最近のイオンカードの不正利用とApple Payについての心配

2024年10月8日、イオンカードの公式サイトにて、詐欺被害にあった利用者への対応に時間がかかっていることについてのお詫びのお知らせが公開されました。それなりの被害がありそうです。

以前から、このイオンカードの不正利用関連の件は気になっていたので、まとめてみます。

ちなみに最初から余談ですが、私はイオンカードを保有しておらず、今年の年末くらいにそれなりのキャンペーンがあればミッキーのゴールドカードを目指して新規発行してみたいと思っていたところなのですが、さすがに躊躇する状況です。

イオンカードの不正利用関連の話題

最近、イオンカードの不正利用とそれに対する返金対応の遅さ、さらにクレジットカードを停止しても不正利用が続くといった話をXの投稿で見かけます。メディアではほとんど報道されていないようで、扱っているニュースサイトもごく一部です。

すぐに補償を受けられず、数十万円の不正利用分がいったん引き落とされるケースも。

イオンカードの公式サイトでは、お知らせ等が発表されていますが、不正利用の内容や被害状況についての詳細は不明です。

本記事では、公式サイト以外のニュース記事等も含め、掲載されている情報をいくつか確認していきます。

本記事では、公式に発表されている情報ではないものも扱いますので、1つ1つの情報の詳細や真偽については各自でご確認、ご判断ください。

大手ニュースサイト等の情報

まず、大手ニュースサイトに掲載されている記事をご紹介します。

公式サイトの情報ではありませんが、不正利用と被害の流れを把握しやすいかと思います。

ITmedia NEWS、Impress Watch

この件について詳しく説明している一連の記事が掲載されています。

私の興味に沿って読んだ限り、要点は以下です。

記事内容からまとめた不正利用の概要

1. まずイオンカードのクレジットカード情報が不正入手される(経路についての補足事項は後述)
2. そのクレジットカード情報がApple Payに登録される
3. Apple Payで、本人確認を省略可能な iD 決済により不正利用される(毎日1万円以内の不正利用、等)
4. 不正利用にあった利用者がイオンカードに補償対応を依頼すると、いったん不正利用分の利用金額が引き落とされた後、返金される予定となる場合があり、3カ月から半年程度もの日数を要することも
5. クレジットカードを停止しても不正利用が止まらないケースまである

上記に対する補足

いくつか補足します。

最近の日本国内のクレジットカードをApple Payに登録すると、VisaやMastercard、JCB等の国際ブランドでの決済のほか、iDやQUICPay+での決済ができるようになります。これらのうち、今回のケースでは iDが不正利用されたと指摘されています。

2.のイオンカードのApple Payへの登録の仕組みについて、詳細は不明ですが、基本的に2種類の方法があります。1つ目はイオンウォレットアプリ経由での登録(イオンウォレットアプリへのカード登録時には本人確認が必要そうだけど、Apple Payへの登録時には本人確認が不要かも(公式サイトの2024年10月8日時点のアーカイブ))、2つ目はiOSのウォレットアプリでの直接登録(本人確認は必要(公式サイトの2024年10月8日時点のアーカイブ))です。

3.のApple Payでの iD決済においては、少額決済に関しては本人確認を省略可能です。その上限は1万円かと思いますが、公式情報は見当たりませんでした(私自身、もうiDはほぼ使わないですし試す機会も無く…)。ちなみに、この上限についてはCVMリミットと関連性のある設定かと思っています。なお、記事によると、イオンカードに付帯する iDのオフライン利用は現在制限されており、連日1万円のような使い方は不可能になっているとのこと(参考)。

4.の補償対応に時間がかかる点については、返金のための異議申し立て及び補償適用の検討の結果が出るまで、3カ月から半年程度の日数を要するケースもあるようです。すぐに補償を受けられず、数十万円もの不正利用分がいったん引き落とされたまま返金を待つケースもあるとのこと。この対応の遅れについては、記事にイオンフィナンシャルサービスに確認した結果が記載されており、春先からイオンカードを騙るフィッシングメールが急増している背景があるそうです(参考)。サポートの手が回らない状況になっているのかと思います。

5.のクレジットカードを停止しても不正利用が止まらないケースがあるという点については、決済に興味がある方にとっては関心の高い部分かと思います。記事中では、1万円以下のiD決済によりオーソリを省略して決済完了できてしまうことや、ネガリスト(無効なカード情報のリストのようなもの)が何らかの理由(記事では登録できる枠の不足を指摘)で適用できていないことにより、この不正利用が成立していると説明されています。また、不正利用に使用している端末を機内モードにする等、インターネット接続しないまま保持し、リモート消去を回避しているという推測も述べられています。私自身は、そこまで仕様を理解できていないため詳細は不明です。

イオンカード固有の脆弱性の有無

なお、仮にイオンカードの不正利用の被害が他のクレジットカードに比べて特に増えていたとしても、イオンカード固有で脆弱な仕組みがあったのかどうかという点については判断できる情報がありません。

前述のように、イオンカードの利用者を狙ったフィッシングメールが急増していたのであれば、イオンカードがクレジットカード情報を不正入手するためのターゲットにされたために被害が多くなったという推測はできます。しかし、これだけでは、イオンカード固有の脆弱性があったとは言えません。

あとは、イオンカードのApple Payへの登録手順については、ちょっと気になりました。

ここまでは、ITmedia NEWS、Impress Watchの記事についてでした。

イオンカード公式サイトの情報

続いて、一次情報として、イオンカードの公式サイトで確認できる情報も確認しておきます。

イオンカード公式サイトでのお詫びのお知らせ

2024年10月8日、イオンカードの公式サイトにて、詐欺被害にあった利用者への対応に時間がかかっていることについてのお詫びのお知らせが公開されました。全文を引用しておきます。

