クレジットカード決済は、日本において最も普及している決済手段です。レストランやコンビニなど、実店舗での支払いはもちろん、ネットショップでの商品購入やサブスクサービスの利用料金の支払いにも利用されているクレジットカードは、今後もますます利用者が増えていくことが予想されています。

日々の決済シーンで汎用性が高いクレジットカードですが、その安全性について不安を抱く消費者も少なくはありません。カードの不正利用が多発する今日、日本政府も決済の安全性の向上に取り組んでおり、3D セキュア 2.0 の義務化をはじめとするさまざまなガイドライン整備を進めています。

本記事では、クレジットカード決済の安全性をテーマに、不正利用被害の現状やカード決済の危険性、事業者側および利用者側がそれぞれに実施すべきセキュリティ対策について解説します。

目次

• クレジットカード決済の不正利用被害
  
• クレジットカード決済の危険性
  
• 事業者側のクレジットカード決済のセキュリティ対策
  
• 利用者側のクレジットカード決済のセキュリティ対策
  
• Stripe Radar でできること
  

クレジットカード決済の不正利用被害

一般社団法人日本クレジット協会によると、2025 年 1 月から 12 月に発生したクレジットカードの不正利用被害額は、510.5 億円にも上りました。この額を 2020 年の被害額 (253 億円) と比べると、2 倍以上増加していることがわかります。

不正手口は年々複雑化、巧妙化しており、100％ 防ぐことは非常に困難なため、クレジットカード決済における安全性の確保は何より重要であると考えられています。また、事業者がクレジットカード・セキュリティガイドラインの最新版に準拠し、責任をもってできる限りのセキュリティ対策を実施することは、消費者保護や法令遵守だけでなく、将来的にも自社ビジネスの信頼性を維持するうえで不可欠といえます。

万が一、情報漏洩や不正アクセスが発生した場合、顧客離れやチャージバック損失にとどまらず、行政指導や損害賠償といった深刻な状況に発展する恐れがあります。

クレジットカード決済の危険性

クレジットカードの不正利用による被害は年々深刻化しています。では、クレジットカード決済には一体どのような危険性があるのでしょう。ここでは、クレジットカードの不正利用の手口について 1 つひとつ解説します。

フィッシング詐欺

フィッシング詐欺とは、実在するクレジットカード会社や銀行、ネットショップ、公共機関などを名乗り、信頼できるソースから送信されたメールに見せかけることで偽のサイトに受信者を誘導し、アカウントのパスワードやクレジットカード情報を盗む手口です。メールだけでなく、SMS や SNS が用いられるケースもあります。

この手口では、受信者に正規のメールだと思い込ませるため、実在する団体名だけでなく、公式ロゴやメールのデザインまでもそっくりにメールが作成されています。さらにメールの本文では、「キャンペーン開催中につき 1000 ポイントをプレゼント」のように、ついリンクをクリックしたくなる表現を用いるなどの心理操作が巧みに行われています。

近年は SNS やメールアカウントの乗っ取りによって、自分自身のアカウントから偽リンクなどが拡散される手口も増えています。この場合、知らないうちに被害者がフィッシング詐欺に関与してしまうこともあるため、特に注意しなければなりません。

スキミング

スキミングとは、スキマーと呼ばれる機械を利用し、クレジットカードの磁気ストライプに記録された情報を盗み取る犯罪行為です。よくある手口として、ガソリンスタンド、セルフレジなどの決済処理端末や ATM の挿入口にスキマーが設置され、利用者は気づかずにクレジットカードを差し込んでしまうケースが挙げられます。この場合、クレジットカード情報はスキマーによって読み取られ、偽造カードの作成や不正購入などで使用される恐れがあります。

最近では、非接触型のスキミング手口も増えており、犯罪者は、人が密集する場所で非接触式のスキマーを持ち歩き、カード情報を盗むケースもあります。カードの持ち主側としては、カード本体が盗まれるわけではないため、被害に気づかないうちに不正利用額が増えてしまうことも少なくはありません。

