【情報漏えい対策2016】やらかした!! クレジットカード不正利用被害に合う(前編)

Pocket

一部注意喚起としてFacebook等ではお伝えしていましたが、先月、個人で利用していたクレジットカードが不正利用されるという事件が発生いたしました。

その時、Facebookに投稿した内容が以下。(本ブログではわかりやすく一部太字にしてあります。)

【注意喚起:クレカ不正利用されました】
恥ずかしながら、クレジットカードが不正利用されるという事態に合いました。このことを書くかどうか少し迷ったんですが、「他人事じゃないなー」と思ったので恥を忍んで共有します。

不正利用が起こったのは数日前。その当時カードの明細を見ていたはずなんですが、不正利用の金額が少額の決済だったために全く気づかず

ここ数日2回ほどクレカが使えなかったのでなんかおかしいな、と思ってたら本日カード会社の方からの連絡で不正利用の事実を知ることになりました。不正利用直後にカード会社の方で決済を止めていてくれたおかげで、実害はほぼ出なくてすみそうです。

が、、、セキュリティには結構気を使っていたつもりなので、正直ショックでした。
僕の場合、基本的に決済を利用するWebサービスでは半角英数字記号入り乱れたランダムなパスワード10桁以上で設定するようにしてるのでそれで割と安心してたのです。

どこで漏れたかは定かでないので何とも言えないのですが、ひょっとしたらそれが破られたのか、もしくは直接決済とは関わりのないセキュリティの甘いサイトから関連情報が漏れたのか…と思います。あとは最近結構色んなところで有名なサイトがハッキング(クラッキング)受けたりしてますので、そういうところが出どころかもしれない。印刷通販のグラフィックとか、直近でローソンも情報漏洩ありましたね。

最近のカード不正利用では一度に高額利用をするとすぐにカード会社の方で検知されるため、今回の僕のケースのように少額でちょろちょろ使いまくる、というのが多いそうです。ちなみに不正利用の内容はUSJの1日チケット(7,400円)が購入にされようとしていたみたいでした。転売目的でしょうかね。
他にもスマホゲームに50万近く課金されるといった事例もあるようです。

GoogleやAmazon、楽天、その他有名オンラインショップなどにも決済用のクレジットカード情報を登録している方も多いと思いますが、そういったサービスでは特にパスワードを複雑にした方がよさそうだなと思います。そのアカウントクラッキングされたら終わりなので。

ネット時代全盛の昨今、日本国内だけでなく海外からの不正利用も多いようなので、皆さんもお気をつけください。マジで。結構身近にありますよってことで注意喚起まででした。

という感じなのですが・・・。これについてもう少し補足したいなと思って今回の記事を書きました。

金額よりも、不正利用されたこと自体がかなりショック。

上記文中にも書いてますがかなりショックでした。
不正利用によってお金を勝手に使われた事実よりも、自分がカード不正利用された事自体にです。衝撃を受けました。

というのも、私はWebサイト制作者というのもあって、日常的にいろいろなWebサービスを使ったり、Webでのお買い物したり、サイトの管理をしてたりするので、セキュリティはかなり気を使ってたんです。だからこそ、「まさか自分が」という感じでした。

でも、違ったんですね。セキュリティに気を使ってたつもりだったんです。

甘かった認識とセキュリティ管理。

カード不正利用をされてから改めて自分の環境を見直しましたが、実際には穴だらけだったなぁと今になって思います。でもこれ本当に他人事じゃないと思うので、安心してる気になってる人も、一度この記事読みながら自分のことも振り返ってほしいです。

確かに私は、決済を行うような重要なWebサービスのパスワードは大小英数字記号入り乱れたものにしていましたし、パスワード管理にも1Passwordという有償のパスワード管理システムを使っていました。変なサイトには極力アクセスしないようにもしていました。

