2025年11月25日8:30
日本クレジットカード協会、国内クレジットカード会社8社と、ACSiONは、2025年4月より、フィッシング被害の対策として、フィッシングサイトからクレジットカード情報等を詐取される被害を防止することを目的に、フィッシングサイト閉鎖の取り組みを開始した。この取り組みの詳細について、日本クレジットカード協会の辻中氏と、ACSiONの安田氏が解説する。(2025年10月16日開催「ペイメント・セキュリティフォーラム2025 fall」の講演より)
日本クレジットカード協会 事務局長 辻中 伸幸氏
株式会社ACSiON 代表取締役 安田 貴紀氏
カード番号盗用による被害が拡大
犯罪のタイプも多様化
辻中:日本クレジットカード協会の辻中です。フィッシングサイト閉鎖の取り組みについて、前半は私、辻中から、後半はACSiONの安田さんからお話しいたします。よろしくお願いいたします。
私は三井住友カードからの出向というかたちで今、日本クレジットカード協会(JCCA)の事務局長を務めさせていただいております。2008年に三井住友カードに入社いたしましてから、セキュリティ管理、加盟店管理といった部署で不正利用対策にかかわる業務を行っておりました。2025年からJCCAの事務局長に着任いたしまして、事務局の運営にあたっています。
JCCAは今から40年ほど前に設立されました。会員としては、銀行系のクレジットカード会社、110社で構成されています。主要メンバーは、三井住友カード、三菱UFJニコス、ジェーシービー、ユーシーカード、三井住友トラストクラブ、アメリカン・エキスプレスの6社であり、この6社からの出向社員約10名がJCCAを運営しているというかたちです。
JCCAはアクワイアリングをしている方、端末管理を行っている方からすると、カード会社の共同利用端末を管理しているところというイメーかジが強いと思います。もちろんそれも行っておりまして、現在約195万台を設置し、その運営・管理、ルール策定を行っております。
もうひとつの側面として、クレジットカード事業に資する調査やレポートの作成、カードの不正利用の抑止の活動を行っております。具体的にはフィッシングに関する調査・啓発、フィッシングサイトの閉鎖を行っています。このフィッシングサイト閉鎖の活動について、本日お話しさせていただきます。
本題に入る前に、クレジットカードの不正利用とフィッシングの実態についてご説明いたします。皆様ご存じだと思いますが、不正利用は足元で過去ワーストを更新しておりまして、直近の2024年で被害総額は555億円に達しています。この数字をブレイクダウンしてみますと、偽造・変造が1.1%、紛失・盗難が4.9%、番号盗用が95%となっています。
複数のカード会社にアンケートをとった結果わかったことは、過去には加盟店からの情報漏えい、クレジットマスターなどが猛威をふるっていたのですが、現在、これらは合計約20%程度にとどまっておりまして、フィッシングの被害が75%を占めているという現状があります。
このフィッシング犯罪の中身も多様化しており、メールを送ってカード番号を入力させるというメールフィッシングが約45%。カード番号ともにメールのIDとパスワードを盗用されるメールアカウント盗用が約15%となっています。IDとパスワードを盗用されると何が起きるかといいますと、カード会社は怪しい取引を検知した際に、取引を保留にして、カード会員に対して本当に利用したかどうかを問うメールを送ります。通知方法によっては、本人利用であるというボタンをワンクリックする等で保留を解除することができるようになっているケースがあり、このケースでは犯人はIDもパスワードも入手しているので、簡単に保留解除ができてしまいます。
次に、会員サイトのなりすましログインが10%。これはホームページの会員IDとパスワードを盗む手口です。カード会社のサイトでは、住所変更や名義変更ができるようになっています。犯人が住所変更をしてカード再発行の手続きをすると、犯人の住所に新しいカードが届きます。それを対面で利用するケースが約10%を占めております。
そして今、急増傾向にあるリアルタイムフィッシングが約5%。疑似サイトで入力されたID、パスワードや、ワンタイムパスワードを盗用されて、即座に犯罪につながる手口です。
カード会社8社が手を組んで
フィッシングサイト閉鎖の取り組みに着手
辻中:こういった課題を踏まえて、カード会社1社だけではなく業界横断的に対応ができないかという要請を受けまして、JCCAではフィッシングサイト閉鎖の取り組みを行うことになりました。
フィッシングの被害に遭ったサイトの分野別構成比を見ますと、カード会社は24%、銀行が17%と金融機関が約40%を占めています。金融機関がカード番号やパスワードを盗まれてしまうと、即、実被害に結び付くということから、比較的、積極的に対応をとっていただいています。他方、EC系が32%、公共料金が10%となっていますが、たとえば公共料金のところでは、料金が未払いです、といったメールを送ってカード番号を盗み取るといった手口が横行しています。そこで盗んだカード番号を公共料金の支払いに利用するのかというとそうではなくて、別のサイトで悪用するわけです。そうなると対策をとる動機が損なわれてしまい、実際、あまり対策に結び付いていないということが判明しておりますので、これらのサイトへの対応をとっていきたいと考えました。
今年、2025年4月から、イオンフィナンシャルサービス、NTTドコモ、クレディセゾン、ジェーシービー、三井住友カード、三菱UFJニコス、ユーシーカード、楽天カードの国内カード会社8社と共同して、ACSiONに委託して、複数のフィッシングサイトのテイクダウン(閉鎖)を実行しております。JCCAはこのスキームのオーナーとして、プロジェクトのとりまとめ、効果検証などを行っております。この取り組みはペイメントナビでも取り上げていただきましたし、NHK様、日経クロステック様にも取材していただきました。
その実績はどうかといいますと、テイクダウン対象先の3サンプルの4月から8月までの5カ月間の状況では、スタート時の84%まで減少しています。一方、テイクダウンの対象外企業では同一期間で110%と増加しておりますので、対策の効果はあったと認識しております。ただフィッシングサイトは無数に存在しておりますので、引き続き対策を強化していくことが必要です。
JCCAが描くロードマップをお示しします。
