Category: Money

クレカのiD/QUICPay経由やめたらどう

日本のApple Payの仕様はややこしいですね.これまでの経緯を素人のユーザー目線からですが整理してみると,

Apple Pay導入時に日本ではクレジットカードのタッチ決済に対応したNFC Type-A/Bの決済端末はほとんど普及していなかったので,Type-F (FeliCa)の電子マネーであるiDとQUICPayを経由した決済方法にした.

iD / QUICPay経由であるけれど限度枠や支払い,ポイントなどについてはクレジットカードの契約そのままが適用され,iDやQUICPayの特典がつくわけでもなく,インターフェースだけを借りたような形であった.

最近ではNFC Type-A/Bを搭載してクレジットカードのタッチレス決済に対応できる決済端末が普及してきた.

iDのオフライン利用を悪用したイオンカードの不正利用が横行している.

といったところでしょうか.NFC Type-A/BのインフラがなかったのでFeliCaのiD/QUICPayをインターフェースとして利用することにしたので,iDやQUICPayが電子マネーの一種であることを知らないユーザーも少なくないと思います

また,現在社会問題化しているイオンカードの不正利用ですが,不正に入手したイオンカードの情報をApple Payに登録し,iDのオフライン利用を繰り返すという手法のようです.

これらの記事を読んで思うのは表題の通り,「もうiD/QUICPay経由やめたら」ということです.というか,Impress Watchの記事にそのまんま書いてあります😓

筆者は,このスーパー(ドラッグストア,ガススタ)はこのカードでないと割引がないという理由等から現在9枚のクレジットカードを持っていて,全てがApple Payに登録できています(ちなみにGoogle Payに登録できたのは9枚中2枚です).それらのうち,国際ブランドがMaster 3枚,JCB 1枚,AMEX 1枚については全てがタッチ決済可能です(iD/QUICPayを経由しないNFC Type-A/Bによる決済が可能).一方残る4枚はVISAですが,タッチ決済可能なのはSaison VISAの1枚だけです.

安心してApple Pay が使える様になるには,VISA陣営にもう少しがんばってもらって,もはやiD/QUICPay経由は不要という状況にならないといけません.

実は筆者自身も最初はそうとは知らずに使っていました😓

#ウエル活 で困る

ウエルシアでは毎月20日はWAONポイントを1.5倍に換算してくれて買い物できるという日になってます.

WAONポイントに関しては現在イオンの3カードを持っています.

  • イオンカード(本家) ほとんど使わない.イオン銀行のキャッシュカードが主務
  • カスミカード 少し使う.カスミで買い物をすることが多いがたいていScan&Goに紐づけた楽天カードで決済する(ポイント獲得が2倍のため)のでそれほどポイントはたまらない
  • ウエルシアカード 調剤薬局の決済に使うので一番ポイントが貯まる

と言った状態です.これまではsmart WAONのアプリを使い,2つある携帯電話の番号をカスミカードとウエルシアカードに振り分けて登録して,

  1. カスミカードのWAONポイントをVポイントアカウントに送る
  2. VポイントをWAONポイントに変換してウエルシアカードに送る

という手順で,カスミカードの少ないポイントを僅かなVポイントと合体して,ウエルシアカードのWAONポイントを送って,20日に無駄なく使うようにしてきました.

ところが,smart WAONアプリ廃止にともないsmart WAONのアカウントの仕様に変更があったようで,にっちもさっちもいかない状態です.

いちばん簡単なのはAEONカードのサイトでWAONポイントをまとめられることなんですが.なかなかそうならなくて困ってます.

クレカの不正請求(3) クレジットマスター

どうも,当方が受けたクレジットカードの不正請求 についての手法は,推察したとおり,クレジットカードの番号の規則性を利用した攻撃によるもので,クレジットマスターアタック( “credit master attack” もしくは「クレジットマスター」)というらしいです.Wikipediaにも載ってます.

防ぐ方法はないそうです.低額で利用された時点でクレジットカード会社にさっさと報告したほうが良さそうです(たぶんカード番号が変わります).

もし停止するのが遅れるとApple Payに登録されて,オフライン利用が延々と続くおそれがあります.

