2025年、クレジットカードの不正利用被害額は過去最高の555億円に達した。
その9割以上が「番号盗用」によるものだ。
カードを物理的に盗まれたわけでも、偽造されたわけでもない。
番号という情報だけが抜き取られ、悪用される時代になった。
メディアで取り上げられることの多い「非接触スキミング」と、実際に最も深刻な脅威となっている「クレジットマスター攻撃」の2つの手法について、その技術的特徴、現実的なリスク、そしてカード会社と利用者の双方が抱える構造的な問題を見ていきます。
1. 非接触スキミング:満員電車での脅威は本当か
1.1. 手口の特徴
非接触スキミングは、専用の小型機器を使ってカードに触れることなく情報を読み取る攻撃手法です。
手のひらサイズの装置を5〜6cm程度までカードに近づけることで、カード番号や有効期限といった情報を抜き取ります。
満員電車やエレベーター、レジ待ちの列など、人が密集する場所で犯人がターゲットの財布やバッグに装置を近づけるだけで実行できます。
見た目はスマートフォンを操作しているようにしか見えないため、周囲からの発覚リスクは低いです。
1.2. 技術的な制約
まず、EMV準拠のICチップ付きカードでは、磁気ストライプよりも遥かに情報が限定されます。
基本的に読み取れるのはカード番号と有効期限です。
オンライン決済で必須となるセキュリティコードは含まれないケースが多いです。
つまり、この手法で得た情報だけでは、多くのECサイトでは決済を完了できません。
セキュリティコード不要の脆弱なサイトか、物理的な店舗で偽造カードを使う場合に限られます。
1.3. 現実的なリスク評価
セキュリティ専門家の視点から見ると、非接触スキミングは中から低リスクに分類されます。
犯人は現場に足を運ぶ必要があり、満員電車でスキミング装置を使い続けるのは、逮捕のリスクを常に負います。
スキミング防止スリーブや専用のカードケースは100円ショップでも購入でき、物理的に電波を遮断できます。
つまり、犯罪としては効率が悪いのです。
メディアでは「満員電車で5cm近づくだけで盗まれる」とセンセーショナルに報じられますが、被害の主因ではなく、局所的かつ限定的な脅威と見るのが妥当です。
やや視聴者の不安を煽る側面が強いと言えます。
2. クレジットマスター攻撃:見えない脅威の本質
2.1. 手口の特徴
クレジットマスター攻撃は、カード番号の規則性を悪用した自動生成型の攻撃です。
コンピューターを使って大量の番号を生成し、セキュリティの甘いECサイトで片っ端から試行します。
そこで有効な番号が見つかれば、それを使って不正購入を行ったりか、ダークウェブで転売したりします。
これは、カードを使うタイミングでなくても、被害に遭う点が恐ろしいところです。
財布の中で眠っているだけのカードでも、番号が推測されれば標的になるのです。
2.2. なぜ番号は推測可能なのか
クレジットカードの16桁の番号は、完全にランダムではありません。
最初の6〜8桁はBINと呼ばれる発行者識別番号で、カード会社や銀行ごとに固定されています。
たとえば、三井住友カードのVisaなら「4980」で始まるなど、公開情報です。
また、最後の1桁はチェックデジットといって、前の15桁から計算式で導き出される検証用の数字です。
ルーンアルゴリズムという公開されている計算方法で求められます。
すると、攻撃者が実際に推測しなければならないのは、16桁中わずか7〜9桁程度。
それでも理論上の組み合わせは約1億〜10億通りです。
有効期限は月が12通り、年が今後5年程度と仮定すると60通り。
セキュリティコードは3桁で1,000通り。
すべてを掛け合わせると、約60兆通り。
膨大に見えます。
ただ、攻撃者は「特定の誰かを狙う」必要はありません。
「誰のでもいいから使える番号を1つ見つける」という分散型攻撃なので、現実的に探索可能になってしまっているのです。
2.3. 名前という壁は存在しない
ここで、「名前まで当てなければならないなら、組み合わせは天文学的になるのでは?」と疑問に思う方も多いでしょう。
実は、多くのオンライン決済システムにおいて、カード名義の照合は厳密に行われていないことが多いです。
入力された名前が「アルファベットであるか」「空欄でないか」といった形式的なチェックのみで、銀行のデータベースと1文字ずつ突き合わせる処理は省略されているのです。
攻撃者は名義人欄に「TARO YAMADA」のような一般的な名前や、極端な場合は「CARD HOLDER」と入力するだけでも決済を通せてしまうことがあります。
認証で最も重視されるのは番号、有効期限、セキュリティコードの3点であり、名前が多少違っていても決済は承認されます。
