「クレカを止めても不正利用が止まらない」のメカニズム

米ニューヨーク市のミッドタウンにて。ペンステーションとマディソンスクエアガーデンのあるブロックは現在も再開発工事中

クレジットカードを不正利用され、身に覚えのない請求が続いていることが問題になっている。毎日放送(MBS)が7月26日に報じているが、ある日突然クレジットカードの利用履歴に身に覚えのない支払い記録が出るようになり、それが連日のように続くという現象だ。

通常のクレジットカード取引であれば、不正が発覚した時点でカード会社に連絡し、カードの利用を止めれば以後は被害がなくなるのだが、今回のケースではカード利用を停止しても連日不正利用が続くという点が異なる。不正利用を止められないジレンマと、一時的ではあってもカード請求が行なわれる点に不安や不満を抱いている利用者の声がMBSの報道では紹介されている。

MBSの報道のみならず、X(旧Twitter)などのサービスを少し検索すると、少なくとも2023年くらいから同様の現象と思われる不正利用を報告するユーザーの投稿が散見され、本稿執筆の7月末までの過去数カ月間で報告が急増している印象だ。

先に言ってしまえば、これは下記のような文面のフィッシングメールを中心にユーザーを偽のサイトへと誘導し、そこで抜き取ったカード番号やセキュリティコード、会員サービスへとアクセスするための情報を使ってApple Payへカード情報を登録し、それを使って実店舗で買い物を行なうという不正だ。買い物はタバコやPOSAカードなど換金性の高い商品が中心とみられ、盗んだカード番号を元に現金化を行なう手口となる。

フィッシングメールの例。今回のケースとは直接関係ないもの

本稿ではフィッシングによる情報抜き取りの手口や、一時期交通系ICカードなどで発生していた「盗んだカード情報でオンラインチャージして換金性の高い商品を店舗で購入する」といった犯罪手順については詳しく触れない。一方で、モバイル決済の仕組み的に「カード利用を停止しても連日不正利用が続く」といった事態がなぜ発生するのか、そのメカニズムについて触れていきたい。

「オフライン取引」とはなにか

現在まだ事象の調査中ではあるが、今回の話題の中心となるキーワードは「オフライン取引」だ。

一般に、クレジットカードなどの与信取引ではカード残高や利用状況などを踏まえ、カードが利用された加盟店からの照会依頼に対してその可否を返信するプロセスが発生する。これを「オーソリゼーション(Authorization)」といい、この照会を行なう端末は「CAT」「CCT」などと呼ばれる。よくカード読み取り機の横についている“決済端末”がそれに該当する。

略して「オーソリ」とも呼ばれるこのプロセスだが、照会の結果問題なければ実際の取引が成立し、請求金額が伝票に載ってくるという仕組みだ。

CCTの例。右側が東芝テックの店舗用端末「CT-6100」で、左側が顧客用端末「PICT-6100」

このオーソリゼーションだが、実は毎回必ずしもクレジットカード取引で発生するわけではない。プリペイドカードやデビットカードなど、“信用枠”がなく、銀行口座またはアカウント残高の範囲でしか決済できないカードが持ち込まれた場合は必ず“オーソリ”が行なわれる。一方で“信用枠”の存在するクレジットカードの場合、一定金額までの取引までは“オーソリ”を“スキップ”してしまい、いきなり取引を成立させるケースが存在する。

オンラインでの信用照会が発生しないことから「オフライン取引」などと呼ばれたりする仕組みだが、なぜこうした行為が行なわれるのかは次のような理由による。

• 照会処理を省略できるため、処理速度が速くなる
• オーソリゼーションはシステムへの問い合わせが行なわれるため、1件ごとに利用料金が発生する

前者についてはネットワーク構成にもよるが、最近ではサーバの応答速度やネットワーク回線の高速化の恩恵もあり、ほとんどのケースで問題にならなくなりつつあり、理由としては弱い。むしろ「オフライン取引」が行なわれる理由の大部分は後者の「利用料金の削減効果」が大きいと思われる。