クレジットマスター

クレジットマスターとは、クレジットカード番号の桁数の規則性を悪用して、他人のカード番号を不正に取得する攻撃手法のことです。クレジットマスターの場合、機械的に番号を自動生成するプログラムやソフトウェアを利用して、有効なカード番号やセキュリティコードなどを突き止めます。つまり、人ではなく機械によって膨大な数字列を生成することでカード番号を割り出し、ランダムアタックを大量に仕掛ける仕組みとなっています。

生成された番号の有効性を確認する方法として利用されるのが、寄付サイトや商品を販売する EC サイトの決済ページです。これにより、カード番号の有効性が悪意ある第三者によって確認されてしまうと、多くの EC サイトで不正購入の被害が拡大する恐れがあります。

情報漏洩

外部からの不正アクセスによる個人情報の漏洩は、EC 事業者側が気をつけたい重要事項の 1 つです。セキュリティ対策が不十分だったことで情報が漏洩した場合、多額の損害賠償金の支払いを命じられるなどの重大責任を問われる事態に発展します。そのため、事業者は徹底したセキュリティ対策を心がけ、適切な情報管理に努めることが非常に大切です。

クレジットカードの盗難

クレジットカード本体の盗難も注意しなければならないリスクの 1 つです。たとえ安全な場所だと思っていても、外出中はいつどこで盗難被害に遭うかわかりません。そのため、基本的なことではありますが、財布を置いてその場を離れないようにするなど、日頃から十分に危機感をもっておくことが大切です。

事業者側のクレジットカード決済のセキュリティ対策

悪質な不正利用者を寄せ付けないためには、自社 EC サイトのセキュリティレベルの強化と、あらゆる不正手口に対処できる態勢づくりが欠かせません。ここでは、事業者側でできるクレジットカード決済のセキュリティ対策について紹介します。

セキュリティコード

セキュリティコードは、第三者によるクレジットカードの不正利用の防止を目的に、チャージバックと同様、カードの持ち主を保護する役割を担っています。

EC サイトで商品を購入する際にクレジットカード決済を選ぶと、セキュリティコードの入力を求められることがよくあります。このセキュリティコードを入力することで、クレジットカードが手元にある状態で支払いが行われていることを証明できます。もし、セキュリティコードに誤りがある場合、取引は成立しません。

セキュリティコードはカード番号や有効期限と異なり、カードの磁気データには含まれていないため、たとえ氏名、カード番号、有効期限などが盗まれたとしても、セキュリティコードがわからなければ不正利用は不可能です。

しかし、セキュリティコードの入力は法律で義務付けられているわけではないため、決済時にセキュリティコードが不要な EC サイトが存在するのも事実です。顧客に自社 EC サイトを継続利用してもらうためには、安全な決済環境づくりは不可欠です。したがって、事業者はセキュリティコードを必須項目として設置しておくのが望ましいでしょう。

3D セキュア 2.0

3D セキュア 2.0 とは、「なりすまし」などの不正利用の防止と、クレジットカード決済の安全性を高めることを目的に、国際カードブランド各社共通のシステムとして世界的に用いられている本人認証サービスです。正式名称は英語で「EMV 3-D Secure」といいます。

3D セキュア 1.0 (2022 年 10 月終了) に改善を重ねた 3D セキュア 2.0 では、利用者の端末情報や、アクセス地域・時間帯などの細かな情報をもとにリスクを判定する「リスクベース認証」を実施することで、カード情報の盗用を未然に防止します。

リスク度が低い場合、追加認証は不要ですが、リスク度が高いと判定された場合は追加認証が求められます。この場合、主にワンタイムパスワードや生体認証などで追加認証が行われます。

不正検知システムの導入

安心してショッピングを楽しんでもらえるサイト環境を目指すなら、決済代行業者が提供する不正検知システムの導入を検討してみることをおすすめします。不正検知システムなら、さまざまな不正取引を正確に検出し、自動的にブロックすることで、EC サイトの被害を効果的に防止することができます。

たとえば、Stripe Radar のような不正利用防止ツールであれば、日々変化する不正利用パターンに対し、機械学習による適応が可能なため、高度なセキュリティ対策を図ることができます。また、こうした外部ツールを活用すれば、事業者は独自に不正防止システムを開発・構築する必要もないため、時間やコストをかけることなくスムーズに不正利用対策を開始できます。

