13時25分48秒 [ネット生活]
クレジットカードの不正利用に遭ってしまいました。突然カード決済が失敗するようになったのでおかしいな……と思っていたら、カード利用履歴に見覚えのない決済が多数。日本円決済だけでなく米国ドル決済もあり、10万円くらいの不正決済がありました。
最終的には新しいカードを発行してもらって、不正利用分の支払いは一切なかったので無事に解決(?)できたんですけども。しかも、かなり手続きはスムーズでしたが。
とにかく、不正利用に遭遇するとは予想していなかったのでなかなか驚きました。
以下は、その記録です。
突然クレジットカード決済が失敗するようになった
8月末の夜、いつものようにネット上でカード決済しようと思ったら、なぜか決済が通りませんでした。そのときは「何らかの通信トラブルでもあったのかな?」と思っただけで放置していたんですが、翌朝に別のウェブサイトで決済しようとしたときにもエラーが出て、何かおかしそうだな、と気付きました。
「クレジットカードが使えない」理由といえばまず思いつくのは限度額の超過ですが、普段、限度額を超えるほどにカードを使うことはありませんし、最近そんなに高額の買い物もしていません。
なので、何か問題が発生しているんだろうなと思いました。
クレジットカード会社のウェブサイトからログインして、まずは利用可能額を調べてみたところ、「あなたのカードでは利用可能額は調べられない」という謎のエラーが表示されました。(^_^;;;
次に、利用明細を見てみたところ、そちらはちゃんと表示されたんですが、合計額が高額になっていました。
「何の支払いがあったんだろうか?」と思ってリストを眺めていくと……
見覚えのなさすぎる決済がある!(;゚Д゚)
iTunesストアで2万円、ペイパルで3万円とか身に覚えのない決済が表示されていて、ここでようやく自分のクレジットカードが不正利用されているのだと気付きました。
昨夜からクレジットカード決済が通らないのは通信トラブルとかじゃなくて、カード会社のシステムが不正利用の可能性に気付いて自動で支払いを保留にしたのでしょう。
実は前日から携帯電話に東京03局番からの電話が入っていたんですよね。ただ、電話帳に登録されていない番号だったのでかけ直さなかったんですが。これが、クレジットカード会社からの確認電話だったのでした。(^_^;;;
(自宅に電話はなかったので、たぶん「出先でカードを使おうとしている」可能性も考えて、携帯電話に連絡する方針なんでしょうかね。)
クレジットカード会社に電話連絡
面倒なことになったな……と思いつつ、昼にクレジットカード会社の窓口へ電話で連絡を入れました。
たぶん「身に覚えのない決済がどれなのか」を言わないといけないだろうと予想していたので、
- まずはクレジットカード会社のウェブサイトに表示される利用履歴ページをタブレットに表示させた状態で、
- クレジットカードそのものも手元に用意した上で、
携帯電話で電話しました。
電話はすぐに繋がり、窓口の方に自身のカード番号やら名前やらを述べると、私のカードが保留になっている事実はすぐに認識されたので、話はスムーズでした。
まずは私から「身に覚えのない決済」を挙げたんですが、なんと「ウェブ上にはまだ反映されていない利用履歴がありますので」ということで、直近の利用を1件ずつ電話で確認しました。
すると、まったく聞いたこともない海外店舗でのドル建て決済履歴を多数読み上げられて驚きました……。恐怖です。
ウェブ上の利用履歴に表示されていた決済は「通った決済」であって、「保留になっている決済」がまだたっぷりあったということでしょうかね。
全部確認し終えると、10万円近くの不正利用がありました。
最初にカード会社サイト上で利用履歴を見た時点(右上図)では、不正利用の件数は3件(5万円)だったんですけども、カード会社の担当者さんが読み上げた履歴には多数のドル建て決済がありました。恐怖です。
あと、支払いが確定していなくても、「支払い枠を確保する」だけの状態というのもあるんですね。そういうのも読み上げられて、記憶にあるかどうかが確認されました。
カードはその場で失効させ、再発行手続きをすることに
多数の不正利用があることから考えて、既にカード情報は流出してしまっているとのことで、現カードは失効させた上で再発行することになりました。
新しいクレジットカードと、決済拒否のための書類を郵送してくれるとのこと。
だいたい20分くらいの通話で、
- 不正利用分の支払いを特定する