カードによる決済が行なわれると、取引に関わったカード会社(イシュア/アクワイアラ)や国際ブランドは加盟店である店舗のカード売上から手数料を差し引き、各社で分配を行なう。これは「インターチェンジフィー(Interchange Fee)」と呼ばれ、いわゆるカード会社各社での売上となる。“オーソリ”における照会は、この各社の取り分に影響を与えることになり、“オーソリ”を行なわずに取引記録のみを基に請求するのであれば、各社の取り分が大きくなる、あるいは“戦略的に”手数料を引き下げて競合他社との競争を優位にするといった使い方が可能となる。

そのため、“数は多い”がリスクの“比較的低い”と思われる単価の低い取引についてはある程度「オフライン取引」に載せてしまい、“オーソリ”をスキップしてしまう行為が発生することになる。

「オフライン取引」が発生するかどうかは、“閾値”で判断されることが多い。例えば“閾値”に「10000」と設定したとすると、1万円までの取引は「オフライン取引」となり、それより上の金額の場合は必ず“オーソリ”が発生する。前述のプリペイドカードやデビットカードが持ち込まれた場合、“閾値”は「0」となるため、必ず“オーソリ”が発生することになる。もっとも、これがすべての判断要因ではなく、判断基準となるための別のパラメータが存在していたり、あるいは「オフライン取引」の条件を満たしていても“ランダム”で“オーソリ”を発生させたりすることもあり、結果として「一定数をオフライン取引にしてバランスを取る」といった形に落ち着く。これが「オフライン取引」の基本的なメカニズムだ。

オフライン取引の例。カード明細の承認番号の欄が空白または「000000」のような表示になっているのがオフライン取引が行なわれた証拠となる(写真：読者提供)

このようにメジャーな取引手段であるにもかかわらず、「オフライン取引」はカード会社から“タブー視”されることが多い。実際、過去にも筆者が取材拒否や記事の削除を求められたケースが少なからずあり、「できれば触れてほしくない」という事象ではあるようだ。確かにリスクを内在する仕組みであり、事情があるとはいえ、悪用されることを考えれば……ということだろう。

“オーソリ”のない取引は悪用されるのは確かであり、本連載でもたびたび触れているようにSuicaのような交通系ICカードは現状で“ネガリスト”に「無効化されたカードである」という情報があるかどうかのみが実質的な判断基準となっており、本稿冒頭で触れたように「盗んだカード番号をアプリ上に登録してオンラインチャージし、実際の決済は交通系ICカードで行なう」といった形で“オーソリ”による不正判定を回避しようとする悪用方法が一時期利用された。以後、こうした取引はかなり厳格化されており、オンラインチャージ経由でカードの信用残高を一気に“引き抜く”ことは困難になった。

クレジットカードの国際ブランド側も運用を厳格化しつつあり、例えばVisaでは「全取引“オーソリ”必須」としている。前出の交通系ICカードの事例が、海外で発行されたクレジットカードを悪用したものだったせいか、国境をまたいで行なわれるブランド決済については特に厳しいペナルティを科しており、クレジットカードの世界では“オーソリ”がほぼ必須化されつつあるといえる。

例外としては、一部の国際ブランドのほか、「オンアス(on-us)」と呼ばれるブランドの決済ネットワークを介さない直取引などで、「オフライン取引」が残っている。

なぜ「カード利用を停止しても連日不正利用が続く」のか

「オフライン取引」のメカニズムが理解できたところで、本題の「カード利用を停止しても連日不正利用が続く」について触れる。

冒頭でも解説したように、今回問題となっているケースでは盗んだカード番号を基にApple Payのモバイルウォレットにバーチャルカードとして登録し、そこで換金しやすい商品を店頭で購入するという行為を連日行なっている。ポイントとして次の3つに注目したい。

• Apple Pay上のバーチャルカードで対面決済
• 一気に買い物するのではなく、場所を変えて一定の上限金額の買い物を毎日行なう
• カード利用を停止しても連日不正利用が続く

