イオンカードの不正利用問題とは？

イオンフィナンシャルサービスは3月13日、同社が発行するクレジットカード「イオンカード」の不正利用が発生し、総額99億円にのぼる損害が確認されたと発表した。被害に遭ったのは数万人に上るとみられ、同社は2025年2月期の連結決算において、特別損失として99億円を計上する方針を明らかにした。

会見で白川俊介会長兼社長は「不正利用の広がりを迅速に抑止できず、被害に遭われたお客さまへの対応を大幅に遅延させたことを深くおわびする」と陳謝した。イオンフィナンシャルサービスは被害者への補償を進めており、現在は新たな被害はほぼ発生していないと説明している。

被害の手口は「オフライン取引」悪用

今回の不正利用では、クレジットカードの「オフライン取引」機能が悪用された。オフライン取引とは、通信が遮断された状態でも一定額以下の決済が可能な機能で、店舗の通信障害時や電波が届かない場所での決済手段として利用される。

イオンフィナンシャルサービスによると、犯罪グループは「Apple Pay iD」などの非接触決済サービスに盗まれたカード情報を登録し、機内モードなどで通信を遮断した状態で少額決済を繰り返す手口を用いたという。こうしたオフライン取引は一定金額以下であれば即時承認されるため、不正利用が検知しにくいという特徴がある。

不正利用が急増する背景とは？

日本クレジット協会によると、2021年のクレジットカード不正利用額は前年比30.5％増の330億円に達し、21年ぶりに過去最悪を更新した。翌年の2022年には400億円を超えたと推定される。特に「番号盗用」による不正利用が増加しており、被害額の約9割を占めるという。

番号盗用の主な手口は以下の3つだ。

1. フィッシング詐欺：カード会社やECサイトを装ったメールやSMSで偽サイトに誘導し、カード情報を盗み取る手法。
2. クレジットマスター：無作為にカード番号や有効期限の組み合わせを試し、取引を成立させる手口。
3. 不正アクセス：加盟店や決済代行会社へのサイバー攻撃により、カード情報を盗み取る方法。

イオンカードの不正利用も、フィッシング詐欺で得た情報が悪用されたとみられる。

イオンフィナンシャルサービスの対応と特別損失の計上

イオンフィナンシャルサービスは、今回の不正利用により99億円の特別損失を計上すると発表した。さらに、同社は2025年2月期の業績予想を修正し、営業利益や経常利益は上方修正されたものの、純利益は約11％減の18億7,000万円に下方修正された。

被害防止策として、以下の取り組みが強化されている。

• 3Dセキュアの導入：オンライン決済時の本人認証強化
• 24時間365日の異常検知モニタリング体制：AIによる不正取引の即時検出
• 関係団体との情報共有の強化：不正利用の最新手口情報をカード会社間で共有

消費者ができる自衛策

イオンカード利用者を含むすべての消費者は、次のような対策を講じることで、不正利用のリスクを軽減できる。

1. メールやSMS内のURLはクリックしない

フィッシング詐欺の多くは、メールやSMSに記載された偽サイトのURLをクリックすることで被害が発生する。信頼できる公式サイトやアプリからのログインを習慣づけるべきだ。

2. カードの利用明細をこまめに確認

少額の不正利用は発見が遅れやすいため、カード利用明細の定期的なチェックが重要だ。身に覚えのない利用履歴があれば、すぐにカード会社へ連絡するべきだ。

3. パスワードやIDの使い回しを避ける

複数のサイトで同じIDやパスワードを使用していると、情報漏えい時に被害が拡大するリスクがある。複雑なパスワードの設定や、パスワード管理アプリの活用が推奨される。

まとめ

今回のイオンカード不正利用問題は、消費者の安全意識が問われる事態となった。イオンフィナンシャルサービスは補償と再発防止策を進めるが、消費者自身も「メールのURLは開かない」「利用明細の確認」など、日常的な対策を徹底することが重要だ。

今後もクレジットカードの不正利用手口は巧妙化することが予想される。最新の防衛策を把握し、安心してキャッシュレス決済を利用できるよう心がけたい。

【参照】特別損失の計上、連結業績予想の修正及び個別業績見込みと前期実績との差異に関するお知らせ（イオンフィナンシャルサービス）