- クレジットカードを止める
- カードの再発行手続きをする
という3点は完了しました。
物理的にカードの盗難に遭ったわけではないためか(どうなのか理由は尋ねていませんが)、警察に連絡する必要はないようでした。
クレジットカード会社の対応はとても良かった
不正利用被害に遭ったことにも驚いたんですが、クレジットカード会社の対応がとても良かったことにも驚きました。
最初はこちらから携帯電話で電話したんですが、生年月日などを述べて本人確認が済んだ後に一旦電話を切って向こうから折り返し電話してくれました。不正利用分を特定するために利用履歴を一件ずつ口頭で確認するので通話にはそこそこ時間がかかったんですが、少なくとも電話代を気にする必要は一切ありませんでした。(^_^;;;
サービスが良いですね。
どこのカード会社でもそうなのか、それともこれがヨドバシクオリティなのかは分かりませんが。
※私のカードは、ヨドバシカメラのポイントカードも兼ねるゴールドポイントカードプラスで、かなり長く使っています。(最初はソニーファイナンスという会社が発行していたんですけども、数年前にカード事業だけがヨドバシカメラ設立の子会社になりました。)
私は年間3~400冊くらい本を買うんですが、ヨドバシドットコムで書籍や雑誌を買うときにこのカードで決済すれば10%分のポイントが還元されるので重宝しています。
不正利用された額はどうなるか
クレジットカード会社の担当者さんの話によると、
- 不正利用だと申告した分について、まずは店舗側に返金を求めるとのこと。
- もし店舗側から返金がなされなかった場合は、保険の手続きが必要とのこと。
どちらにしても不正利用された分の支払いを求められることはなさそうだと分かりましたが、本当に全ての不正が認定されるのかは若干不安でした。
クレジットカードそのもの(=物理的なカード)は私の手元にあるので、カードの盗難ではありません。
なので、不正利用はおそらくすべてウェブ上での決済でしょう。
となると、「本当に私が使ったわけではない」ということをどうやって証明すれば良いのかな、というのが不安の要因です。
結果的には、何にも証明する必要ななく、ただ「この項目が不正利用です」と述べただけで済んだのですが。
どんな場合でもそうなのか、今回はたまたま分かりやすい不正利用だったのかは分かりませんが。
米国ドル決済の分が不正利用だというのはともかく、iTunes Storeとかペイパルは、本当に私が使っていてもおかしくない決済ですからね……。(だから、その件ではカードは自動では止められず、決済は普通に通ったので利用履歴に記録されていたのでしょうが。)
不正利用に使われたApple IDは凍結されるとのこと
iTunes Storeでの買い物に対してカード会社側から不正利用による返金を申請すると、そのApple IDは凍結されるとの話でした。
実はクレジットカード会社に電話をする前に、一応念のために自分のApple IDで購入履歴を確認していました。(※Apple IDでの購入履歴はウェブ上からは閲覧できず、iTunesを起動して確認する必要があり、かなり面倒でした……。)
私自身はApple IDを持ってはいますが、最近は何も買っていません。
で、私のAppleアカウントの購入履歴を確認すると、「過去90日間の利用は一切ない」という表示でした。なので、他人のアカウントで買われたことは間違いありません。
というわけで、別にAppleアカウントがハックされたことによる被害というわけではないことが確認できました。
不正利用者のIDなのであれば、もう本当にどうぞ凍結してやって下さい、と言うほかありません。(^_^;)
新しいカードが届くまでは、カード決済だけでなくポイント利用もできない
新しいカードが届くまでカード決済ができないのは当たり前ですが(番号が失効しているので)、貯まっているポイントの行使もできないとのことでした。
ポイントは、クレジットカード番号に対してではなく、ヨドバシカメラのポイントカード用番号に対して貯まっているのだと理解しているので、それなら使えてもおかしくなさそうですが。まあ、「クレジットカードとポイントカードの一体カード」が不正利用されたと言えるわけですから、ポイントカードとしても止める、ということなんでしょうかね。
直近の決済予定をどうにかする必要がある
カードの再発行には「最大で2週間くらいかかる」とのことでした。
その間の買い物には別の決済手段を使えば良いだけの話ですが、
- 定期的に支払っている利用料金などや、
