イオンカードの不正利用報道について

イオンフィナンスシャルサービスが「イオンカード詐欺被害相談ダイヤル」を開設。現在、テレビなどマスコミで「SNS上にイオンカードの利用者から、不正利用被害に遭ったという報告が相次いでいる」と報道されており、イオンも11月21日に不正利用被害に関するテレビ報道に補足する声明を発表。翌日も「イオンカードのセキュリティ対応について」とのお詫び文を掲載し、「しかしながら、十分な対策には至っていません。引き続き関係各社と連携し、根本的な解決を目指して有効な解決策を講じてまいります。」とした。「イオンカード詐欺被害相談ダイヤル」との専用ダイヤルも開設された。

SNSで声が挙がっている通り、不正利用された利用者がカードを止めて欲しいと連絡したのにその後何カ月も不正利用が続いたことをはじめ、イオンフィナンシャルサービスの対応は後手に回ったといえる。しかし実は本件、根本的にはクレジットカード「イオンカード」が原因の不正利用ではなく、非接触決済サービス「iD」の仕組みの問題である。Apple WalletやGoogle Walletに、クレジットカードや「Suica」「QUICPay」「iD」などを登録して、実店舗端末で非接触IC(タッチ)やオンラインショッピングで決済することができるが、この「iD」におけるオフライン取引が問題なのだ。

国内のカード会社が発行するクレジットカードをApple Payなどに登録すると、「QUICPay」または「iD」の決済も可能となるが、多くのカード会社は「QUICPay」であり、「QUICPay」ではそのような不正利用は発生していない。「iD」を登録しているのは数社しかなく、その中の1社がイオンフィナンシャルサービスのイオンカードであり、これが狙われたと考えられる。顧客応対はともかく、システム対応はイオンフィナンシャルサービスではどうしようもない。

なお、イオンフィナンシャルサービスが「メールやSNSでパスワードやセキュリティコードなどの入力を依頼することはありません。万が一、入力画面を開いてしまっても、決してカード情報や個人情報を入力しないようお願い申し上げます」と案内している通り、ワンタイムパスワードも利用者が不正サイトに誘導されて入力してしまえば不正利用被害は発生する。現在、経済産業省とカード業界がECサイトに対して、2025年までのEMV 3D-セキュア対応義務化を進めており、「弊社は3Dセキュア対応しているので安心です」というカード会社は多いが、認証方法によってはEMV 3Dセキュアでも不正利用は発生するので注意が必要だ。