスク確認】
- 「設定」→ 一番上の自分の名前
- 「サブスクリプション」→ 有効なサブスク一覧が表示される
- 不要なものは「キャンセル」
【Android:Google Playのサブスク確認】
- Google Playアプリ → 右上のアイコン
- 「お支払いとサブスクリプション」→「サブスクリプション」
- 不要なものをタップして「定期購入を解約」
【クレカ明細からのサブスク洗い出し】
過去3ヶ月分のカード明細を確認し、毎月同じ金額で同じ会社名の引き落としがあれば、それがサブスクです。会社名をGoogleで検索して何のサービスか特定し、不要なら解約しましょう。覚えのないものは、そのままカード会社に報告します。
年に2回(たとえば1月と7月)を「サブスク棚卸しデー」に設定し、全サービスを見直す習慣をつけると、無駄な出費と不正登録の両方を防げます。使っていないサービスを解約するだけで、年間数万円の節約になることも珍しくありません。
⑥ 身に覚えのない請求が来たら:正しい対処フロー
明細を見て「これ何?」となったときの正しい動き方をステップで解説します。
ステップ1:まず落ち着いて「何の請求か」を調べる
まずパニックにならず、請求会社名をGoogleで検索してみましょう。クレジットカードの明細に表示される会社名は、実際のサービス名と異なることがよくあります(例:NetflixがNetflix.comと表示、Spotifyが外部代理店名で表示など)。検索して思い当たるサービスが見つかったら不正ではない可能性があります。
ステップ2:本当に覚えがなければカード会社に即連絡
調べても心当たりがない場合は、クレジットカードの裏面に書いてあるカスタマーセンターに電話します。
主要カード会社の不正利用相談窓口(2024年時点):
- 三井住友カード:0120-919-000(24時間)
- 楽天カード:0570-66-6910(年中無休)
- JCB:0120-015-870(24時間)
- 三菱UFJニコス:0120-977-215(24時間)
- イオンカード:0120-810-108
「身に覚えのない請求がある」と伝えると、オペレーターが調査手続きを案内してくれます。
正規のクレジットカード会社には「チャージバック(不正利用の返金)」制度があります。不正と認められれば、被害額が全額返金される場合がほとんどです。ただし申告が遅れると対応できないこともあるため、気づいたらすぐに連絡することが重要です。
ステップ3:カードをいったん停止(利用停止)する
「不正利用が1件だけ」とは限りません。カード番号が漏れている可能性があるため、カード会社に依頼して利用停止にしてもらいましょう。その後、新しい番号のカードが再発行されます。
ステップ4:パスワードを変更し、他のサービスへの影響を確認する
フィッシングやアカウント乗っ取りが原因の場合、同じIDとパスワードを使っている他のサービスも危険です。すべてのパスワードをリセットし、二段階認証を設定しましょう。
ステップ5:消費者庁・警察への相談
悪質な事業者によるサブスク被害の場合は、以下の窓口に相談できます。
- 消費者ホットライン:188(いやや!)に電話→最寄りの消費生活センターにつながる
- 国民生活センター:03-3446-1623
- 警察相談専用電話:#9110
- 都道府県警察のサイバー犯罪相談窓口(各都道府県警察のウェブサイトから)
⑦ よくある質問(Q&A)
Q. 1円や少額の請求があるのはなぜ?
A. 「不正利用者が本当にカードが使えるか確認するためのテスト決済」の可能性があります。1〜100円程度の少額で1件決済し、成功したら大きな金額の不正購入に進む、という手順が知られています。少額でも覚えのない請求があれば必ずカード会社に報告してください。
Q. 海外からの請求が来ているのですが?
A. 多くの不正利用はアメリカ・ヨーロッパ・アジアなど海外の加盟店を経由して行われます。海外での利用に覚えがない場合は不正利用の典型的なサインです。すぐにカード会社に連絡してください。
Q. PayPayやLINEPayの残高が勝手に減っていました。どうすれば?
A. 直ちにアプリ内の「問い合わせ」または各サービスの公式サポートに連絡してください。PayPayは「PayPayカスタマーサポート:0120-990-634」、LINEはアプリ内のヘルプセンターから報告できます。同時に、アカウントのパスワードと二段階認証の設定を見直しましょう。
Q. 「情報漏洩チェックサービス」は使っていいですか?
A. Googleの「パスワードチェックアップ」やHave I Been Pwned(haveibeenpwned.com)は、自分のメールアドレスが過去の情報漏洩に含まれているか調べられる正規のサービスです。これらを使って自分の状況を把握することをおすすめします。ただし、怪しいサイトの「無料漏洩チェック」に個人情報を入力するのは逆に危険なので注意してください。
Q. クレジットカードを複数枚持つと管理が大変では?
A. 「オンライン専用カード1枚+日常使いカード1枚」の2枚体制がおすすめです。オンライン専用カードは利用上限を低めに設定しておくと、不正利用されても被害を最小限に抑えられます。
まとめ:お金を守るのは「習慣」と「設定」の組み合わせ
不正利用は「特別な被害者」に起きるものではなく、準備をしていない人すべてに起きうるリスクです。しかし同時に、正しい設定と習慣があれば、被害に遭う確率を大幅に下げることができます。
| 今すぐやること | 効果 | 時間 |
|---|---|---|
| カードアプリの利用通知をON | 不正利用を即座に検知 | 2分 |
| QR決済の生体認証をON | アカウント乗っ取り後の悪用を防止 | 3分 |
| 主要サービスに二段階認証を設定 | パスワードリスト攻撃を無効化 | 10〜20分 |
| Apple/Google Playのサブスク確認 | 不正・不要なサブスクの早期発見 | 5分 |
| パスワードマネージャーの導入 | パスワード使い回しの根絶 | 30〜60分 |
難しいことは一つもありません。今日この記事を読んだ時間が、あなたのお金と個人情報を守る第一歩になります。まず「カードアプリの通知ON」と「QR決済の生体認証ON」の2つだけでも、今すぐやってみてください。
身に覚えのない請求を発見したときは焦らずに①カード会社に電話②カードを一時停止③パスワード変更、の3ステップで動きましょう。チャージバック制度により、正規のカード会社であれば不正利用の返金に対応してくれます。一人で抱え込まず、必ず窓口に相談してください。
次回の記事では「フィッシングメール・SMSを見分ける10のチェックリスト」を解説します。今回の記事で触れた詐欺メール対策をさらに詳しく取り上げます。
コメント