ポイントカードなど1枚も持っていない、という方を探すほうが困難な昨今、そのポイントが「盗難」され不正に使用される事件が急増しています。今回、フリー・エディター&ライターでビジネス分野のジャーナリストとして活躍中の長浜淳之介さんは、「ポイント窃盗団」の巧妙な手口と被害の実態を紹介しています。
ポイントカード詐欺
日本人の生活に密着しているポイントカードでたまったポイントが、サイバー窃盗団の脅威にさらされている。ポイントを盗み取ろうとする悪漢は、サイバー空間なので日本にいるとは限らないから厄介だ。
特に彼らは不正に入手した大量のポイントが入ったスマートフォンを持参し、ドラッグストア、家電量販店などに現れ、中国あたりで人気の化粧品、家電製品などを爆買いしようとするのだ。
カード発行会社になり済ますなどして、不正サイトに誘導。IDとパスワードを入手し、クレジットカードを勝手に使ったり、ポイントを抜き取ったりしようとする、フィッシングサイトへの誘導件数は、今年に入って急増。サイバーセキュリティに詳しいトレンドマイクロの調べによれば今年上半期は、前年同期に比べて4倍に増えている。
クレジットカードの不正使用のみならず、カードに付随するポイントを抜き取って不正に使用するケースが増えているのだ。ポイントカードのポイントは、たまっていてもカードを使っている当人自身が忘れていることも多く、被害に遭ってから何ヶ月もして、いざ使おうという時に消失していて呆然とするケースも多いという。
モバイル対応のカード発行会社も不正に気づき、セキュリティを強化する対抗策を打ち出して、サイバー窃盗団の攻撃を防ごうと本腰を入れてきた。
日本では買物をするたびにポイントがたまり、たまったポイントで商品購入、サービスが受けられるポイントカードが普及している。コンビニ、スーパー、百貨店、ドラッグストア、家電量販店、飲食店のような実店舗ばかりでなく、ネット通販、ネットオークションのようなサイバー上の売買まで、日常のさまざまな消費でポイントがたまるようになっており、各カード会社がシェア拡大を競っている。
大半の日本人は貨幣的価値を持ち、“第3の通貨”とも考えられる数枚のポイントカードを持っているはずだ。ところが、このようなポイントカードのポイントが、特に外国人のサイバー窃盗団に狙われている。
ドラッグストアで発覚した不正の手口
たとえば今年の夏頃から、ドラッグストア業界最大手「ウエルシア薬局」ではレジ付近に、「モバイルTカードご利用のお客様へご協力願い」として、「モバイルTカード」での会計時、「Tカード」の原本の提示を求めることがあり、提示できない場合はポイント利用決済を断る場合もあると、「モバイルTカード」不正防止の張り紙がしている店がある。
店員によると、「モバイルTカードを使う外国人のお客様の中には、数万、数十万ものポイントを一度に使う人がいて、不正に入手している疑いがあったからだ」とのことだった。
「Tカード」は言うまでもなく、書店やCD・DVDのレンタルショップ「TSUTAYA」チェーンを展開するカルチュア・コンビニエンス・クラブ(CCC)が発行するポイントカードで、クレジット機能を持つカードもある。「モバイルTカード」アプリにアクセスしてユーザー登録を済ませると、スマートホンなどで使える「モバイルTカード」が発行され、「Tカード」のポイントが共有化される。「ファミリーマート」、すかいらーくグループの「ガスト」などのレストラン、「洋服の青山」、大手家電量販店「エディオン」などでも「モバイルTカード」が使える。
「ウエルシア薬局」では戦略的に「Tカード」を使って販売促進を行っている。購入額108円(税込)ごとに1ポイントを付与。毎週月曜はポイント2倍。毎月20日は200ポイント以上の利用で1.5倍の買物ができる。毎月15・16日はシニアズデーで65歳以上の顧客がポイント3倍。レジ袋不要な人は、エコポイントとして2ポイント付与。キャンペーン商品に通常よりも多くのポイントを付与、等々といった具合だ。不正が横行する前に、見過ごせないのは当然である。
「ウエルシア薬局」にこの件について問い合わせると、「警察に相談している案件のため、今の段階で答えられない」とのことで、捜査が進んでいることをにおわせた。
産経新聞の2017年7月10日の報道によると、「エディオン」の会員になりすまし、商品をだまし取ったとして、中国から帰化した大阪府在住の男ら3人が、大阪府警サイバー犯罪対策課に逮捕されている。3人は詐欺と不正アクセス禁止法違反の疑いがかけられた。
3人はインターネット決済できるデジタル会員になり済まし、少なくとも10人分のIDとパスワードを悪用してポイントで家電を購入。約41万円分のポイントが不正に使われたという。
「エディオン」のサーバーには16年12月に約2,400万回ログインが試みられ、大半が中国からのアクセスだった。大阪府警によれば、別のネット上のサービスのIDとパスワードが流出。文字や数字が同じ配列を使っていたものが悪用されたと判断しているとのことだ。
「エディオン」は「Tポイント」をはじめ、何種類かのポイントを選べるようになっており、この事件で「Tポイント」が悪用されたとは断定できない。だが、IDとパスワードを盗んで、そのままそのサイトに入るといった単純な手口ではなく、別のサイトと一致した人に狙いを定めて日中両国の住民で構成する少人数のグループを組んで攻撃する、パターンが見て取れる。
「Tカード」発行先のCCC広報によれば、「NTTドコモさんのdカード不正使用が問題になっていたので、セキュリティを高めた」とのことで、去る11月15日14時以降、「モバイルTカード」サイトにアクセスすると、本人確認画面が表示されるようになった。本人確認がない場合は、使用できない。
画面の表示に従って、登録している「Tカード」の番号や生年月日を入力すると、本人確認が完了し、引き続き「モバイルTカード」が使えるようになる。2回目からのアクセスでは、本人確認は必要でなく、スムーズに「モバイルTカード」が使える。ただし、アプリを削除したり、ログアウトしたりといった場合は、再び本人確認をしなければならない。
dカードは大丈夫か?