でも、それだけだと甘かったんですね。今回を機に改めて自分のセキュリティ体制を見直してみると、あるある穴が。ハッキリ言って甘々でした

どこがどう甘かったのか、カード情報が漏れた可能性がある利用サービスと,今回の件には関わりないかもしれないけどセキュリティ甘いなぁ、という箇所を見ながら以下に一覧で列挙してみます。

情報が漏れた可能性があるサービス・箇所一覧

※基本的にサービス自体が悪いわけではありません。
※サービス名のすぐ下には、自分の利用法で良くなかった点を箇条書きしました。

■Dropbox(クラウドファイル同期サービス)

良くなかった点:
  • 2段階認証を採用していなかった
  • にも関わらず、1Passwordのagile-keychainファイルをDropbox経由で同期していた

流石にDropboxで管理しているファイルに平文でパスワードを載せていたり、クレジットカード情報を記載したテキストファイル等を共有しているわけではありません。しかし、1Passwordのデバイス間同期に必要なagile-keychainファイルはDropbox経由で同期していたので、万が一DropboxのID/PASSWORDが破られた場合、そこから何かしらの情報が漏れる可能性があります。

実際、Dropbox自体も2016年8月に6,800万件ものアカウント情報が流出しています。

参考)
Dropboxのアカウント情報流出、被害は6800万件超に – ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1609/01/news073.html

もちろんDropboxというサービス自体は高いセキュリティを維持しているでしょうし、信頼性の高いサービスですが、利用者が多いサービス=悪いハッカーに狙われやすい、ということも考えておかなければなりません。

Dropboxで重要なデータを管理しているのにも関わらず、2段階認証を有効にしていないといった点が反省点として挙げられます。

■1Password

良くなかった点:
  • 古いバージョン(1Password3)をずっと使っていた
  • かつ、1Passwordのメモ欄に重要情報を記載していた

前述の通り、パスワード管理には1Passwordというソフトを使っていました。
パスワード管理で知らない人はいないであろうソフトなのですが、1Passwordから「新しいバージョン出たよ!」と言われてもずっと古いバージョン使ってたんですね。「金儲けしようとしやがって。一回買ったんだからそれずっと使ってりゃいいだろ」、と。

バッキャロー、オレ。

実は、古いバージョンの1Passwordのパスワード管理方式(agilekeychain)では、情報の一部が抜き取られる可能性があるんですね。これ、今回の不正利用があってから知りました。

.agilekeychainのセキュリティリスクの影響を受けるケース

  • 2013年よりも前(.agilekeychainの頃)から1Passwordを利用していて、データ同期にDropboxを利用している。
  • コンテナファイルに.agilekeychainしか使えないバージョン1Password 3 for Mac, 1Password 4 for iOS, 1Password 1 for Windows, 1Password for Android)を利用していて、データ同期にDropboxを利用している。

参照)
1Passwordのコンテナファイルを「agilekeychain」から「OPVault」に変更しよう | iPod LOVE
http://ipod.item-get.com/2015/10/1passwordagilekeychainopvault.php

やべぇ、全部当てはまってるやん。

実際に情報が漏洩するには、上記条件に加えて

  • Dropboxのデータが流出するか自分のアカウントが乗っ取られる
  • マルウェアに感染する
  • PCやMacやiPhoneが盗まれる
  • keychainファイルをDropboxのパブリックフォルダに入れて同期する
  • 1Passwordを利用しているPCが第3者に不正利用される

をのいずれかをしないと、外部には流失しないはずなのでそれほどリスクは高くないはずです。が、上2つはバッチリ可能性ありますね、僕。

<1Passwordから漏れうる可能性のある情報とは?>

じゃあ実際にagilekeychainの情報が漏洩したとして、漏れる可能性るのある「情報の一部」って何なの?という話です。実際にはkeychainファイルの情報が漏れたとしても、登録されている情報のID/PASSWORD部分等は大丈夫なのです。

可能性があるのは平文で登録されている以下の情報。

  • 登録されているタイトル
  • 登録されているURL
  • メモ欄

ここで重大なミス発覚。
思いっきりメモ欄にクレカのカード番号情報登録してました、私。
アホか・・・。

1Passwordの新しいバージョンであればそれでも大丈夫なようですが、念のため、メモ欄(平文)に登録されている情報を全て消して暗号化部分に入れ直すとともに、新しいバージョンの1Passwordを買い直しました。