リンク型決済

リンク型とは「画面遷移型」ともいい、EC サイト上でなく決済代行業者側が管理する決済ページ上で決済が行われる方式です。

顧客は氏名やクレジットカード番号などの必要な情報を遷移先の決済画面で入力するため、カード情報は決済代行業者のサーバーのみに保管されます。つまり、EC サイト側ではカード情報が残らないため、情報管理の手間が省けるだけでなく、安全面においても優れている方式といえます。

利用者側のクレジットカード決済のセキュリティ対策

不正利用の被害に遭わないようにするには、利用者 1 人ひとりが責任をもってカードを扱うことも、とても大切です。

利用明細をこまめにチェックする

日頃から利用明細をチェックする習慣をつけておくと、身に覚えのない決済に気づきやすくなります。たとえば、1 カ月に 1 度しか利用明細を確認をしない人と、気づいたらその都度利用明細に目を通す人では、後者の方が、使った記憶のない決済と自分自身が行った決済の見分けがすぐにつくでしょう。

利用通知サービスを活用する

クレジットカード決済が行われるたびにメールや SMS、アプリなどで通知を受けられるサービスも便利です。利用通知サービスなら決済後にリアルタイムで利用金額や日時、利用した店舗名などが通知されます。よって、クレジットカードを使っていない時に決済通知を受け取った場合、瞬時に不正利用に気づくことができ、適切に対処できます。

2 段階認証を設定する

クレジットカードには、強固な固定パスワード、提供されている場合は生体認証はもちろんのこと、ワンタイムパスワードによる 2 段階認証を設定しておくとより安心です。1 回限り有効な使い捨てのワンタイムパスワードであれば、万が一カード情報が第三者に知られても、ワンタイムパスワードが知られることはないため、不正利用の防止につながります。また、有効期限も、アプリであれば送信後 30 〜 60 秒、メールまたは SMS の場合は 5 〜 10 分と非常に短いため、不正利用は起こりにくいと考えられます。

ただし、メールアカウントの乗っ取りやスマートフォン本体の盗難に遭うと、ワンタイムパスワードも知られてしまうので、これらの管理は自身で責任をもって行う必要があります。

外出先でカードを利用する際は特に注意する

外出中にネットショッピングをする際は周囲の目に気をつけ、パソコンや携帯電話の画面を背後から盗み見られないよう十分注意する必要があります。不特定多数の人が集まる場所での利用はもちろんのこと、公共の無料 Wi-Fi を利用した買い物もできるだけ控えましょう。

また、カード本体についてもスリや置き引きに注意し、クレジットカードが入った財布やカバンを放置しないよう、厳重な貴重品管理を心がけることが大切です。

Stripe Radar でできること

Stripe Radar は不正利用対策のためのツールです。Stripe のグローバルネットワークから得たデータを活用して訓練された AI モデルを使い、不正利用を検知・防止します。最新の不正傾向に応じてモデルを常に更新し、不正利用の手口が進化してもビジネスを守ります。

Stripe はこのほか、Radar for Fraud Teamsも提供しています。ユーザーは自社ビジネス特有の不正シナリオに対応するカスタムルールを追加でき、高度な不正分析情報にアクセスできます。

Radar は、以下の場面でお客様を対応します

• 不正利用による損失防止: Stripe は年間 1 兆ドル以上の決済額を処理しています。この規模だからこそ、Radar は不正利用を正確に検知・防止し、お客様の損失を防ぎます。

• 収益の向上: Radar の AI モデルは、実際の不審請求の申し立てデータ、顧客情報、閲覧データなどに基づいて訓練されています。そのため Radar は、リスクの高い取引を特定し、誤検知を減らし、収益を増加させることに貢献します。

• 時間の節約: Radar は Stripe に組み込まれており、設定にコードは一切必要ありません。また、単一のプラットフォームで不正利用の動きをモニターしたり、ルールを作成することができるため、業務効率も向上します。

Stripe Radar について詳しくはこちらをご覧ください。あるいは、今すぐ始める場合はこちら。