クレカの不正請求
クレカの不正請求(2)

クレカの不正請求 (2)

その後も600円のクレジットカードへの不正請求の狙いや手法がわからないので,検索したりして情報を探しています.一番近い状況は,このYahoo!知恵袋の質問者ID非公開さん(以下Iさん)のケースです.

https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10261084130

大きく違うのは,Iさんの場合は既にプライム会員であるが,筆者はプライム会員ではない,の一点です.

また,Iさんの場合は現在ほとんど使っていないクレジットカードであるのに対し,筆者の場合は時々使う(小遣い専用)であるという点ですが,有効なクレジットカードであるという点では同じです.

このIさんにしても,筆者にしても大きな謎は,犯人がどのようにしてクレジットカードの情報を手に入れたのかという点です.

これについてはあるSNSでeコマースの運営者の方から,ランダムに生成した情報を総当り的に使っているのではとのことでした.ランダムとはいっても,クレジットカードの番号,有効期限にはそれなりの規則性がありますから,全部ランダムにしないである程度範囲を絞って試せるのでそうした可能性は否定できないと思います.

また,なぜ600円という少額なのかについては,たぶん金額が低いことにより,被害者が気づきにくいことと,場合によっては決済のための照合データが少なくて済むのではないかと思います.

そして,なぜプライム会費なのかという点ですが,届ける商品がないから犯人にとって都合がいい,ということではないかと推測します.

現状,不正請求があった7月20日(土)から,カードが停止された22日(月)午後2時までの間に新たな不正請求があったかなかったかは確実にはわかりません.というのは,カードが停止された時点でオンラインによるカード利用の確認ができなくなってしまったからです.またこの最終月の請求明細はどの様に手に入れられるのか現在のところ不明です.

旧カードの最終的な利用状況が判明するまでは心配な日々が続きます.

過去から現在にかけてプライム会員になったことはありません.
この方のサイトが総当たり的なアタックを受けた経験があるとのことです.

クレカの不正請求

生まれて初めてクレジットカードの不正請求にあいました.

家計簿ソフトMoneyTreeを開くと,7月20日付で,

Amazonプライム会費 ¥600

とありました.Amazonの利用は長いですが,1度もプライム会員になったことはなく,もちろん,その7月20日かそれより前にプライム会員になったつもりはありません.

しかし,ひょっとしてなにかのはずみでプライム会員を試すボタンを押してしまったかなと思い,Amazonのサイトに行ってみたら,「プライム会員ではない」ことが明示されていました.

そこでAmazonのQ&Aを見ますがピッタリ来るのがなくて電話をするしかない(あるいはあれば問い合わせフォームでもよかった)のでいろいろ調べましたがなかなか電話連絡先が見つからず,かなりストレスたまりました.

なんとか電話のリクエストのページを見つけて電話でオペレーターと話すことができました. そのやり取りでもプライム会員ではなく,私のアカウントからの請求ではないことが確認でき,請求を拒否するようにクレジット会社に連絡してくれとのことでした.

そこで,クレジット会社についてネット検索したらもWebから調査依頼ができるとのことで試しましたが,クレジットカードを選択し直すと,調査のページからホームページに戻ってしまい,らちが明かないので電話しました.

混んでいるとかで7分待たされました. Amazonとのやり取りを説明しすんなりわかってもらえましたが,結論的にはクレジットカードの再発行ということになりました.自動引落には使ってないカードなので,その点は気楽です. Amazonの連絡先探しから全部で約1時間かかりました.

それから1時間くらいして,クレジット会社の調査担当から電話がありました.

請求元はアマゾンで間違いないということでした.詳しい調査を続行するようです.

これは何を意味するのか.ネット検索をしたら,似たようなケースに遭遇した人のサイトを見つけました.

どうもクレジットカードの情報は抜かれたみたいです.それを使ってAmazonにてPrime会費を払いやがったやつがいる,ということのようです.なぜPrime会費という少額な決済に使用したのか.上記のBLOG主の方と同様,疑問は残りますが.

やはりクレジットカード番号の変更はやむなしと言うことでしょう.

当記事執筆の2日前.
でも最初の30日は無料なはず.