というわけで、パスワード管理ソフト(今回の場合は1Password)のバージョンが古いのもセキュリティリスクですね。もし同じような環境の方がいましたら、agilekeychain方式からOPVault方式へ移行しておいて損はないのでサクッと移行することをオススメします。

■Evernote

良くなかった点:
  • 2段階認証を採用していなかった
  • 銀行の振込等に必要な認証番号カードを登録していた

こちらは今回のクレジットカード情報流出にはおそらく関係ありませんが、2段階認証をしていなかったことと、何より銀行の振込に必要な認証番号カードをEvernoteに登録していたのはやばいよね、ということです。

全然セキュリティ意識高くねーじゃねーかっていう。

認証番号カードってのはこういうやつですね。銀行振込とかの時に必要になるやつです。

参照)入出金・ATM・カード|住信SBIネット銀行
https://contents.netbk.co.jp/pc/popup/p_atm_card.html

認証番号カードっていちいち持ち歩きたくないので、ネット経由で確認できると便利なんですよね・・・。でも、その分やはりリスクも高まるということです。

今回銀行系はまだ不審な動きはないので今のところ大丈夫ですが、まぁ自分だけは大丈夫だろう、という甘い認識で重要な情報を登録しちゃってる人、結構多いんじゃないでしょうか。まぁ滅多なことでは漏れないのかもしれないのですが、リスクも鑑みた上で使いましょう。
※現在は削除してあります。

■Amazon,楽天などのECサイト

  • クレジットカード情報を登録していた

これはまあ一概に悪いとは言えないのですが。
Amazonや楽天、ZOZOTOWN、イオンネットなどの大手ECサイトから、個人でやっているような小規模ECサイトまで、世の中には沢山のECサイトがありますが、その中にはサイト内でクレジットカード情報をあらかじめ登録しておいて決済の度に入力しなくても済むように出来るサイトがいくつもあります。

これらのECサイトにおいてログインID/PASSWORDが漏れてしまうと、登録されているクレジットカード情報が漏れる可能性があります。また、自分のログインID/PASSが漏れていなくても、これらのECサイト自体がハッキングを受けて情報漏えいするリスクというのは常にあります。

ECサイトを利用する以上はサイトがハッキングされることにに対して出来ることはあまりありませんが、自分の情報管理については決済情報を登録するようなサイトのパスワードは複雑にして長くするセキュリティが甘そうなサイトは利用しない、などの工夫は必要になると思います。

<Amazonはカスタマーサポートから漏れる可能性も>

補足として、Amazonについては、カスタマーサポートから情報が漏れるなんて可能性もあるみたいです。

参考)
「Amazonの個人情報や購買情報は流出している」はマジでした。 – canadieの日記
http://d.hatena.ne.jp/canadie/20160125

【恐怖】Amazonが個人情報を流出?とあるユーザーの実体験が怖すぎる(((;゚Д゚))) | かみあぷ – iPhoneひとすじ!
http://www.appps.jp/213576/

カスタマーサポートに電話なりチャットなりで連絡して、必要最低限の情報を伝えれば購入情報などが漏れてしまう、というわけですね。ハッキングというとPCでカチャカチャ、というイメージが強いと思いますが、実際にはこういったアナログな手法も混ぜて行われる場合も多いようです。

これらの記事を読んで僕も怖くなったので実際にAmazonのカスタマーサービスに問い合わせましたが、Amazonアカウントの不正利用はないようでした。

不安な人はAmazonにログインした状態で画面のフッターにある「カスタマーサービスに連絡」というリンクから飛ぶとお問い合わせ出来ます。

僕も今回の件を機にAmazonのカスタマーサポートに連絡してみてそこで初めて知ったのですが、チャットを使うと24時間体制で対応してくれます。ちなみに僕は夜中の3時に連絡しましたが対応してくれました。チャット内容もあとでメールで送信してくれます。すごいですねAmazon。