前項でも触れたように、最近では国際ブランドのクレジットカード取引はかなりの頻度で“オーソリ”が発生するため、3つめの「カードを止めても不正利用が続く」という条件を“クリア”しにくい。

「オフライン取引」が成立する例外が存在するが、ランダムで“オーソリ”に移行する可能性が存在するため、連日小額取引を行なうような使い方とは相性が悪い。MBSの報道でも触れられているが、今回のケースでは「上限1万円の買い物が“連日”続く」といった具合に、「1万円」「9,800円」「5,800円」といった微妙に上限金額を意識した取引明細が並んでいる。つまり、VisaやMastercardといった国際ブランドを使ったNFCによる非接触の“タッチ決済”ではない可能性が高い。

そこでApple Payの登場となる。Apple Payの場合、クレジットカードをWalletアプリに登録すると、国際ブランドのマークのほか(Visaブランドのカードはカード会社によってマークがつかない場合がある)、「iDまたはQUICPay+」のマークがバーチャルカード上に付与される。悪意のある第三者が登録を行なった際の認証の説明は省くが、今回は国際ブランドのNFC決済ではなく、「iDまたはQUICPay+」のうちの「iD」が悪用された可能性が高いと考えられる。

理由としては後述の上限金額の問題のほか、Apple Payに登録するカードの会社によって「iD」と「QUICPay+」のどちらが付与されるかが一意で決まるため、被害報告が出ているカード会社の紐付け対象となるブランドが「iD」であることから、これが利用された可能性が高いというわけだ。

ではなぜ、クレジットカードを止めてもApple Pay上の「iD」は決済が可能なのか。そこで登場するのが「オフライン取引」となる。通常、Apple Payなどのモバイルウォレットでは、カード会社側からの指令でリモートでカードを無効化することが可能だ。今回のケースでも、もちろんカード所有者から問い合わせがあった段階でリモート消去を試みただろうが、MBSの報道にもあるようにカード取引が続いている。おそらくだが、犯人側はバーチャルカードを登録したiPhoneを、インターネット接続を遮断した状態を継続し、リモート消去を防いでカード情報を維持していると推測される。このほか、「当該のカードの取引が確認できた時点で扱いを拒否する」「当該のカードを“ネガリスト”に登録して(店舗の)決済端末側で弾く」といった対策がカード会社側で可能だが、前者の仕組みを回避するのが「オフライン取引」だ。

「オフライン取引」の世界では“オーソリ”は行なわれず、取引データを蓄積し続け、月の“締め日”などのタイミングで精算(クリアリング)データをセンター側に流し、カード所有者への請求を行なう。つまり、オフライン取引が成立している間は、Apple Payを経由してクレジットカードから“iDのバーチャルカード”を発行しているカード会社(イシュア)には取引情報が把握できない。

加えて、“オーソリ”が発生しないために決済データそのものがリアルタイムで流れないため、近年のクレジットカードでは当たり前になりつつある「アプリやメール、SMS経由でのリアルタイムの取引通知」も発生しない。これが不正利用の発覚を遅らせる一因にもなる。

先ほど「クレジットカードではランダム性もあり『オフライン取引』を維持し続けるのは難しい」と説明したが、今回の事件はこの部分の“穴”を突くことで不正利用を維持している。

前項で「オフライン取引」になるための条件として“閾値”の存在に触れたが、「iD」の場合、このデフォルトの数値が「10000」になっている。つまり、1万円ないしは若干下回る金額の取引を続けることで、「オフライン取引」の条件を満たしている。加えて、「iD」の「オフライン取引」では“オーソリ”が発生するもう1つの条件に「1日あたりの決済金額上限」が存在し、これを上回らないよう決済を行なうことで「オフライン取引」を維持できる。日付が変わるごとに1万円の決済が行なわれたのは、この条件回避のためとみられる。このほか、トータルの(オフライン)決済金額上限といったパラメータなども存在するため、おそらくはある一定金額に達した段階で取引は強制終了となる可能性が高い。事件の犯人らはこれら性質をすべて理解したうえで犯行に及んでいることが分かる。

