2026年4月15日8:00
99億円の特別損失を計上したフィッシング詐欺による不正利用の危機を、イオンフィナンシャルサービスはいかに乗り越え、そこから何を学んだのか。後手に回った不正利用対策とオペレーションの課題、そして回復への道のりを実体験に基づき紹介する。(2026年3月17日開催「ペイメント・セキュリティフォーラム2026 Spring」の講演より)
イオンフィナンシャルサービス株式会社 常務執行役員 オペレーション担当兼ファイナンス事業部 本部長 増田 俊之氏
イオンカードの会員数は2,657万人 2024年春から大量の不正利用被害が発生
皆様、こんにちは。はじめに、イオンフィナンシャルサービスについて簡単にご紹介いたします。
われわれはイオングループで総合金融事業を担う事業持株会社です。日本および香港、タイ、マレーシア、インドネシア、カンボジアなどアジア11カ国・地域において事業を展開しています。グループ傘下ではAEON Payやイオンカードによる決済、銀行、保険などの金融サービスを提供しております。イオンカードのカードショッピング取扱高は年間7.9兆円、会員数は2025年11月現在で2,657万人と、国内成人人口の4人に1人にお持ちいただいています。AEON PayについてはID登録会員数1,030万人、利用可能箇所数は376万箇所で、今なお増加中です。
ほぼ1年前、2025年3月13日に、弊社が不正利用被害に関する費用として99億円の特別損失を計上したことが新聞で報じられました。当時の会長兼社長が日銀記者クラブで、不正被害の広がりを迅速に抑止できなかったこと、詐欺被害に遭われたお客様への対応が大幅に遅れたことについて謝罪をしました。
このときフィッシング詐欺に起因する不正利用によって、弊社は経営危機に直面しました。SNSもかなり炎上しました。なぜここまで対応が後手に回ってしまったのか。組織運営上の課題が何だったのか。そこから回復への道のりで何を学び、どのように乗り越えたのか。本日はそういったことをお話しさせていただきたいと思います。
カード利用通知メールを装った フィッシングメールが大量に配信
日本クレジット協会の発表によりますと、クレジットカードにおける不正利用被害額は、2024年が555億円、2025年が511億円となりました。そのうちフィッシング詐欺に起因する番号盗用が93%を占めています。
2024年から2025年にかけての弊社における不正利用案件の新規受付・処理件数の推移を見てみます。お客様から「身に覚えのない請求が来ている」と報告が寄せられた新規受付件数、それに対して実際に返金等の処理を行った件数をグラフ化したものです(下記図)。2024年4月以降、不正利用が急増し、8月にはそれ以前の倍以上の件数に上りました。不正件数が上昇し始めてからの5カ月間は、まったく対応が追い付かず、受付件数が処理件数を大きく上回っておりました。
その後SNSが炎上するのですが、炎上が始まったのは対応が追い付いてきて、受付件数が処理件数を下回るようになってきてからでした。われわれの対応が遅かったため、お客様がついに我慢の限界を超えて、発信し始めたものと考えています。炎上したのはXおよびYouTubeで、それがテレビでも報道されて膨れ上がっていきました。われわれはXの投稿への対応を迫られることとなりました。われわれが行った対策について、被害拡大期、緊急対策期、対策強化期の3つに分けてご説明いたします。
まず被害拡大期ですが、2024年3月、イオンカード利用通知メールを模倣した大量のフィッシング詐欺メールが配信されました。これによってたくさんのお客様がフィッシングの被害に遭われました。そして4月から8月にかけて、オフライン取引における不正利用が急増いたしました。
この間、われわれはなかなか有効な対策がとれず、業務センターのオペレーションは機能不全に陥りました。組織の危機管理・対応力不足という課題が露呈したかたちです。不正利用の新規受付件数が処理件数を大幅に上回っていることだけを見ても明らかなように、われわれの処理能力を超えてしまった、キャパをオーバーしてしまったということです。
ここまで被害が拡大する前に、なぜもっと早く手を打てなかったのかという話です。8月になってようやくわれわれは、オフライン取引の閾値を下げるという対策を実行いたしました。
対策本部を立ち上げ即断即決の体制を整備 30日以内に返金対応を終えるフローに変更
