オンラインショッピングでのクレジットカード不正利用を防ぐ方法
近年、クレジットカードの不正利用による被害は年々増加しており、現在では年間500億円以上にのぼるとされています。これは、振り込め詐欺の被害額700億円に迫る規模で、決して他人事ではありません。
なぜ、ここまで被害が増えているのでしょうか。手口や理由を分析すると、オンラインショッピングの利用方法や個人情報の扱い方に大きな影響があることがわかります。
本記事では、クレジットカード被害の背景を整理するとともに、オンラインショッピングで安全にカードを使うためのポイントをわかりやすく解説していきます。
引用元:一般社団法人日本クレジット協会
https://www.j-credit.or.jp/information/statistics/download/toukei_03_g.pdf
オンラインショッピング店舗のここを見よう!
- クレジットカードの決済時に決済代行業者の名前があるか
- クレジットカード決済時にURLが決済代行業者のURLになっているか
- プライバシーポリシーや個人情報保護指針でクレジットカード情報の保有に関して所持するかしないか明確に説明しているか
やさい
・クレジットカード情報を店が保有するのか、決済代行業者が保有するのかが大事なポイント。
・プライバシーポリシーでしっかりとクレジットカード情報の保有について説明しているかもちゃんとした企業か見極めるポイント
安全ネコ
決済代行業者は、「店⇔決済代行業者⇔お客さん」というお客さんと店の間に入ってクレジットカード情報の信用性や支払い能力を確認するシステム。
そのため、クレジットカード情報を保有するのは、決済代行業者となる。
なぜクレジットカード被害が増えているのか?最新手口と理由
- オンラインショッピング店舗からの情報漏洩
- フィッシングサイト
- 偽ショッピングサイト
◆オンラインショッピング店舗からの情報漏洩(SQLインジェクション、ウェブスキミング、社員の持ち出しなど店自体の問題が原因)
〇ぴあ(2017年発表)
•原因: 運営していた「プロ野球のファンクラブサイト」のシステムにSQLインジェクションの脆弱性がありました。企業側は、脆弱性を早期に塞いでおく必要があった。
•被害: クレジットカード情報を含む個人情報、約3万2,000件が流出。
•影響: ぴあはこの件で多額の調査費用と賠償を余儀なくされ、決済サービスを一時停止する大きな事態となりました。
〇 駿河屋.JP(2025年発表)
•原因: システムの脆弱性を突いた不正アクセスにより、決済画面が改ざんされました。【ウェブスキミング】これも企業が脆弱性を早期に塞いでおけばよかった。
•被害: クレジットカード情報(番号、有効期限、セキュリティコード)が最大約3万件流出した可能性があると発表されました。
•特徴: 攻撃者は決済ページで使用されているJavaScriptを改ざんし、ユーザーが入力した情報が犯人のサーバーへ情報が送られる仕組みになっていました。
◆フィッシングサイト
①偽メールなどで誘導: 銀行やAmazonなどを装ったメールやSMSで「重要なお知らせ」と騙してリンクをクリックさせます。
②偽サイトへ誘導: リンク先には、ロゴやデザインが本物と見分けがつかないほど精巧な偽のログイン画面が用意されています。
③情報の入力: ユーザーが本物だと思い込んで、ID・パスワードやクレジットカード番号を入力してしまいます。
④情報の窃取: 入力した情報はリアルタイムで犯人のサーバーに送られ、そのまま盗み取られます。
⑤悪用: 盗まれた情報を使って、勝手に買い物をされたり、銀行口座からお金を抜かれたりする被害が発生します。
◆偽ショッピングサイト
①偽の販売: 存在しない商品を「激安」や「限定」と謳い、購入意欲をそそって誘い込みます。
②代金の詐取: お金を支払っても商品は届かず、そのまま連絡が取れなくなるケースがほとんどです。
③情報の窃取: 購入時に入力したクレジットカード番号や個人情報を盗み、二次被害に繋げます。
④巧妙な外見: 公式サイトの画像を無断転載しているため、見た目だけでは偽物と判断しにくいのが特徴です。
⑤違和感のサイン: 「支払い方法が銀行振込のみ」「URLが不自然」「日本語が怪しい」などの特徴があります。
引用元:ITmediaNEWs https://www.itmedia.co.jp/news/articles/1704/25/news090.html
