クレジットカード認証の通知メールが届いたときに、本物か詐欺か判断に迷ったことはありませんか?
「EMV 3-Dセキュア導入のお知らせ」という件名で、フィッシング詐欺に悪用されるメールが確認されています。
ただし、実際に正規の通知も同じタイミングで送られている場合があるので、判断が難しい状況です。
公式メールと詐欺メールの見分け方のコツを知ることが大切です。
1. EMV 3-Dセキュアって何なの?
EMV 3-Dセキュアは、オンラインショッピングをするときにクレジットカード情報が盗まれるのを防ぐためのセキュリティサービスです。
ショップでカード番号を入力したあと、メールやSMSで送られてくるワンタイムパスワード(一回だけ使える暗証番号)を入力して、本人確認をします。
このサービスのおかげで、カードを持っていない人が不正に使うのを難しくできるわけです。
経済産業省のクレジットカード・セキュリティガイドラインで、2025年3月末までに原則としてすべてのオンラインショップがEMV 3-Dセキュアに対応することが求められており、2025年4月より実質的に義務化されています。
2. なぜこのメールが詐欺に悪用されるの?
変更通知や設定変更のお知らせは、たいてい焦らせるような書き方をしています。
セキュリティに関するメールだと、なおさら心配になりますよね。
詐欺集団はこの心理を利用します。
「至急対応が必要です」「機能が使えなくなります」といった焦らせる文言でメール本文のリンクをクリックさせようとするわけです。
リンク先は本物そっくりの偽のサイトで、そこでカード番号やパスワードを入力させられたら、カードの不正利用に直結します。
3. 本物と詐欺メール、どう見分けるの?
まず最初にチェックすべき箇所があります。
1. 送信元のメールアドレス(@より後ろの部分)が公式のドメインになっているか確認する
2. 「重要」「至急対応」といった焦る文言が多くないか見てみる
3. メール内のリンクには絶対にクリックしないで、公式サイトを直接ブラウザで訪問する
4. 疑わしい場合は、公式ホームページ掲載の電話番号に直接連絡して問い合わせる
詐欺メールの送信元ドメインは公式の「smbc-card.com」ではなく、全く無関係なドメインになっていたりします。
リンク先も本物のVpass会員ページとそっくり作られているので、パッと見では気づきにくいです。
4. 3Dセキュア1.0との違いって何?
EMV 3-Dセキュアは従来の3Dセキュア1.0から大きく進化しています。
・生体認証(指紋・顔認証)による認証に対応
・ワンタイムパスワードやQRコード認証などの複数の方法に対応
・リスクに応じて柔軟に認証を実施する仕組み
最大の改善点は「リスクベース認証」という仕組みです。
リスクが低い場合は追加操作なしで完了し、中程度のリスク時にはSMSやアプリ認証が要求され、高リスクと判断されたら取引が拒否される、という3段階になっています。
セキュリティを高めながらも、スムーズに決済できるようになったわけです。
5. 不正利用の被害はどれくらい増えているの?
クレジットカード不正利用被害の額は深刻な状況になっています。
2019年は約274億円だった被害額が、2024年には約555億円へと倍増しているんです。
こうした状況があるから、セキュリティガイドラインで義務化を促しているわけです。
さらに恐ろしい手口が広がっています。
詐欺集団はカード情報を盗んだあと、その場でカード情報とワンタイムパスワードをリアルタイムに正規のショッピングサイトに入力して、本人認証を突破してしまうという方法です。
ワンタイムパスワードは本人確認だから安心と思って入力しても、その情報が詐欺集団に搾取されて、すぐさま悪用される可能性があります。
このリアルタイム型フィッシング詐欺が増加傾向にあると、複数のカード会社が注意喚起しています。
6. 本当にカード会社から通知が届くことはあるの?
はい、あります。
実際に各カード会社は認証方法の変更やアップグレードの通知をメールで送るようなことはあるので、すべてのメールが詐欺とは限りません。
ただし、公式のメールアドレスドメイン確認とは別に、カード会社が急にリンククリックを要求することはまずありません。
本当に心配な場合は、メール本文のリンクをクリックするのではなく、自分でカード会社の公式サイトを訪問して、会員ページにログインして対応状況を確認するか、公式ホームページ掲載の電話番号に直接連絡するのが安全です。
7. もしも詐欺メールの指示に従ってしまったら?
カード情報やパスワードを入力してしまった場合、直後にカード会社の紛失盗難受付デスクに電話で報告することが大切です。
直後に連絡すれば、カードを一時的に利用停止にしたり、不正利用がないか確認してもらったりできます。
完全に防ぐのは難しいですが、早期対応で被害を最小限にできる可能性が高くなります。
まとめ
「EMV 3-Dセキュア導入のお知らせ」というメールがすべて詐欺というわけではありませんが、このタイトルを悪用した詐欺メールが見つかっているのは確かです。
判断のコツは、送信元のドメインを確認すること、メール内のリンクをクリックしないこと、疑わしければカード会社に公式ホームページの連絡先から直接連絡することの3点です。
セキュリティ関連のメールだからこそ、かえって詐欺集団に利用されやすいので、いつもより一段階慎重になる心構えが大事ですね。