メールやウェブサイトを通じて、個人情報やクレジットカード情報などを不正に取得する「フィッシング詐欺」。個人情報やパスワードなどの流出により、不正取引やアカウント乗っ取りなどの被害が想定されます。

今回はフィッシング詐欺の概要をはじめ、アメリカン・エキスプレスで情報漏洩対策や不正使用対策に関わる長谷川直人さんと朝比奈孝弘さんに、実際に詐欺に遭ってしまった際の対処法、アメリカン・エキスプレスのセキュリティ対策について教えてもらいました。

メールやSMSを入り口として、ウェブサイトなどを経由してログイン情報やクレジットカード番号、銀行口座情報などを盗み取り、カードの不正利用などにつながるフィッシング詐欺。朝比奈さんも「現在もっとも気を付けるべき問題」と言います。

・フィッシング詐欺被害に遭うと何が起きるか

フィッシング詐欺では、盗まれた情報により、直接的・間接的問わずさまざまな被害が想定されます。

たとえば、盗んだクレジットカード情報によるカードの不正利用、携帯電話のIDやパスワードを使った「キャリア決済」の悪用、オンラインバンキングのログイン情報を使った不正な預貯金の引き出しなどです。フィッシング詐欺の手口は年々変化しており、SMSを使った手法もあります。

また、仮にフィッシング詐欺に遭い不正利用された形跡が見つからなかったとしても、盗まれた情報が詐欺グループのリストに登録されてしまうことも。知らないところで被害が拡大する可能性もあるため、フィッシング詐欺対策は必須です。

参考：アメリカン・エキスプレス「フィッシング詐欺にご注意」

・被害状況

フィッシングに関する情報収集・提供を行うフィッシング対策協議会の「2023/12 フィッシング報告状況」によると、2023年の1年間で対策協議会に寄せられたフィッシング報告件数（海外含む）は約120万件。なかでもオンライン通販の普及により、ECサイトやオンラインサービス、クレジットカード・信用販売などを騙る手口が多く見られています。

参考：フィッシング対策協議会「フィッシング報告状況」

もしもフィッシング詐欺に遭い、クレジットカードを不正利用されてしまった場合、どのように対処すればよいのでしょうか。

・本当に不正利用？まずは慌てず、冷静に確認

もし身に覚えのない請求明細を見つけた場合も、重要なのは、慌てず冷静な対応を取ること。カード決済の場合、実際に利用したお店や日時と明細に記載された情報にズレが生じる場合もあります。利用と明細でズレが生じる情報は、一般的に下記のような情報です。

・利用した店名と、カード明細書に表示された店名が違う

・実際にカードを利用した日と、カード明細書上の利用日が違う

上記のようなズレが発生する理由は、全国でチェーン展開しているお店の場合に明細表示店名が本社名称などになる、デパートやショッピングセンターで利用した場合に個別の店名ではなく商業施設などの名称になる、カードを利用した日ではなくカード会社で売り上げ情報が処理された日が記載されるなど、一概には言えません。

「アメリカン・エキスプレスの場合、カード明細書で不明点があれば、お調べすることも可能です。アメリカン・エキスプレスの公式ウェブサイト『お客様サポート』に記載されている、各カードのお問い合わせ窓口にご連絡ください」（長谷川さん）

このようなズレに気づかず、慌ててカードを止めてしまった場合、カード利用を再開するには、カードの再発行が必要です。カードを再発行するとカード番号などの情報が変更され、元の番号に戻すことはできません。そのため、気になる請求明細を見つけた場合はすぐにカードを止めるのではなく、たとえば、一時的にカードの利用を止めて落ち着いて事実を確認するのもおすすめです。

「アメリカン・エキスプレスの公式アプリには、カードを一時停止する機能も備わっています。不正利用の可能性がある場合のほか、たとえばレストランに財布を忘れてしまい、取りに行くまでの間カードを保留状態にしておきたいといった場合にも活用できます」（長谷川さん）

もしカード利用と明細の記載とのズレが原因だった場合は、カードの再開手続きをすれば利用しているカードをそのまま使うことができます。このような便利なサービスを知っておくことも大切です。

