【注意】リアルタイム型のフィッシング詐欺にご用心？3Dセキュアを突破する手口と対策

こんにちは、デビットカードのレスキュー隊「しーぷ」です。

今回は、金融機関の決済現場で働く私が、今最も危機感を抱いている最新の詐欺手口「リアルタイムフィッシング」について緊急で注意喚起をします。

これまで私たちは「3Dセキュア（本人認証サービス）があれば不正利用は防げる」「ワンタイムパスワードは自分しか知らないから安全」と教わってきました。

しかし、その常識はもう通用しません。

最新の手口では、あなたが「配達の再配達料 100円」を払っているつもりでワンタイムパスワードを入力した瞬間、その裏側で犯人が「10万円のゲーム機」を購入しているのです。

この記事では、最強の防御壁だったはずの3Dセキュアがなぜ突破されてしまうのか、その恐ろしい手口と、具体的な対策を解説します。

リアルタイムフィッシングとは？カード情報が盗まれる瞬間

従来のフィッシング詐欺は、偽サイトでカード番号を入力させ、後日それを使って不正利用する「情報の持ち逃げ型」が主流でした。

しかし、リアルタイムフィッシングは「同時進行型」です。

犯人は、あなたが入力した瞬間にその情報で不正決済を行います。まるで、あなたの背後からスマホの画面を覗き込み、あなた自身の入力操作を待っているような状態です。

なぜ「3Dセキュア」が突破されるのか？

ここが最も重要なポイントです。「自分は100円の決済をしているつもり」なのに、なぜ高額被害に遭うのでしょうか？

その裏側では、以下のような恐ろしい連携が行われています。

結果として、あなたの手元には「再配達の手続き完了」などの偽画面が表示されますが、口座からは10万円が即座に引き落とされてしまいます。

こんなメール・SMSが入り口になる（具体例）

カード情報を入力させるための「罠」として、生活に密着した内容が使われます。

• 「お荷物のお届けにあがりましたが不在でした。再配達受付はこちら」
  →もっとも多い手口です。数十円～数百円の送料を請求してきます。
• 「【重要】税金の未払いがあります。差し押さえの前にご確認ください」
• 「携帯電話料金の支払いに失敗しました」
• 「カードの利用を制限しました。解除手続きはこちら」

唯一の見破り方：認証画面の「ここ」を見る！

どんなに精巧な偽サイトでも、誤魔化せない場所が一つだけあります。それは、ワンタイムパスワードが送られてくる画面（またはメール）に記載された「加盟店名」と「金額」です。
※カード会社によっては、金額や加盟店名が表示されないケースもあります

【対策】ワンタイムパスワードを入力する前に必ずチェックする

SMSや認証アプリにワンタイムパスワードが届いた場合は以下のような矛盾がないか確認してください。

• あなた：「配送業者に100円払うつもり」
• 通知画面：「加盟店名：ELECTRONICS STORE（家電量販店）」「金額：98,000円」

このように、自分がやろうとしている手続きと、通知に書かれている「店名」や「金額」が違っていたら、絶対にワンタイムパスワードを入力しないでください。
犯人があなたのカードで別の買い物をしようとしている証拠です。

もし「入力してしまった」と気づいたら？

「さっきのサイト、偽物だったかも！」と気づいた時は、一刻を争います。

1. アプリでカードを「一時停止」する：
   多くのネット銀行デビットカードには、自分で利用停止する機能があります。まずは利用停止してください。
2. カード会社に電話し「カードの停止と再発行」を依頼する：
   一度情報を入力してしまったカード番号は、もう使えません。番号を変える必要があります。

まとめ：SMSのURLは「開かない」が最強

デビットカードは即時引き落としのため、被害に遭うと生活費がその場で消えてしまうリスクがあります。また、3Dセキュアを突破して不正利用された場合は各銀行の利用規定により補償対象外となる場合が多いです。

「SMSで届くURLからは、絶対にカード情報を入力しない」

このルールを徹底し、もし入力を求められたら、一度アプリやブックマークから公式サイトを開き直して確認する癖をつけましょう。

ABOUT ME

しーぷ

カード会社・銀行でカード決済に関わる仕事を経験。 デビットカードとクレジットカードの違い、決済の流れなど、様々な疑問にお答えします。

BLOG：https://debitcard-rescuing.com