「オフライン取引」の“閾値”を利用して“オーソリ”を回避する

もう1つ、カード会社が取引を止めるための手段として「当該のカードを“ネガリスト”に登録して(店舗の)決済端末側で弾く」方法がある。筆者の推測も混じるが、今回ネガリストを使って犯行を止められなかった理由の1つに、“ネガリストの運用がギリギリ”だったのではないかと考えている。iDの場合、カード会社(イシュア)ごとにネガリストに登録できるiD番号の“枠”が決められており、各イシュアはこの“枠”内でネガリストの情報を定期メインテナンスしている。iDの情報を統括する「iDセンター」では1日に1回、iD加盟店の決済端末から各種集計データを吸い出すと同時にこのネガリスト全体を決済端末に対して配信している。つまり、不正利用が急増して一時的にNGとするiD番号が増えた場合、既存のネガリストの“枠”では登録が足りず、運用がギリギリとなってしまう可能性がある。前述の「『オフライン取引』における上限金額」と合わせ、運用のギャップを突かれたのが今回の攻撃の全体像ではないだろうか。

iDにおけるネガ枠の運用例

今後のApple Payへの影響

本来、この手のセキュリティにまつわる話題は悪用を防ぐためになるべく詳細には触れず、事件が終息するまで取り扱いに注意するのが一般的だ。

今回、このタイミングで本稿で触れたのは、周辺情報から判断してある程度対策が進んだことと、おそらく同じ手段での大規模不正は難しいと判断し、あえて一部の業界関係者や“決済マニア”の間のみで認知されていた事象を解説記事として紹介した。ずっと存在するにもかかわらず、長らくタブー的に扱われてきた「オフライン取引」だが、それを突く攻撃が常態化したことで今後はより厳格化の方向へと向かい、電子マネーの世界では比較的緩く運用されていたルールも、おそらくはある程度“オーソリ”を必要とした方向へとシフトしていくことになると考えられる。

その場合、カード内に残高を持ち、そもそも“オーソリ”的な考えが薄いFeliCa系電子マネーは今後どうするのだろうか?

これは各社の方針によるが、もし仮にJR東日本がSuicaをより決済手段として強化していきたいと考えるのであれば、「上限2万円」の壁を破るためにも、“オーソリ”のような概念を導入する必要が出てくるだろう。

一方で、FeliCa系電子マネーでもクレジットカードとして機能している「iD」と「QUICPay+」の場合、国際ブランドの“タッチ決済”の加盟店が今後さらに増加することで、その存在意義を見出す必要が出てくる。

FeliCa系電子マネーの今後はどうなるのか

両ブランドを提供するJCBならびにNTTドコモそれぞれの複数の関係者に近年聴き取りを行なっているが、どちらも将来的に「iD」と「QUICPay+」が縮小し、やがては終了していくことを予見している一方で、既存の顧客と加盟店がそれなりの数だけ存在しており、風呂敷をどのように畳んでいくかの判断に迷っているという声が何度も聞かれた。一部では統合案なども出ているようだが、結論を先送りしているのが現状のようだ。

他方で、Appleが既存のルールを改定し、それまでApple Payへのクレジットカード登録で必須としていた「iD」または「QUICPay+」への紐付けを撤廃するという話も聞こえてきている。現状は紐付け強制だが、このルールの撤廃を見越し、すでにApple Pay対応しているカード会社が国際カードブランドへ対応を一本化したり、逆に現行ルールを嫌ってApple Payへ参加していなかった事業者が“日本での”Apple Pay対応を準備しているという話も聞いている。

間接的ではあるものの、今回の不正事件を生み出した要因の1つがApple Payにおける「iD」または「QUICPay+」への強制紐付けだ。この不正事件により、ルール緩和に向けた道筋はさらに開かれたのではないかというのが筆者の見解だ。