【重要】フィッシングメールや不正利用などの被害にあわれたお客さまへ

詐欺行為の被害にあわれたお客さまに対し、心よりお見舞い申し上げます。
また、こうした詐欺被害にあわれたお客さまへの対応にお時間がかかっていることについてお詫び申し上げます。

現在、急増する決済にかかわる犯罪行為の撲滅を目指し、業界全体で様々な取り組みをしておりますが、弊社におきましても被害実態や複雑かつ巧妙化する犯罪手口の解明と被害金額の特定および返金処理などに時間を要しており、結果としてお客さまに多大なご心配とご迷惑をお掛けしている事実は否めません。改めて深くお詫び申し上げます。

今後はこれまで以上に、お客さまのお気持ちをしっかりと踏まえたうえで、被害金額の特定とご返金、および不正利用などの被害をなくす努力を鋭意継続してまいります。
お客さまにおかれましてはご迷惑をおかけいたしますが、引き続きのご理解とご協力をお願い申し上げます。

株式会社イオン銀行
（業務受託会社）イオンフィナンシャルサービス株式会社

出典：【重要】フィッシングメールや不正利用などの被害にあわれたお客さまへ | イオンカード　暮らしのマネーサイト

それなりに深刻そうです。

お知らせを出すくらいの規模で詐欺被害が生じており、被害金額の特定や返金処理に時間を要しているとのことで、私の印象としては、”お客さまのお気持ちをしっかりと踏まえたうえで” という一言を添える必要性があるくらいの状況にはなっているのだろうと感じました。

(追記) イオンウォレットでApple Pay登録停止

2024年11月7日、イオンウォレットアプリでイオンカードのApple Pay登録ができなくなっている旨のお知らせが掲載されています。

イオンカード公式サイトでの不審なメール、サイトなどの例の掲載

また、別のページでは、実際に確認されている不審なメール、サイトなどの例も多数掲載されています。

具体的に、偽装メールの文面として、以下のような例があります。

このようなメールだけでも多くの事例が掲載されています。

偽装メールの例

• 事例1 カードの利用をお知らせするメール
• 事例2 「イオンカード」を名乗り本人確認（3Dセキュア）の登録を促すメール
• 事例3 「イオンクレジットサービス株式会社」を騙る不審なメール
• 事例4 「イオンカード」を名乗りパスワードの再設定を促すメール
• 事例5 カード番号、暗証番号、有効期限などを聞き出そうとするメール
• 事例6 「カードの再有効化」を騙るメール

偽装メール以外にも、偽装サイトの例、偽装電話の例、偽装二次元コードの例、当社と酷似した社名を名乗る金融業者について具体的な事例を確認できます。酷似した社名を名乗る金融業者については、(株)イオンクレジットや(株)イオンバンク等、一見イオングループと関係があると思ってしまいそうな社名と所在地が挙げられています。

このような感じで、かなり詳細な内容が載っていて情報量が多く、生々しいです。

以下のページで確認できます。

• 実際に確認されている不審なメール、サイトなどの例 | イオンカード　暮らしのマネーサイト

Webサイトでの情報流出は他社クレカも共通

なお、最近お知らせに掲載されている銀時webサイトでのカード情報流出、スローヴィレッジオンラインショップでのカード情報流出については、イオンカード固有の話ではないと思います。スローヴィレッジの方は三井住友カードでもお知らせが出ています。

具体的な被害内容についての公表は見当たらず

本記事の作成時点で、イオンカードの公式サイトで確認できる情報は上記のような内容であり、具体的な不正利用の手法や詳細な被害状況について確認することはできません。

自身のイオンカードが不正利用の被害にあったら

もし、自身のイオンカードで不正利用が発生した可能性がある場合には、”利用した覚えのない請求について“の内容を確認の上、必要ならコールセンターに連絡して適切な手続きを行いましょう。

イオンカードの不正利用の補償に関しては、以下のページに説明があります。

• 不正利用の補償 | イオンカード　暮らしのマネーサイト

補償を受けるためには、被害発生から60日以内に届出が必要です。

また、ご自身の判断で状況に応じ、クレジットカードの停止、さらにクレジットカードの解約も検討の余地があるかと思います。既に損害が発生している状況であれば、解約すると補償を受けられなくなるといったことが無いかについても要注意です。

あと推奨はできませんが、どうしても不正利用された金額を引き落とされるのを避けたい場合には、強硬手段？の1つとして、イオンカードの引落しに使用している銀行口座の残高を少なくしたり、口座引落の設定(契約)自体を解除する等の対応も考えられます。引落し失敗すると信用情報が大変なことになりそうな気もしますが、このような場合は大丈夫なんですかね。

以下の記事で、補償制度に関する一般的な話をまとめてあります。

その他のサイト等の情報

以下の内容は、クレジットカード全般に関する参考情報として記載しておきます。また、1つ1つの情報の詳細や真偽については各自でご確認、ご判断ください。

Youtubeの動画 (2024年7月)

MBS(毎日放送報道情報局)の公式チャンネルの動画です。

動画内では、クレジットカード会社の名前についての言及はありませんので、イオンカードに関する動画かどうかについてのコメントは控えます。

なぜ？クレジットカード”停止したのに”不正利用が止まらない…毎日１万円ずつ被害に「意味分からない」利用者に募る不安　スマホタッチ決済悪用か【ＭＢＳニュース特集】（2024年7月25日）