イオンカード不正利用　iD・バーチャルカードのシステムの抜け穴をつく巧妙な手法が話題に　ヤバすぎる

イオンカード不正利用　iD・バーチャルカードのシステムの抜け穴をつく巧妙な手法が話題に　ヤバすぎる

　「（クレジットカードの不正利用が）非常に特殊な手口で行われていた」

　イオンフィナンシャルサービス（FS）取締役兼常務執行役員の三藤智之氏は1月9日、決算説明会でそう述べた。

　クレジットカード「イオンカード」を手掛けるイオンFSは、2025年2月期の第3四半期（9～11月）に28億円の特別損失を計上した。イオンカードの不正利用が相次ぎ、一部被害金額の補償費用として巨額を投じる必要があったためだ。

　「カードを止めたのに不正利用が止まらない」。24年夏ごろ、SNSを中心にイオンカードの不正利用に対する悲鳴が相次いだ。利用明細などを見て不正利用に気づいた消費者がイオンFSにカードの停止を求めても、なぜか不正利用が続くという事態が起きたのだ。犯罪グループは、ある「特殊な手口」を用いて、カード会社の不正対策の抜け穴を突いていた。

　悪用されたのはNTTドコモが運営する非接触決済システム「iD（アイディ）」だと見られる。iDはタッチするだけでクレジット決済ができて、通信圏外でも利用が可能になっている。犯罪グループは不正に入手したクレジットカードをiDの（カード番号や期限などの情報をオンライン決済に使う仕組みである）「バーチャルカード」としてスマホに登録した上で、機内モードなどに設定して通信を遮断し、少額の決済を繰り返したと見られる。

　消費者からカード停止の依頼があった場合、通常はカード会社がスマホにアクセスし、iDカードの無効化を試みる。しかしスマホを機内モードなどに設定されると、こうした遠隔操作による無効化は不可能だ。

　加えて、各カード会社が定める基準を下回る少額の決済では、カード会社が決済の可否を判断する「オーソリゼーション（信用承認）」というオンライン手続きがスキップされる場合がある。決済端末のICチップに埋め込まれている内容などにのみ基づいてオフラインで処理が完結するため、「オフライン取引」と呼ばれている。

　犯罪グループはここに目をつけた。消費者がカード会社に利用停止を依頼しても、オーソリゼーションが発生しないオフライン取引では、カード会社が介入する前に決済が成立してしまうのだ。

●「ネガリスト」活用も不十分

　もっとも、カード会社による対抗手段は他にもある。停止依頼のあったカードをリスト化した「ネガリスト」を、NTTドコモ経由で店舗の決済端末に配信するのだ。ネガリストに登録されているカードが使われると決済を拒否し、そのままカードの利用停止まで進む。これならオーソリゼーションのない取引でも不正利用を防止できる。

　しかし、実際はネガリストの活用が不十分だったもようだ。不正利用が多発したことでカード会社やNTTドコモの対応が一時的に間に合わなくなったのだ。

　主な原因と見られるのはネガリストの制限だ。ネガリストは決済端末ごとに登録できる数の上限が決まっており、カード会社ごとにその枠を分け合いながら運用している。上限を超えると古いデータは削除されてしまうので、本当に止めるべきカードはどれなのか精査する必要がある。

　ある関係者は「これまでは遠隔操作の無効化で対応するのが一般的だったところに、ネガリストの依頼が大量に生じた。カード会社とNTTドコモの間のシステムが制限容量を超えてしまい、カードを止めても不正利用が止まらないという事態につながってしまった」と明かす。

SNSの反応をまとめました

基本的にNTTドコモ iDのApplyPayの通信不可時（機内モード）の問題でどのカードでも。ただ、イオンカードは不正利用対応が緩く、フィッシング多発し総当たりも。でも実店舗利用で犯人捕まらないってNTTドコモがボケ。

イオンカード、不正利用で特損28億円　ドコモのiD悪用か https://t.co/urgXicqqeC

— ヒコウ技術者 (@kusawake) February 11, 2025

iD悪用ならドコモや三井住友も悪用されてるはずなのになぜイオンカードだけ不正利用が多いのか

— くまなら (@kumanara) February 11, 2025

イオンカードが不正利用されていた仕組み

イオンカード、不正利用で特損28億円　ドコモのiD悪用か（日経ビジネス）#Yahooニュース
https://t.co/zVWtEQjtcq

— スーパーニート (@engineer_fin) February 12, 2025

イオンカード、不正利用で特損28億円　ドコモのiD悪用か(日経ビジネス)#Yahooニュースhttps://t.co/rdY0YQkSlX　またドコモか
他と違うことやろうとすると、そこを抜け道として利用される　日本決済システムの弱さが浮き彫りになったなぁ

— ケッツアール (@lain4125) February 11, 2025

イオンカード、不正利用で特損28億円　ドコモのiD悪用か(日経ビジネス)https://t.co/2BTaerh5Lz
またdocomo系の脆弱性か…
dポイントといい、雑やなぁ

— ファリオス (@farioss_komi) February 11, 2025

みんな気を付けてな(´•ㅅ•`)
イオンカード、不正利用で特損28億円　ドコモのiD悪用か(日経ビジネス)#Yahooニュースhttps://t.co/tkvmwaf0G2

— 夏樹ともも@牡丹 りんゅえ (@fleambb) February 12, 2025

不正防止間に合わないってアナログ世界かよ。

「不正利用が多発したことでカード会社やNTTドコモの対応が一時的に間に合わなくなった」

イオンカード、不正利用で特損28億円　ドコモのiD悪用か(日経ビジネス)#Yahooニュースhttps://t.co/VRPlzyeUU7

— 圏塵噸 (@77bluemonday) February 12, 2025

「カードを止めたのに不正利用が止まらない」。24年夏ごろ、SNSを中心にイオンカードの不正利用に対する悲鳴が相次いだ。https://t.co/DRyOW6wcFx

— TOS2000 (@tos2000m) February 12, 2025

イオンカード、不正利用で特損28億円

手口をみると、「iD」のシステムに脆弱性があって、そこが狙われた感じですね。
NTTドコモはd払いで大きな被害を発生させた時もシステムの脆弱性を突かれた感じ。

ドコモって金融には弱いのかな～というのが印象です。https://t.co/ZCoNDS5xZa

— Mars50 (@MarsMars50) February 11, 2025

参照：https://twitter.com/MarsMars50/status/1889450507456094535