参考：アメリカン・エキスプレス「覚えのない請求がある」

参考：アメリカン・エキスプレス「ご利用代金明細書／ご利用履歴」

・カードの利用停止は、カード会社に連絡後、即時対応

では、本当に不正利用でカードを止める場合はどうしたらよいのでしょうか。

カード利用を停止する場合は、クレジットカード会社に連絡し、カードを止める手続きを取ります。カード裏面に記載された連絡先に連絡しましょう。公式アプリやウェブサイト経由でも対応可能な場合もあります。

「身に覚えのない利用記録に気づいた場合には、ためらわず、すぐにお知らせください。連絡先は先ほどご紹介した、アメリカン・エキスプレスの公式ウェブサイト『お客様サポート』ですぐに確認できます」（長谷川さん）

クレジットカードは、カード会社に連絡後、即時、利用停止になります。

・保証対象期間は一般的に60日以内

クレジットカードを用いたフィッシング詐欺などの不正利用による支払いは、基本的に支払い義務はありません。決済後であっても、補償対象であれば補償を受けることができます。

ただし、補償を受けるには不正利用の発覚から一定期間以内にカード会社に連絡する必要があります。期間はカード会社により異なりますが、アメリカン・エキスプレスの場合は、不審な支払いに気づいたタイミングから60日以内。「60日以内」とは、アメリカン・エキスプレスに不正利用の連絡をした日を1日目とし、そこから60日前までの期間です。

不正利用の返金処理については「支払いは必要？クレジットカードを不正利用されたときの対処法」の「不正利用された場合の対処法や返金について」でも解説しています

・カードを止めた後の対応

フィッシング詐欺被害などでクレジットカードを止めても、そこで終わりではありません。不正利用の発覚後は、被害が拡大していないか確認しましょう。

・すべてのクレジットカードの利用明細を再確認し、身に覚えのない請求がないか

・オンラインバンキングの残高が減っていないか

・ECサイトなどのポイント残高などが減っていないか

など、どのような情報が盗まれてしまったかにより、確認すべき情報は多岐にわたるでしょう。ほかにも、対応すべきことがあります。

・登録している会員情報などを変更する

ウェブサービスやショッピングサイトなどで使用しているIDやパスワードなどの情報を変更します。複数サイトでIDやパスワードを使いまわしている場合、被害が拡大してしまう可能性があるため、必ず全てのサイトで変更しましょう。

もちろん、アメリカン・エキスプレスでマイアカウントにログインするためのIDやパスワードの変更も必須です。

・被害の報告を行う

各都道府県警には「フィッシング110番」などサイバー犯罪の相談窓口があるほか、オンラインでフィッシング対策協議会に被害報告の窓口もあります。

参考：警察庁 サイバー警察局「相談窓口」

参考：フィッシング対策協議会「フィッシングの報告」

ほかにも、ECサイトなどのサポート窓口や、サイバー犯罪に関する相談窓口も存在します。対応に悩んだ場合の相談や被害報告先として頭に入れておきましょう。

さまざまな手口を把握しておくことも、被害から身を守るための鍵です。ここでは、フィッシング詐欺における、3つの代表的な手口を紹介します。

「SMS Phishing（SMSとフィッシング）」を意味するスミッシング詐欺。ショッピングサイトや銀行、宅配業者などを装い、SMS経由で詐欺サイトに誘導するURLを送信します。IDやパスワード、電話番号、連絡先、金融情報などの不正入手を目的に、詐欺サイト上で個人情報の入力を促します。

SMSで送られてくる不審なURLはクリックせず、必要な場合は必ず公式サイトから確認しましょう。

犯罪規模が大きいことから「Farming（農場経営）」と名付けられており、ユーザーが警戒しづらく、危険な形態のフィッシング詐欺と言われています。一般企業や公式ウェブサイトと酷似した詐欺サイト上で個人情報などの入力を促し、情報などを盗みます。

正規のURLと文字列を酷似させているサイトもあります。判断するには、URLを確認することが重要。たとえば、「aiueo.com」であれば「aiue0.com」のように、URLの一部を置き換える手法もみられます。

【置き換えの一例】

・「o（アルファベットのオー）」と「0（数字のゼロ）」

・「I（アルファベットのアイ）」と「l（アルファベット小文字のエル）」

・「I（アルファベットのアイ）」と「1（数字のイチ）」

「ボイスフィッシング (Voice Phishing)」 の略語である「ビッシング」。不正な電話番号や音声ソフトを利用してユーザーをだまし、情報を盗み取ります。ウイルス感染によるユーザーサポートなどを装う手口のほか、偽の公式SNSアカウントや顧客サポート、キャンペーン勧誘などを装う手口もあります。