- 既に注文手続きだけは済んでいて(発送がまだなために)決済がなされていないものなど
に対処する必要があります。
たまたま不正利用被害に遭ったタイミングが月末だったので、モバイル通信に使っているSIM利用料とかの決済日でした。
当日にカード情報を別のカードに変更して、果たして実際の請求先に反映されるのかちょっと心配していたんですが……、結果的には問題ありませんでした。
■BIGLOBE (FAQ) 新しいクレジットカードへ変更されるまでの料金支払いはどうなりますか
このヘルプによると、BIGLOBEの場合は「月の最終日内」にカード情報を修正しておけば、修正後のカードに請求されるとのことでしたので。
とりあえず、直近で支払いのある分については、別のカードに情報を修正することで対処できました。
ほぼ同じ時期に独自ドメインの更新料などもあって、(それは失効してしまうとダメージが大きすぎるので)ちょっと焦りました。(^_^;;;
アカウントに登録してあるカード情報を変更するだけでは不十分な場合も
ちょっと面倒だったのは、物販サイトのアカウント情報でクレジットカード情報を修正するだけでは不十分だったことですね。
少なくともAmazonの場合は、「注文時に登録されていたカード」で決済される仕組みのようで、アカウント情報での登録カード情報を修正しても、過去の注文の決済先(請求先)は変化しないようでした。
この点は事前に認識していないと対処できなさそうですね。
ただ、決済が失敗しても問答無用でキャンセル扱いになることはなく、「クレジットカードの利用承認が得られていません」という件名で「カード会社からの承認が得られていないため、出荷手続きを一時停止しています。」というメールが届くので、そこから決済情報を修正すれば問題はないんですが。ただ、この手続きが遅れると、配送も遅れます。そのまま放置してしまうと、たぶんキャンセル扱いになってしまうでしょう。
なお、ヨドバシドットコムの場合は、旧カードで注文していたものは、何もしなくてもそのまま新カードで決済されていました。ただ、商品に同梱の領収書には旧カードでの決済情報が印字されていましたが。^^; (これはヨドバシなら常にそうなのか、ヨドバシでの購入にヨドバシのカードを使ったからという特殊条件だったからなのかは分かりませんが。)
どこからカード情報が漏れたのかは謎
それにしても分からないのは、どこでカード情報が漏れたのか、です。
クレジットカードを物理的に実店舗で使うことは滅多にないので、漏れたとすればネットからでしょう。(まあ、ずいぶん前に実店舗で使ったときに情報が控えられていて、それが後々になってから漏れた、というケースも考えられますが。)
特に怪しげなウェブサイトでは使っていないので、何らかのサービスのアカウント情報(パスワードとか)がバレたと考える方がいいかな……とも思うのですが、
でも、多くの物販サイトでは、確かにクレジットカード情報は登録できますけども、「登録されているカード情報」を見ようとしてもたいていは一部がマスクされているので、本人といえども完全なカード情報は閲覧できませんよね。なので、たとえアカウントを乗っ取ったとしても、不正利用できるような完全なカード情報は入手できないと思うんですけども。
どこかセキュリティの甘いサイトがあったということでしょうか。
まずそこを突き止めないといけませんよね。
もし、既存の何らかのウェブサービスが原因なんだったら、そこに新しいカード番号を登録するわけにはいきませんし。
……と言いつつも心当たりが何もないので、どこで漏れたのか特定しようがなく、とりあえずの対策として決済情報を保持している全サイトでPWを変更するとかしておかないと……。orz
(二段階認証が使えるサイトでは、さすがにそこから不正ログインされたということはないと思いますが……。)
カード情報をばらまかないように
改めて自分のカード決済を振り返ってみると、(普段利用する店舗は決まっているとはいえ)年に2~3回程度の頻度では、有名ではないウェブサイトでも使ってしまっていて、油断があったなと反省しているところです。
楽天市場やYahoo!ショッピングサイトなどの有名ショッピングモールに出店している店舗なら、そちらで買うようにはしていたのですけども……。(その場合、カード情報は店舗には伝わらないので。)