■ChromeのExtension(拡張機能)

  • 制作元が不明確な拡張機能を使用していた。

ブラウザでGoogle Chromeを利用している人はかなり多いと思うのですが、Chromeには「Extension(エクステンション、拡張機能)」という便利な機能があって、Chrome自体にいろいろな機能を付け足せるようになっています。

で、非常に便利なこの拡張機能なのですが、その拡張機能にスパイウェア(情報を盗み取る)やアドウェア(勝手に広告を表示したりする)が仕込まれている場合が結構あるみたいなんですね。

【注意!】利用中のChrome拡張機能がアドウェアだったのでマウスジェスチャーで代用した件 | ブログのちから
http://www.empowerments.jp/scroll-to-top-button-is-adware/

【注意】Chrome拡張機能【マルウェア化】 : 0から楽しむパソコン講座のブログ
http://blog.livedoor.jp/zeropasoakita/archives/8903248.html

やっかいなのが、スムーススクロールマウスジェスチャといった実際に役に立つ便利な拡張機能としてこれらのマルウェアが提供されている点で、拡張機能としても役立つ機能を有しながら、裏では情報を盗んでいる、ということがありえます。物によっては、インストールして最初の一週間は普通にふるまいつつ、一週間経ったら情報を盗み始める、なんてものあるようです。

Googleもこれらの状況を懸念し、2014年からChromeウェブストアに載っているもの以外は拡張機能としてインストールできないようにしています。しかし、それすらも回避するマルウェアが拡張機能として見つかっている模様。つまりChromeウェブストアに載っている拡張機能だからって安全安心とは限らない、ということですね。

2014年の初め、Googleは「悪意のあるブラウザ拡張機能が出回っている」という問題に対処すべく、「Chrome ウェブストアにホストされた拡張機能のみインストール可能」になるように、セキュリティポリシーを強化しました。この影響でユーザーのセキュリティ面は格段に向上したと考えられていたのですが、このセキュリティを回避しようとするマルウェアも存在することをトレンドマイクロが明かしています。

参照)
Chrome拡張機能のセキュリティを回避するマルウェア登場 – GIGAZINE
http://gigazine.net/news/20140908-malware-bypasses-chrome-extension-security/

さらに困るのが、これらのマルウェア付きの拡張機能は、ウィルスセキュリティソフトでも見つけられない可能性があるようなんです。めっちゃ厄介。

実は危ないと思う Google 拡張機能のセキュリティ
http://zaka-think.com/freetalk/google-chrome-security/

また、これらの拡張機能は、最初は普通のサービスとして提供されていたのに、制作者が変わったことでマルウェアになる、なんてこともあるそう。最初に作った制作者が他の制作者に権利を譲渡するというのはよくあることだそうで、その受け取った側が悪意ある人間・組織だと、最初は普通に使っていた拡張機能が気づいたらマルウェアになっていた、なんてこともあるってことです。そうなったらもうお手上げですね。

とはいえ、便利なことには違いないので、制作者が怪しい拡張機能は入れない不要な拡張機能は削除する、ということが大切です。

以前、GIGAZINEなどのニュースサイトで「使えるChrome拡張機能」などがバンバン紹介されていた時期がありましたけど、便利そうだからって何も考えずに入れないほうがいいよ、ということです。

今回はChromeを中心に話しましたが、Firefoxの「アドオン」等も同じことが言えます。

ちなみに僕は、「MultiLogin」という、同じサイトに対してタブごとに別アカウントでログインできる、というChrome拡張機能を使っていました。仕事の都合でAmazon等のログインもこちらを使っていたことがあるので、今となってはこれがマルウェア含んでたんじゃないか、という懸念を持っています(現在はダウンロードできなくなっている模様)。