なぜこんな緩い運用がまかり通っているのでしょうか。
厳密な名前チェックを導入すると「大文字小文字の差」「ミドルネームの有無」「姓名の順序」などでエラーが頻発し、正規の購入者が買い物を諦めてしまう、いわゆるカゴ落ちのリスクがあるからです。
2.4. 攻撃の現実性
クレジットマスター攻撃は、パスワードの総当たり攻撃よりも遥かに効率が良いです。
パスワード攻撃では、特定のアカウントに対して数回間違えるとロックがかかります。
クレジットマスターは世界中の数千の脆弱なECサイトに対して、それぞれ違う番号を1回ずつ試すという手法をとります。
ロックを回避しながら、ボットネットを使えば秒間数万回の試行が可能です。
さらに、未だにセキュリティコード入力を求めないサイトすら存在します。
その場合、組み合わせは一気に1,000分の1の60億通りまで減ります。
高性能なコンピューターとボットネットがあれば、数時間から数日で複数の有効な番号がヒットすると言われます。
攻撃者はまず「1円」や「10円」といった少額の決済を試します。
大きな金額だと不正検知システムに引っかかりやすいため、まずはその番号が有効かどうかを低リスクで確認するのです。
海外の少額寄付サイトなどで「1ドルの決済エラーが大量に発生する」というニュースが時々報じられますが、それは攻撃者がそこを実験場として使っている証拠です。
一度生きている番号だと確認されれば、ダークウェブでリスト化され転売されます。
そこには番号だけでなく、名前、住所、電話番号といった個人情報も紐づいている可能性があります。
2.5. 専門家によるリスク評価
クレジットマスター攻撃は高リスクに分類されます。
実行コストが極めて低く、攻撃者は自宅からパソコン1台で実行でき、物理的なリスクを負いません。
一度プログラムを組めば、24時間365日自動で攻撃を続けられます。
スケーラビリティが圧倒的に高いのです。
世界中の無数のサイトに分散して攻撃を仕掛けるため、個々のサイトでは「たまたま間違った番号が入力された」としか見えません。
パターンとして検知されにくいのです。
555億円という巨額被害の大部分は、このクレジットマスター攻撃とフィッシング詐欺によるものです。
3. カード会社にとってのコスト構造
3.1. 補償か、セキュリティ投資か
「なぜこんなガバガバな状態が放置されているのか」と疑問に思う方も多いでしょう。
その答えは、カード会社にとっての経済合理性にあります。
不正利用の被害を補償することは、カード会社にとって必要経費として計上されています。
製造業における不良品、小売業における万引きと同じように、ビジネスを運営する上で避けられないコストです。
年間数百億円の被害額は確かに大きいです。
しかし、世界中のシステムを根底から作り直すには何千億円もの投資が必要です。
開発途上国の決済端末や、10年以上前のシステムを使っている中小サイトが一つでも残っている限り、古い認証方式を維持せざるを得ません。
全員が同じルールで会話しているため、一部だけ「今日から名前の厳密照合を必須にします」と変えることが極めて困難なのです。
これまでは、システムを更新するコストよりも、発生した不正被害を補償する方が安上がりでした。
だから放置されてきました。
3.2. 利便性という巨大な壁
もう一つの理由は、フリクションと呼ばれる問題です。
セキュリティを厳しくすればするほど、購入手続きが面倒になり、客が買い物を途中で止めてしまいます。
セキュリティを強化した結果、決済成功率が1%下がったとします。
世界規模のVisa、Mastercardの流通額は年間約1,500兆円です。
1%の損失は15兆円になります。
不正利用の被害額が数千億円であるのに対し、不便で買われなくなる損失は桁違いに大きいです。
それゆえ、多少のガバガバさは商売上の正解とされてきました。
加盟店も同じ心理です。
「名前の1文字が違うだけで決済エラーになるなら、うちでは買わない」という機会損失を、不正利用の被害額以上に恐れています。
3.3. 責任の所在と保険の構造
これまでは不正利用が起きても保険や加盟店負担で処理されることが多く、カードを利用するユーザー側に直接的な金銭被害が出にくい構造でした。
金銭は代替可能な資産です。
住所や指紋、プライバシー情報などの一度流出したら二度と取り返しがつかない情報とは異なり、お金は補償すれば元通りになります。
だから、カード会社は補償すれば済むという割り切りをしてきました。
ユーザーから見ると、「身に覚えがない」と申請すれば、基本的には金銭的ダメージはゼロです。
このユーザーに損をさせない仕組みこそが、クレジットカードをこれほどまで普及させた強力な武器でした。
4. 利用者が失う信頼という無形の資産
