クレジットカードのお話

JR東日本の「モバイルSuica」で、他人のクレジットカードを登録し、不正に電子マネーをチャージ・利用する詐欺が今日、広く報じられています。

ITmedia：約1年で1000万円‐モバイルSuicaの不正利用はなぜ起きた？
ケータイWatch：「モバイルSuica」で不正クレジットカード利用、被害額は990万円
毎日jp：モバイルスイカ：偽名繰り返し登録　1枚のカード悪用
（すべて、2007/11/9）

具体的な手口は、不正に入手したクレジットカード情報を「モバイルSuica」に登録し、電子マネーをチャージするというもので、判明しているものだけで、2006年12月以降、クレジットカード65枚、990万円分の被害が出ているとのことです。

なお、根本的な原因は、「モバイルSuica」の会員登録時、および電子マネーのチャージ時に行われるクレジットカード情報の本人確認が、十分に行われていたかったことにあるようです。

ただ、マスコミなどで指摘されている“暗証番号を入力しなくても良い”というのは決して「モバイルSuica」に限った話ではなく、オンラインショップのカード決済でも暗証番号の入力は求められないのが一般的です。また、カード会社との間でカード番号・有効期限以外の情報を一部しか照合しないという仕組みも、毎日jpの記事で、“カード決済を利用するインターネット上のショッピングで一般的に利用されているシステムを参考にした”というJR東日本のコメントが紹介されているとおり、オンラインショップでも同様の仕組みが使われている可能性は十分にあります。

そういう意味では、JR東日本の本人確認システムだけでなく、オンラインショップでの利用を含めたネットワークを利用したクレジットカード決済全般について、今のままの仕組みで良いのかという議論が今後出てくるかもしれません（本人確認強化のため、カード会社は3Dセキュアの導入を推進していますが、まだ広く行き渡っているとは言えないのが現状です・・・）。