継続して利用する可能性の低そうな物販サイトでは、クレジットカード情報を登録はしない方針ですが、カード決済をする以上はカード情報は先方に伝わるわけですし、こちらが「情報は登録しない(記憶させない)」という選択肢を採用していたとしても、先方のシステム内部では保持している可能性もありますよね……。
VISA認証みたいに、カード決済時にカード会社側のログインページが表示されてパスワードを要求するような二段階認証のような仕組みがもっと広まれば良いのですけども。
最近はAmazon Payで払えるサイトとかも若干は増えてきましたし、そういう手段がある場合はそっちを使うようにした方が少しは安心ですね。
カード決済の履歴はもちろん何らかの形で残していますが、そうではなく、「カード情報を登録しているウェブサイト」の一覧も記録しておいた方が良いなと改めて思いました。いつも使っているサイト以外に、どこのウェブサイトで自分のカード情報が保持されている(可能性がある)のかが把握できないと、漏れた場所の見当を付けることもできませんし……。
今回の不正利用では、紙の明細書が届くよりも前の段階でカード決済が自動的に止められたので、まだ被害が少なかったんだと思います。カード会社側のシステムが不正利用の可能性を判定するのに使う条件は、たぶん過去の利用履歴でしょう。なので、普段から使っているメインカードだったのは良かったのかも知れません。履歴の少ないカードだと、不正に利用されてもシステム側が自動では気付けない可能性もあるでしょうし。
ネット銀行決済もわりと便利なのかな?
クレジットカードの不正利用が発覚してから、ネット上でのカード利用を見直していて気付いたんですが、「ネット銀行決済」というのも割と便利な仕組みになっていたのですね。てっきり自力で振込手続きをしないといけないのだと思い込んでいたんですがそうではなく、「ショップの支払いページ」から「ネット銀行内の支払い専用ページ」に直接移動して、そこから簡単に決済できました。間にネット銀行のページ(ログイン作業)が挟まるだけで、基本的にはボタンクリックで決済できます。
日常的に利用するサイトの場合はカード決済でないと手間が掛かって不便ですが、たまにしか利用しないとか初めて利用する場合は、カード以外の決済方法を採用してもさほど不便ではなさげです。ネット銀行決済だと必ず銀行サイト側に移動した上で決済することになるので「漏れる」とかありませんしね。(※PCがセキュアなら)
今後はそういう方針でもいいかな、と思いました。(決済額や銀行によっては多少の手数料がかかりますが、そこは保険だと考えてもいいかなと。)
8日後に、新しいカードと不正利用分の申告書「CARDHOLDER'S DISPUTE FORM」が到着
クレジットカード会社に連絡してから8日後に、クロネコのゴツいセキュリティ封筒で新カードが届きました。
電話では「2週間以内」と言われていたわけですが、意外と早くてありがたかったです。
あと、不正利用分の対処を求めるための「CARDHOLDER'S DISPUTE FORM」という英字書類(和訳付き)も、別封筒で届きました。
たまたま同時に届きましたが、両者は別送で、前者は宅急便(クロネコ)、後者は郵便でした。
私のカードはVISAだったので、たぶんVISAに出す書類なんでしょうかね。「CARDHOLDER'S DISPUTE FORM」とは。
郵便で届いたのは以下の4点。
- 不正利用に対処するための「CARDHOLDER'S DISPUTE FORM」を送るので書いて××日までに返送してね、という案内の紙。
- 私が記入する「CARDHOLDER'S DISPUTE FORM」1枚。
- その「CARDHOLDER'S DISPUTE FORM」の書き方を示した紙1枚。
- 返信用封筒1つ。
カード会社の対応は本当にサービスが行き届いていて感心しました。
「CARDHOLDER'S DISPUTE FORM」には、不正利用分のリストアップも含めて必要事項はすべて印字されていたので、私は日付とチェックと署名を書くだけで済みました。書いたら切手不要の返信用封筒に入れてポストに投函するだけで良いようです。
しかも、同封の記入例にある日付が書類の発送日と同じなんですよね。これ、もしかして利用者毎に「どうチェックすれば良いか?」を示すために1人1人それぞれ専用に印刷されているんでしょうかね……? 驚きです。
ちなみに署名の例は「淀橋太郎」でした。^^;
書類の返送期限にはそこそこ余裕がありましたが(12日くらい)、書類にはすぐに記入して翌朝に投函しました。
書類提出前でも、既に不正利用分は利用履歴から抹消されていた!