4.1. 金銭だけでは測れないコスト
しかし、この構造も崩れつつあります。
AIによる攻撃の自動化で、被害額がカード会社の想定経費を突破し始めたからです。
それに、利用者から見ると、不正利用には金銭以外の目に見えないコストが存在します。
「またいつか盗まれるかもしれない」という不安を抱えながら、毎月明細を隅々までチェックするのは、一種の認知的労働です。
本来、道具は意識せずに使えるのが理想ですが、信頼が揺らぐと、使うたびに「大丈夫かな?」というノイズが走ります。
それに、再登録も苦行です。
不正利用が発覚すると、カードは即座に停止され、番号が変わります。
公共料金、Netflix、Spotify、Amazon、モバイルSuica。
あらゆる決済情報を手動で更新しなければなりません。
更新を忘れてサービスが止まったり、大事な買い物のタイミングでカードが使えなかったりするストレスは、金銭では測れません。
金銭は戻ってきても、自分のカード番号が裏社会のリストに載っているという事実は消えません。
次はもっと巧妙なフィッシング詐欺に狙われるのではないかという二次被害への警戒心が、日常生活の快適さを損ないます。
4.2. 他の決済手段への流出
この心理的負担が積み重なると、ユーザーはもう現金の方がマシ、チャージ式の電子マネーの方が安心と、他の手段へ流出していきます。
PayPayなどのスマホ決済には、生体認証や端末認証といった追加の防御層があります。
Apple PayやGoogle Payにはトークナイゼーションという技術が使われており、実物のカード番号をそのまま送るのではなく、その決済一度きりの使い捨ての合言葉でやり取りします。
もし途中で番号を盗まれても、他では一切使えません。
クレジットカードは番号さえあれば使えるというシンプルさが強みでしたが、それが今や最大の弱点になっています。
4.3. 信頼の毀損は経営リスク
結局、信頼という無形の資産の毀損は、銀行やカード会社にとって補償額以上の大ダメージです。
金銭的な損得だけなら、ユーザーの負担はゼロかもしれません。
しかし、このカードは安心して使えないという評判が広がれば、新規発行数は減り、既存ユーザーは解約し、加盟店は他の決済手段を推奨し始めます。
ブランド価値の低下は、数字では測れませんが確実に経営を蝕みます。
現在カード業界が直面している最大の危機は、金銭的な被害額ではなく、この信頼の喪失なのです。
5. 変化の兆し:3Dセキュア2.0と新しい防御
5.1. 業界の対応
ただし、この放置の時代は終わりつつあります。
日本では2025年までに、原則としてすべてのECサイトで本人認証「3Dセキュア2.0」の導入が義務化される流れになっているからです。
これは番号だけでなく、スマホへのワンタイムパスワードや生体認証を求める仕組みです。
クレジットマスターで番号を当てられても、最後の決済段階でスマホ認証が入るため、不正利用をブロックできる確率が格段に上がります。
5.2. アプリによる利用通知設定
利用者側でできる最強の防御策は、利用通知設定とカードロック機能です。
決済された瞬間にスマホに通知が来る設定にしておけば、高額の商品を買われる前に、最初の数百円のテスト決済の段階でカードを止めることができます。
この設定、実は導入している人が意外と少ないです。
海外利用の停止、ネット決済のみの停止など、使わない機能をスマホから一瞬でオンオフできる機能も多くのカードで提供されています。
6. まとめ
非接触スキミングとクレジットマスター攻撃。
メディアが注目するのは前者ですが、実際に深刻な脅威は後者です。
非接触スキミングは技術的には可能ですが、情報の不完全性、物理的リスク、対策の容易さから、中から低リスクと評価されます。
一方、クレジットマスター攻撃は実行コストが低く、被害の広がりやすさと検知の難しさから現実的な脅威の高リスクに分類されます。
これまでカード会社にとって、不正被害の補償は必要経費でした。
システムを更新するコストよりも、発生した被害を補償する方が安上がりだったからです。
しかし、AIによる攻撃手法の拡散で、被害額が想定を超え始め、ようやく本格的な対策が始まっています。
利用者から見ると、金銭的な損失はゼロでも、再登録の手間、精神的な不安、情報汚染への恐怖という目に見えないコストが存在します。
この信頼の毀損こそが、カード業界が今直面している最大の危機です。
補償すれば済むという時代は終わりました。
これからは、番号という脆弱な認証から、スマホ認証やトークナイゼーションといった多層的な防御へとパラダイムシフトが起きます。
利用者も、カードをただ持っているだけではなく、通知設定やロック機能を使って自分で守るという意識が求められる時代になりました。