■Macbook airのセキュリティ不足

  • ウィルスセキュリティソフトを入れていなかった

これもう、本当その通りで書くのもおこがましいのですが・・・。僕は普段使用しているMacbook airにセキュリティソフトを入れてなかったんですね。

Mac安全神話なんてありますが、セキュリティに超強い会社にいる友人に聞いた所では、安全神話はMac自体のユーザーが少なかった昔の話で今は普通にMac用のウィルスも溢れてるし、ウィルスに感染しているPCも相当多いのではないか、とのこと。Windows用に作成されたウィルスがMacに感染する可能性なんかもあるようです。

でも、僕の身の回りを見てもそうですが、未だにMacだからってウィルスセキュリティソフト入れていない人、かなり多いんじゃないでしょうか?

かくいう僕もそうでした。Windowsにはバッチリセキュリティソフト入れてましたが、Macは皆無。ファイヤーウォールだけ。

でも、僕がカード不正利用された時に真っ先にそのセキュリティの専門家である友人に言われたのが、「PC自体がハッキングされてる可能性をまず疑え」ということでした。そのためには、まずセキュリティソフトを入れてチェックしろ、と。セキュリティソフトの中には30日間などお試しで使えるものもあるのでそういうのでいいからとりあえずチェックしろ、ということをアドバイスされました。

不正アクセスの手法は色々と進化していますが、やはりセキュリティソフト入れるだけで、攻撃者からすると大分攻撃しづらくなる、とのこと。

セキュリティソフトを入れていなかった私は反省し、すぐにセキュリティソフトを導入することにしました。手持ちのクレカ使えなくなっていたのですぐさま家電量販店に飛び、速攻で購入してウィルス情報をアップデートした後、全検索しました。

結果的にはマルウェアもウィルスも一つも見つかりませんでしたが、セキュリティソフトを入れることでかなり安全性が上がるので、MACであろうが必ず入れましょう。

Mac用のウィルスセキュリティソフトは今は色々出ているみたいですが、僕が色々調べた限りではESET(イーセット)か、もしくはカスペルスキーが良いようです。僕はESETにしました。

ウイルス対策のESETセキュリティ ソフトウェア シリーズ
https://eset-info.canon-its.jp/

カスペルスキー インターネット セキュリティ for Mac 製品情報|カスペルスキー
http://home.kaspersky.co.jp/store/kasperjp/ja_JP/pd/ThemeID.37143200/productID.5064648900

ESETめっちゃ安いです。3年で5人使えるファミリーパックだと5000円切ります。こんな安くて良いのか…?

でも性能もちゃんとしているみたいです。Macbook Airも少し重くなった気もしますが、ほとんど気になりません。

■公衆Wi-fiの利用

  • 公衆Wi-fiを使っていたこと

公衆Wi-fiと書きましたが、ここで言っているのはそもそもパスワードが設定されていないfree Wi-fiスポット、ということではなくて、ちゃんとパスワードが設定されているWi-fiだけど、その場にいる皆にはパスワードが共有されている、っていうパターンですね。シェアオフィスやシェアハウス、ホテルなどでよくあるパターンかと思います。

僕も最近フリーデスクでとあるシェアスペースを契約しているのですが、そこは結構人の出入りが激しくWi-fiのパスワードもめっちゃわかりやすいので正直セキュリティに関しては緩いな、と思っていました。

こういうところでクレジットカード情報やID/PASSを使ってログインするようなサイトを利用すると、悪意ある他者に情報を抜き取られたり、PCにマルウェアを打ち込まれたりする可能性があるようです。セキュリティソフトを入れていないPCなんか特に。

また、他者がそこにいなくても、公衆Wi-fi自体に悪意あるプログラムが書き込まれて、ウィルスが大量感染する例もあるようです。

Kaspersky Lab、ホテル宿泊者を標的にした攻撃「Darkhotel」を発見 | カスペルスキー
http://www.kaspersky.co.jp/about/news/virus/2014/vir10112014

高級ホテルのWi-Fiが危険すぎる!? 宿泊客の端末を狙った攻撃「DarkHotel」が公表される | かみあぷ – iPhoneひとすじ!
http://www.appps.jp/135866/

