「カード番号悪用によるチケット詐取」被害の多いコンビニが実名で（2012年）

皆さんこんにちは。元祖・鉄子でもあり、「電子マ姐（ねえ）さん」としても売り込みを
図ろうとしているトラベルライター兼、電子マネー研究家・岩間昌子です。
＊トラベルライターの仕事がありましたら、ご遠慮なく声をかけてください

今日・８月20日。お盆明けの月曜日、しかもキリのいい20日とあって
各企業などから新サービスや、この秋開催のキャンペーンの発表などが集中するかと
期待したんですが、めぼしいものは…。

というわけで、今日は、本日付（2012年８月20日付）の日経夕刊にあった
「他人のクレジットカード情報を悪用し、コンビニエンスストアや空港の発券機で
観戦券や航空券などをだまし取る被害が相次いでいる」という記事について
思うところを書くことにしましょう。

まずは、記事の概要から。

カード番号悪用　チケット詐取
ネット決済→コンビニなどで入手　甘い本人確認　狙う

不正に入手した他人のクレジットカード情報を使い、コンビニエンスストアや
空港の発券機で観戦券や航空券などをだまし取る「チケット詐取」の被害が相次いでいる。
インターネットで決済する際、暗証番号の入力が不要なことなど、本人確認の甘さが
犯人グループの狙い。警視庁は６月、被害企業に本人確認の徹底を要請した。

上記は記事のリード部分。
で、その次の本文の出だしの言葉が、なかなかにショッキング。

「ローソンは成功率が高い」。
コンビニ大手ローソンの店頭に置かれたマルチメディア端末「ロッピー」でF1の
観戦チケットなど計108枚（約130万円相当）をだまし取ったとして、６月に詐欺容疑で
逮捕された中国人グループの１人は警視庁の調べに対し、こう供述した。

なんでも、ロッピーではさまざまな決済方法でチケットが購入できるものの
事前に予約サイトでカード決済する場合、入力するのはカード番号と有効期限だけ。
暗証番号は入力が不要だそうです。
＊私自身は、ロッピーでインターネット経由でチケット購入したことがないので…

そんなセキュリティの甘さに目を付けた犯人グループが、フィッシング詐欺などで得た
他人のカード情報を使って、この一年弱の間に、合計で約7000万円分（！）の
チケットをだまし取り、金券ショップで換金していたとか。

ローソンといえば２年前（2010年７～11月）にも、別の中国人グループによる
チケット詐取被害が起こったそうで（そういえば、ニュースでも騒がれたかな）、
同年11月以降、ほかの大手コンビニと同様に、決済から24時間経過しなければ
発券できないように変更するなど、チェック機能を強化したそうです。ところが。

ただ暗証番号の入力を求めない点は変えず、被害は防ぎきれなかった。

コンビニだけにとどまりません。
記事ではその次に、われわれマイラーにもなじみ深い航空会社で起こった、
チケット詐取被害の事例をあげています。

警視庁が７月、電子計算機使用詐欺容疑で逮捕した男はユースホステルで受付の
アルバイトをしながら、宿泊客がカードで支払う際にカード番号や有効期限、
セキュリティーコードを盗み見ていた。
男はJALの航空券予約サイトにアクセス。盗み見たカード情報を使い、09年10月～
12年４月の間、空港の発券機から計約１千万円分の国内線航空券を不正に入手したと
される。JALの自動チェックイン・発券機もインターネットで事前予約する場合、
暗証番号の入力が必要ない。男は警視庁の調べに「カードに記載されている情報だけで
簡単に購入できた」と話したという。

ちなみにJALのほうは、私もしょっちゅう、予約サイトからクレジットカード決済で購入してますが、
そういえば空港では、決済に使ったカードを機械に挿入するだけで簡単にチケットが発券され、
手続きが完了しますもんね。暗証番号も必要ないし。
＊というかこの犯人、実際のクレジットカードは手元にないのに、どうやってチケットを
発券できたんだろうと…ひょっとしてJMBカードでやりとりをしたのでしょうか？
（とすると、転売というよりはマイル目的？　それにしても２年半も犯行を重ねたとは）

ローソンやJALの事例では、暗証番号の入力を求めないことが問題になっていますが
それについては、記事内で、「暗証番号などの個人情報の入力を不要にすれば
発券までの時間が短縮でき、顧客の利便性の向上につながる」と書かれ、その後で、
JALの広報担当者も、現状のシステムのままで顧客には好評だと記されています。

ただ、警察側としては、今のままではこうした被害が増える一方なので
利便性よりも顧客の安全を第一に考えてもらいたいということで、被害の多いローソンにはすでに、
本人確認を徹底するための対策を取るよう要請し、
ローソン側は具体策を検討しているところだそうです。

確かにねえ。フィッシング詐欺やスキミングなどに対してはある程度防備はできたとしても、
完全に防げるとはいいきれない点もありますし。

またユースホステルの事例のほうでは、これこそ、クレジットカード情報漏洩事件の多数を占める、
システムの問題というよりは、それを扱う人のモラルの問題で起こったものであり、
こちらはユーザー側がいくら防備しようとしても、結局は相手を信用するしかないということでしょう。
＊ユースホステルを使わなければいい、ということではありません

ですから記事では、企業側が暗証番号の入力を徹底するなどのセキュリティの強化で
被害は防げるのではないかという提示をしているとは、理解できますが。

突然、思い出しました。私５年前にも、同様のことを当ブログ記事に書いていたのを。

それは、モバイルSuicaが、会員登録をするのにクレジットカードの暗証番号入力が
不要であるというセキュリティ上の盲点をつかれ、盗難やスキミング等で不正に得たカード情報を
チャージ（入金）用に使って、高額の買い物などに利用された事件。
JR東日本によると、総被害額はおよそ1000万円にのぼったということです。

ここで問題になったのは、モバイルSuicaへの入会経験がまったくない人や
鉄道と無縁の生活をしている人、JR東日本エリア外に住んでいる人も
同様の被害に遭う可能性が指摘されたこと。つまり、クレジットカードを持っている限り
どんな環境にあっても、被害に遭う可能性はゼロではないということです。

そして私、当時の記事のなかで、こんなことを書いてました。

「もっともその時私は逆に、携帯電話にカードの暗証番号を登録するほうが
かえって危ないと思いこんでましたから。勘違いも甚だしいです。
今回の件で、セキュリティの重要性が、身にしみてよくわかりました」
（2007年11月10日付のブログ記事より。一部表記変更）

そうなんです。企業側が買い物やサービス利用の際に、いちいち暗証番号の入力を
求めるのはいいとしても、ユーザー側が、PCなり携帯電話（スマホ含む）なりに
抵抗なく暗証番号を入力できるものなのだろうかと。

機械やシステムに対する、漠然とした不安。
こういうのが払拭できないと、暗証番号入力云々で幾多のカード被害が解決するとは
思えないんですけどね。

＊結局は、モバイルSuicaは暗証番号入力は求めず、一日にチャージできる金額に
制限を設けたくらいの対策にとどまったんでしたっけ？
もっとも、私自身はモバイルSuicaはとっくに退会してますが（復帰の予定も現在のところなし。
ちなみにPCでモバイルSuica入会の仮登録をしようとすると、「Firefoxでは正しく画面が表示されない
可能性があるので、サイトを利用できない」と突っ返されてしまいます）


お読みいただきましてありがとうございます。次回もお楽しみに。
よろしければいずれか、クリックを。今後とも応援よろしくお願いします。

　　 　 　　　 　 　　

メールはこちらへお願いします。