てっきりクレジットカード会社に書類を返送して、諸々の手続きが済むまでの間は、不正利用分もそのまま請求対象として取り扱われているのだろうなと予想していたんですが全然そんなことはなくて、ウェブ上で利用明細を確認すると、不正利用分は既にすべて請求明細から削除されていました!
サービスが良いですね……。
※カード番号は変わりましたが、過去の利用履歴は問題なくすべて閲覧可能でした。
電話での担当者さんの話では「まずは不正利用された店舗に返金を求めて、それが無理だったら保険を適用する」という話でしたけども、既にカード利用明細からは削除されている点を見ると、あとは全部カード会社側だけで処理してくれるということなのでしょうか。
新しいカードの有効期限はそのままなんですね
新しく発行されたクレジットカードは、番号はもちろん新しくなっていますが、有効期限は以前のままでした。
てっきり有効期限も新たに更新されるのかと思っていたら、そうじゃないんですね。^^;
そこそこ期限が近いカードだったんですけども、新カードも同様に期限が近くて驚きました。(^_^;;;
どうせ再発行する費用を掛けるなら、有効期限も切り直せば経費削減になりそうだと思うんですが。(まさか次のカードはもう来ないとか、そういうことはありませんよね……?^^;;;)
不正利用の総額は
不正利用総額は約11万円でした。内5万6千円くらいが米国ドル決済。
日本円決済で不正利用されてから米国ドル決済で不正利用されるまでに約1週間ほど空いています。
ドル決済された翌日にカードが自動で止まったので、後のドル決済がなかったら「印刷された明細」が自宅に届くまで不正利用には気付かなかったでしょうね……。
恐ろしい話です。
何事もなかったかのような普通の明細書が郵送されてきて、一件落着?
「CARDHOLDER'S DISPUTE FORM」を返送して以後、特にクレジットカード会社からの連絡はありませんでした。
で、最初にクレジットカード会社に電話をした日から約20日後くらいに、毎月恒例の明細書が郵送されてきました。
不正利用被害に遭って以後、最初の明細書ですが、本当に何事もなかったかのように普段通りの明細書でした。
不正利用分の記載は一切ありません。取り消された事実すら分かりません。(所有カード番号の記載と、決済カード番号の記載が異なるので、その点だけは普段と異なりますが。^^;)
最初に予想したよりも遙かにスムーズに済みました。(それだけ被害数が多いということでしょうかね……。)
というわけで、クレジットカードの不正利用被害に遭遇した話でした。
どこで漏れたのかがハッキリしないので気をつけようがないのですけども、気をつけましょう。(^_^;)
追記:2017/12/11 カード会社から結果報告の封書が到着
手続きから3ヶ月後の12月になって、カード会社から封書で「返金が成立した」との結果報告が封書で届きました。手続きから解決まで3ヶ月くらいかかるんですね。
発覚時点でカードは停止されていたので、元々金銭的な被害はなかったから、この封書は本当に結果報告だけです。「本件につきましては、ご請求を停止させていただいておりましたので、弊社にて相殺させていただきます。」と最後に書かれていました。
とりあえず、すべて終わったということが分かって良かったです。
どこで漏れたのか、についてはさっぱりですが。
とにかく、気をつけましょう。(^_^;;;