というわけで、利用者の多い公衆無線LANは注意が必要です。公衆Wi−fi接続時には、Webサイトの閲覧にとどめ、安易に重要な情報をやり取りしないようにしましょう。

■Whois情報

これはWeb制作者以外にはあまり関係のない話ではありますが・・・。
実は、カードが不正利用されたのと近い時期に、見知らぬ番号からある不審な電話がかかってきたことがありました。
実際その電話には出なかったのですが、あとでかかってきた電話番号を検索してみるとどうやら「詐欺電話」だったようなのです。

調べた情報によると、内容は「懸賞が当たりました」という内容で電話がかかってきて、こちらの情報を聞き出したり、、サイト登録させて情報を抜き出そうとしてくるようです。

で、「さすがに電話番号まで漏れているのはマジでPCの情報全部やられてるんじゃないか」と思ったのですが、それにしては被害が限定的だし、個人のPCを狙うのも考えにくいし、セキュリティソフトで調べた限りでも特に乗っ取られた形跡はないようだと。

とするとなぜ電話番号が漏れたんだろう、と考えていたのですが、おそらく原因はWHOIS情報でした。

WHOISは、 インターネットレジストリが管理するインターネット資源の登録情報を提供するサービスです。 端的には、IPアドレスやドメイン名の利用者を検索する時に使います。 直接的な利用者のデータが表示されない場合もありますが、 問い合わせの手がかりにはなります。

WHOISとは – JPNIC
https://www.nic.ad.jp/ja/whois/

端的に言うと、WHOIS情報とはドメインを取得する時に公開(登録)しなきゃいけない情報で、取得者の名前、電話番号、住所などの連絡先が全世界に公開されます。

これらの情報は完全に個人情報なので、ドメイン取る度に全世界に公開されていてはたまったもんじゃありません。そこで、普通は、ドメイン取得事業者(さくらインターネットやお名前ドットコムなど)が代わりにその会社の情報を使ってWHOIS情報を登録、公開してくれます。それにより、利用者(自分自身)の個人情報は守られるわけですね。

ただ、そこに落とし穴がありました。僕がお名前ドットコムを使い慣れていなかったせいもあるのですが、お名前ドットコムでドメインを取得する場合、「Whois情報公開代行」というところにチェックを入れないと、お名前ドットコムに登録されている自分の個人情報がそのままWHOISに登録されてしまいます

参考)
お名前.comでドメイン取得時にWhois情報公開代行を忘れると大損 | 成り上がりアフィリエイト
http://www.tunerzinemedia.com/2013/12/%E3%81%8A%E5%90%8D%E5%89%8D-com%E3%81%A7%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E5%8F%96%E5%BE%97%E6%99%82%E3%81%ABwhois%E6%83%85%E5%A0%B1%E5%85%AC%E9%96%8B%E4%BB%A3%E8%A1%8C%E3%82%92%E5%BF%98%E3%82%8C/

で、僕はこの事実に全く気づかずに、半年間ほど自分の個人情報が全世界に公開されておりました。

というのも、このお名前ドットコムの「Whois情報公開代行」って名称がまたわかりづらくて。
この名称だと

「お名前ドットコムが僕の情報を僕に代わって公開するのか」
「お名前ドットコムが僕の代わりにお名前ドットコムの情報で公開するのか」

がわかりづらいんです。
実際には後者なんですけど、僕は前者のことを意味すると思って、チェックいれなかったんです。

そしたら逆に、僕が取得したドメインとともに、僕の個人名、郵便番号、住所、電話番号、メール連絡先などが全世界に公開されてました。これがオープンソースってやつかぁ・・・。

それに半年気づかずにいて、今回の不正利用を機に各サイトのパスワードを変更して回ってる最中に上記の事実に気づいた、ということです。無知って怖い。

お名前ドットコムさんには、「Whois情報公開代行を選択されると、Whois情報をお客様の個人情報ではなく、お名前ドットコムの会社情報で登録します」といった補足をぜひ入れてほしいです。