引用元:LivedoorNews https://news.livedoor.com/article/detail/30137243/
やさい
・有名な大企業も自社のセキュリティの甘さで情報漏洩を起こしてしまう。つまり、なるべくならクレジットカード情報を保有しない企業を選んだ方がいいね。
・フィッシングサイトや偽ショッピングは、自分が原因となるから、こういった手口があることを事前に知っておくことが重要。
オンラインショッピングで安全にクレジットカードを使うポイント
- クレジットカードの決済時に決済代行業者の名前があるか
- クレジットカード決済時にURLが決済代行業者のURLになっているか
- プライバシーポリシーや個人情報保護指針でクレジットカード情報の保有に関して所持するかしないか明確に説明しているか
①決済時にクレジットカードの決済代行業者の名前があるかチェック
下の画像を見てもらうと、「クレジットカードイプシロン」と「イプシロン」という決済代行業者がクレジットカード情報を処理してくれることがわかる。
やさい
〇〇Payなどのコード決済やプラットフォーム決済は、店側がカード情報を一切持たない仕組みのため比較的安全ですが、直接カード番号(クレジットカード)を入力する場合は、上記のような「非保持化」の仕組みが整っているかが鍵となります。
② クレジットカード決済時にURLが決済代行業者のURLになっているか。(URLの「カギマーク」は最低条件)
店のURLから一時的にクレジットカード支払い時に、URLが決済代行業者に代わるよ。
下の画像で説明すると、もしオンラインショッピング「Secure_consumer.com」で買い物をしていて、クレジットカード支払い時に、「Secure_consumer.com」→「決済代行業者URL」に代わっているのか確認してください。
もし決済代行業者かわからなければ、そのURLをチャットGPTに張り付けて聞いてみるといい。
ブラウザのURL欄にある「🔒(鍵マーク)」または「https」と「s」がついていることを確認してください。
意味: 通信が暗号化されている証拠です。
注意点: ただし、「カギマークがある=100%安全」ではありません。 犯人のサイトでもカギは付けられるので、一つの目安です。
やさい
・クレジットカード情報を入力時は、オンラインショッピングではなく、決済代行業者が変わりに信用性やクレジットカードの使用可否を確認するシステムになっているということ
・つまり、店側はクレジットカード情報を持たずに、決済代行業者から、「このお客さんは問題ありませんよ」と教えてもらって、安心して取引ができるということ。「店⇔決済代行業者⇔お客さん」みたいなシステムだよ。
③ プライバシーポリシーや個人情報保護指針でクレジットカード情報の保有に関して所持するかしないか明確に説明しているかサイトの「特定商取引法に基づく表記」や「プライバシーポリシー」をチェック。
合格サイン: 「カード情報は決済会社が管理し、当社では保有しません」という一言がある。
補足: これが書いてあれば、万が一お店がハッキングされても、あなたのカード番号は盗まれません。
カード情報を守るための簡単チェックリスト
筆者の視点:ワンタイムパスワードから「FIDO(生体認証)」の時代へ
現在主流のワンタイムパスワードも一定の効果はありますが、フィッシング詐欺などの巧妙な手口には限界があります。
クレジットカード業界に、私が強く導入を望むのは、FIDO(生体認証・パスキー)による決済認証です。 スマートフォンの指紋認証や顔認証で「本人確認」ができなければ決済できない仕組みになれば、カード番号が漏洩しても不正利用を防ぐことができます。
「高齢者がスマホを持っていない」「操作が難しい」という意見もありますが、現代では高齢層のスマホ普及率も非常に高くなっています。むしろ、これだけリスクが多様化する中で、適切なデバイス操作が困難な状況で自由にカード決済を利用できてしまうことの方が、セキュリティの観点からは問題があるのではないでしょうか。
安全なクレジットカード利用でオンラインショッピングを楽しもう
セキュリティ知識を高めることは、自分自身の資産を守るだけでなく、オンラインショッピングという便利な文化を健全に発展させることにも繋がります。
企業側には、より強固で使いやすい認証システムの導入を期待しつつ、私たち利用者も「どこで情報を入力しているのか」を常に意識して、賢く安全に買い物を楽しんでいきましょう。
コメント