安心してクレジットカードを利用できるよう、カード会社はフィッシング詐欺をはじめ、さまざまな不正利用に対する意識を高めたり、不正利用防止対策を導入しています。たとえばアメリカン・エキスプレスでは、以下のような取り組みを行い、サポートしています。

・不正使用検知システム

24時間365日カードの利用状況を見守り、不審なカード取引を検知した場合に、カード会員に電話やメールで知らせてくれるサービスです。

「不正利用検知システムは『不正利用でないと自分で分かっているときでも通知が届き、鬱陶しい』というご意見をいただくこともあります。実は私も以前、あるお客さまからご不満の声を頂戴しました。ところがその1カ月ほど後、その方は本当に不正利用の被害に遭われてしまいました。幸運にも未然に防げたのですが、被害を防げたのは、不正利用検知システムが作動したからです。『余計なことだと思っていたけれども、本当に大事なことをしていると分かった』という、うれしいお言葉をいただいたことがあります」（朝比奈さん）

・本人認証サービス「SafeKey」

対象加盟店でのオンラインショッピング時、登録デバイスに届いた認証コードがなければ決済ができないシステムです。万が一カード情報などが盗まれてしまっても、自分の登録デバイスに届く認証コードが求められるため、不正利用されづらくなります。

・カード決済時のお知らせ（アメックス公式アプリ）

アメリカン・エキスプレスのカードを利用するごとに、利用金額と決済先を通知します。仮に不正利用されてしまった場合でも、早期に気づけるというメリットがあります。

参考：アメリカン・エキスプレス「アメリカン・エキスプレスのセキュリティ対策」

ほかにも、もし被害に遭ってしまった場合の対応も整えられています。

・オンライン・プロテクション

インターネット上で第三者にカードを不正利用された際に、不正なカード取引金額を補償してくれるサービスです。

参考：アメリカン・エキスプレス「オンライン・プロテクション」

・Stop Shipment（配送停止）

ECサイトでカードが不正利用された際、購入された商品の出荷前に発送を停止するサービスです。カードだけでなく、ポイントなどによる不正購入にも対応。仮に不正利用で身に覚えのない商品が届いた場合、返金処理などがスムーズに行えたとしても、商品の返送などを依頼される可能性はあり、余計な手間がかかってしまいます。

「近年は購入から発送までが短期間のため、時間との戦いです。すべての不正利用に対処できるとは言い難いですが、アメリカン・エキスプレスだけでなく、ECサイトや配送業者などさまざまな会社と連携しながら、カード会員の方に身に覚えのない商品が届くことのないよう、対処しています」（長谷川さん）

・まだある！アメリカン・エキスプレスのサポート

さまざまなセキュリティ対策を講じているアメリカン・エキスプレスですが、ほかにも不正利用に対する取り組みがあります。たとえば、アメリカン・エキスプレスを騙ったメールが送られてきた際の通報窓口もそのひとつです。

「一見アメリカン・エキスプレスからのメールのようでも、もし不審に思った場合は、メッセージ内のURLをクリックせず、通報先メールアドレス（spoof@americanexpress.jp）に転送をお願いしています。お送りいただくのは、うっかりURLをクリックしてしまった後でも構いません。

第三者機関とともに調査をし、不正が確認され次第、これ以上被害が広がらないよう、誘導先のサイト閉鎖措置など適切な処置を講じています」（朝比奈さん）

アメリカン・エキスプレスでは拡大するフィッシング詐欺被害の対策を含め、社内外で行われる各種勉強会などにも積極的に参加することで、安全にクレジットカードを利用できる体制を築いています。

オンラインショッピングなどが普及するにつれ、手口も進化し、被害も目立つようになってきたフィッシング詐欺。

「常に『フィッシング詐欺のような不法行為にだまされない』と意識する事も大きな対策になります。ただし、『自分だけはだまされない』という過信も禁物」と朝比奈さんも言います。

クレジットカード情報をはじめ、大切な個人情報などを守るためにも、正しい知識を身につけましょう。