さて、そのNTTドコモは今年2月6日付で公式サイトにて、「NTTドコモを装ったメールが届き、そのメール本文中に記載されたリンク先にアクセスするとdアカウントログイン画面にきわめて似ているウェブサイトに接続され、ID・パスワードを不正に取得される可能性があります」と、ユーザーに注意を促している。さらには、クレジットカードの情報の入力を促す画面に誘導されるケースも続出している。
「dアカウント」を持っていれば、ドコモのスマートホン、携帯電話を使ってなくても「dポイント」の使用が可能。「dカード」、「モバイルdカード」を提示して、提携する「ローソン」、「マクドナルド」、「マツモトキヨシ」、家電「ノジマ」などで商品を購入してもポイントがたまる。
毎月の携帯電話料金の支払いによりポイントがたまりやすい「dカード」だが、不正アクセスにより、ポイントを抜き取られるリスクが増大している。
そこで、NTTドコモでは、セキュリティ強化のため以前から用意していた2段階認証を、今年8月よりユーザーに導入するよう積極的に呼びかけている。ID・パスワードに加えて、顧客が設定するセキュリティコードを付加することで、第3者が容易に閲覧できなくなった。
NTTドコモでは、さらに9月10日付で、「ケータイWatch」の報道によれば約3万5,000枚の「dカード」ポイントの緊急利用停止措置を行った。12日までに、利用した覚えがないにもかかわらずポイントが減ったという問い合わせが、8月以来約300件に上った。
加盟店(「ローソン」である説が有力)のウェブサイトへの不正アクセスにより、ポイントの不正利用が行われたためだ。それで、不正アクセスを受けた可能性があるアカウントを、止む無く利用停止にした。引き続いてポイントをためたり使ったりしたいのであれば、面倒でも改めて登録しなおす必要が生じた。
NTTドコモ広報では、「2段階認証が浸透した今では、不正アクセスの話は聞かなくなった」と胸を張る。
経済系のウェブニュースで消費生活コンサルタントの記事を読むと「ポイントは盗まれるのが前提と考え、小まめに使って生活防衛、節約しましょう」といった論調が多い。そう言えば、「ウエルシア薬局」では、下1桁の端数の金額が出た場合、1円なり2円なりを「Tポイント使いますか?」と聞いてくる。日常的な使用を促しているとも取れる。
狙われる日本人のカード
トレンドマイクロによれば、今年上半期に同社が検出した、フィッシングサイトへの誘導件数は約290万件で、昨年上半期約74万件と昨年下半期約106万件を合わせた約180万件よりはるかに多い。ちなみに一昨年は約185万件だった。それだけ、日本人のポイントカードのポイントや、クレジットカードは狙われているのだ。
同社は「フィッシング詐欺の事例ですが、Appleを偽ったものを確認しております。繰り返し拡散される『あなたのApple IDのセキュリティ質問を再設定してください。』メールに注意」と呼びかけている。
日本では、「ビットコイン」のような仮想通貨以上に、生活に浸透している貨幣的価値を持つポイントカードのポイント。インターネットにつながったモバイルカードの場合、セキュリティをどう守っていくのか。この課題を解決するべく「モバイルTカード」の本人確認、「モバイルdカード」の2段階認証で、安全性はぐっと高まったものの、不正を働こうとするサイバー窃盗団との戦いは残念ながら続いていく。