その他、初心者が陥りやすそうなセキュリティリスク

僕はやっていませんが、上記に挙げた以外でIT初心者が陥りやすいであろうセキュリティリスクを簡単に列挙します。

■フリーwifiに接続してパスワードやり取りが発生するサービスに接続

 例)ケータイ各社のfree wifi(Softbank等)、スタバのWifi、観光地等のfree wifi等

上記に接続した場合、閲覧している情報などは全てダダ漏れと思ってもらっていいです。それほど危険です。

 

■テザリングのパスワードを簡単なものにしている

iPhoneやAndroidのスマホでテザリングしているユーザーも多いと思いますが、ホテル等の共有wifiじゃないからといって安心してたら駄目です。簡単なパスワードであればソフト使えば10秒でパスワード突破されます。

テザリングで接続する機器はほぼ決まっていることが多い(手持ちのノートPCやタブレット等)と思うので、接続にパスワードを入力する機会は多くないはず。そんなに大変じゃないと思うので、大小英数字記号を織り交ぜて少なくとも10ケタ以上のパスワードにしましょう。

カード不正利用が発覚してから行った対策

PCハッキング対策

  • Whois情報の非公開化
  • OSのクリーンインストール
  • ウィルスセキュリティソフトのインストール
  • 1Passwordを最新版にアップデート
  • Googleアカウントにて保存していたパスワードを全て削除
  • 重要なサービスを2要素認証&パスワードを再度変更
  • 例)Dropbox,Google,Evernote、Amazon、楽天等
  • 銀行系のパスワード等を全て変更
  • その他よく使うサービスのパスワードを変更

 

 

SNSでもご購読できます。

コメント

  1. sophie より:

    クレジットカード、券面にお買い物するための情報は印字されてますし、日々、どこぞのサイトでカード情報漏洩、本物そっくりさんの偽サイトやカード情報を盗むウィルスも多種多様のものが出回ってますから、クレジットカード情報は、外部にもれている前提で利用したほうがいいでしょうね。

    クレジットカードの不正利用に合わない、あった際の対処の知識を得ていることが大切です。

    クレジットカードの管理に落ち度が無ければ、基本的には利用者が金銭的被害を被ることはありません。
    クレジットカード会社が店舗からの売上請求を拒否です。(チャージバック)。
    これは、店舗がクレジットカードの取扱いにあたり、締結する加盟店契約において、クレジットカードの利用者が確かに本人であることの確認は店舗にその責務があるとしているからです。
    不正利用があれば、それは、店舗が本人確認の責務を怠ったということで、クレジットカード会社は売上請求を拒否しなくてはいけません。
    店舗がこのチャージバックリスクを回避する唯一の手段は、3Dセキュアと呼ばれる本人確認の仕組みを入れること、店舗が3Dセキュアを入れると、その責務はクレジットカード会社側へ倒れます。(ライアビリティシフトって言います。)
    この場合でも利用者は金銭的な被害を被ることは無く、クレジットカード会社がその被害額を補填します。
    早期に不正利用を発見し、適切にカード会社へ連絡していれば、その点でカードの管理に落ち度はありません。
    ※利用明細を確認せず、連絡が遅れるとアウトです。
    利用者のクレジットカード管理の落ち度、こちらは本人以外の第三者へ漏洩していないか、ということですが、今のところカード会社で調査しても確認するのは難しい、というのが実情です。
    昨年のクレジットカード被害額120億円超、その大半がネットです。
    2016年第一四半期で既に37億円、前年同期からは39.6%の増加しています。
    クレジットカード情報はサイトに登録しない、登録するのであれば、アカウントがハッキングされてもクレジットカード会社に登録したパスワードが無いと決済できない、3Dセキュア店舗に限定する、3Dセキュアのパスワードは推測されやすいものはNG、定期的に変更する、これを実践していれば、ほぼ、間違いなくカード利用者の落ち度は払拭できるでしょう。

コメントを残す

*