もうとても現場だけでは対応できないというレベルまで、不正利用被害は拡大してしまいました。経営陣も入って最優先で対応をとらなければならないということで、10月に社長を本部長とする不正利用対策本部を立ち上げました。ここからが緊急対策期です。すべての権限を不正利用対策本部に集中させ、即断即決で対応する体制に変えました。フリーダイヤルの詐欺被害専用ダイヤルを設置して、情報窓口も一本化しました。
それから案件処理の状況の可視化とKRI管理導入を図りました。新規受付件数と処理件数は以前から毎週、役員に報告されていました。私も毎週、目にしていました。けれどもただ数字として見て流しているだけで、その数字が現場にどういう影響をもたらしているかについては意識が及んでいませんでした。現場は、「なんとかしなくては」と一生懸命がんばっていたのです。でもそのことを、経営陣が認識できていませんでした。機能不全であり、管理の甘さがあったと反省しています。
11月にはオペレーションフローを変更し、それまで返金に3~6カ月かかっていたものを、30日以内に終えるようにしました。従来はお客様から申し出をいただいてから確認作業を行って、最終的に返金処理をするというかたちにしていましたが、お客様によっては被害額が数万円、数十万円に上っている場合もあるので、返金に時間がかかると当然大きなクレームになります。ですので、お客様への返金対応は最長でも30日以内に終える、引き落とし前であれば請求額から外すといった対応に変えました。
われわれはセキュリティ関係の調査や不正検知を400名弱の人員体制で行ってきましたが、これにさらに業務経験のある正社員を含む200名の応援の人員を投入しました。正社員については緊急の人事異動です。人員体制を強化し、お客様をお待たせしない迅速な対応を徹底しました。
セキュリティ強化策として、11月には3Dセキュア絵文字認証を導入しました。12月にはJC3(日本サイバー犯罪対策センター)に加入させていただきました。われわれ単独では得にくい情報を入手して、早めの対策をとって不正を予防できるようにするためです。
こうして12月には不正利用被害がかなり落ち着いてまいりましたが、まだ高い水準にはありましたので、2025年1月にオフライン取引の閾値を、実質的に取引できない水準にまで引き下げました。またAプロビジョニングをする際に、要求元の電話番号と、われわれに申告していただいているお客様の電話番号が一致していない場合には、有人対応のコールセンターでの認証に切り替えるフローとしました。
これらの対応によって、2025年2月頃には、不正利用被害件数はようやく被害拡大期前の水準まで収束いたしました。
独自の不正利用検知AIスコアを開発 不正利用被害は以前の半分の水準まで減少
2025年3月以降の対策強化期には、さらなるセキュリティの強化に努めました。弊社からお送りするメールには、公式なメールであることを証明するマークであるBIMIとお客様の氏名を表示することとしました。また、弊社からのお知らせは、アプリ上で確認していただくかたちにシフトしました。さすがに偽のアプリがつくられることはないだろうと、今のところは考えております。
それから、これまでは外部のサービスなどを利用して不正を検知していましたが、弊社独自の不正利用検知AIスコアを開発し、その活用も開始いたしました。ただし、われわれはこれまでオーソリデータを数カ月分しか残さない業務フローとしてきましたので、この時点で蓄積されているデータが限定的であったため、まずはカード売上明細データ版として運用を開始しました。6月にオーソリデータの全件データベース化を開始し、7月には不正利用検知AIスコアをオーソリデータ版としてアップデートしました。
また、4月には、オペレーションの標準化を進めました。われわれは東京と大阪のセンターにまたがってオペレーションを実施しているのですが、やり方に少し違いがありましたので、統一を図りました。
7月にGoogle Cloud のWebRiskサービスを導入しました。これはフィッシングサイトなど危険なサイトを自動検知するサービスです。さらに10月には不正検知の業務を行う人材を公募し、増員を図りました。
これらの対策を実施したことによって、不正利用被害を、被害拡大期前の半分の水準まで縮小することができました。
徹底して利便性より安全・安心を優先 オフライン取引をやめ、認証有効時間も短縮
われわれが99億円の特別損失を発生させた経験から得た教訓は、以下の3点にまとめることができると思います。
