Cacco・リンクの最新「キャッシュレスセキュリティレポート」より
クレカ不正利用“555億円”の裏側 闇バイトでフリマ架空出品 ふるさと納税やサブスクもターゲットに
2025年10月13日 08時00分更新
年々増え続けるクレジットカードの不正利用。その被害額は555億円に達し、特にECサイト側での対策強化が急務とされている。
ECサイト向けの不正検知サービスを提供する「かっこ(Cacco)」と、クレジット産業に特化したクラウドサービスを提供する「リンク」の2社は、2025年10月2日、年次の「キャッシュレスセキュリティレポート」の2025年版を公開した。
同レポートでは、2024年の国内におけるクレジットカードの「情報流出」や「不正利用」の概況、対策のひとつである「EMV 3-Dセキュア」導入後の変化などをまとめている。
レポートの責任者を務めたYSコンサルティング瀬田陽介氏の解説を交えて、本レポートのハイライトを紹介する。
キャッシュレスセキュリティレポート2025
カード情報流出:減少傾向も「流出規模」と「流出期間」が拡大
まずは、2024年のクレジットカード(ブランドデビットカードなどを含む)情報流出事件の概況だ。Caccoとリンクは、公開情報を基に毎年、事件の統計をまとめている。なお、事件の大半が、ECサイトをターゲットとしたサイバー攻撃による被害である。
情報流出の「事件数」自体は2021年から減少傾向であり、2024年は前年と同数の37件となった。一方で、カード情報の「流出数」は、前年からわずかに増加した。
2023年と大きく違いが生じたのが「流出規模」と「流出期間」だ。2024年は、「1万件以上」のカード情報が流出した事件の割合が、前年の約1割(13.5%)から約4割(40.5%)へと大幅に増加。また、流出後「1年以上」経って発覚した事件の割合も、前年の約半数(48.7%)から約8割(83.7%)と上昇している。
国内のカード情報流出事件の発生状況
加えて、「流出の発覚経緯」について、これまでは「カード会社・決済代行事業者からの通知」が8割から9割を占めていたが、2024年は、3分の1以上(35.1%)が「警察からの連絡」により発覚している。「警察から指摘された事案は、おそらく2021年に発覚したソフトウェア(EC-CUBE)の脆弱性を突いた攻撃。警察がどのような切り口で調査しているのかも垣間見える」と瀬田氏。
警察による指摘をきっかけとした流出発覚の増加
なお、2025年3月に経済産業省が公表した「クレジットカード・セキュリティガイドライン【6.0版】」では、カード情報流出に対する脆弱性対策を以下のように挙げており、原則すべてのEC加盟店に対策を義務付けている。
・システム管理画面のアクセス制限と管理者のID/パスワード管理
・データディレクトリの露見に伴う設定不備への対策
・Webアプリケーションの脆弱性対策
・マルウェア対策としてのウイルス対策ソフトの導入、運用
・悪質な有効性確認、クレジットマスターへの対策
クレジットカードの不正利用:高止まりする被害、不正注文は「ふるさと納税」や「サブスク」もターゲットに
続いては、2024年のクレジットカード不正利用の概況だ。カード情報流出とは異なり、こちらは過去最悪を更新し続けている状況だ。
2024年の不正利用被害額の合計は「555億円」となり、前年と比べて23.9億円の増加。5年間でみると約2倍に急増している。不正利用の発生率は2.5%で、こちらも5年間で1.5ポイントも増加した。「特殊詐欺の2024年の被害額が約700億円で、クレジットカードの不正利用もそれに次いで多く、警察も看過できない状況」(瀬田氏)
クレジットカード不正利用の被害額と発生率の推移
特徴的なのは、被害の9割以上(514億円)が、カード番号のなりすましによる「番号盗用」である点だ。「カード情報流出のメインもECサイトへの攻撃であったが、不正利用の主戦場もECサイト。カード番号をなりすまして買い物ができるECサイトに集中している」と瀬田氏。
カード情報流出が減少を続ける一方で、不正利用額が増え続けているのはなぜか。それは、カード情報の“入手経路”が変化しているからだ。
現在、メインの手口になっているのが、消費者から直接カード情報を窃取するフィッシング攻撃。加えて、カード番号の規則性を利用して、有効なクレジットカード番号を大量に生成する「クレジットマスター」という手口も増加。こうして収集されたカード情報は、ダークウェブなどで他の犯罪者に販売される。
カード情報の入手経路の変化
フィッシング攻撃に関しては、2024年、情報窃取に特化したマルウェア「インフォスティーラー」に感染させるメールが、前年比で84%増加した。これに感染すると、ユーザーの自覚がないままカード情報が抜き取られる。さらに、フィッシングやダークウェブでログイン情報さえ入手できれば、アカウントに紐づいたカード情報を不正利用されてしまう恐れもある。
ECサイトの不正注文では、高リスク商材とよばれる「デジタルコンテンツ」「チケット」「家電」などが狙われやすい。特にオンラインゲームや動画配信などのデジタルコンテンツは、即時性と換金性の高さから、不正注文の検知数ランキングで3年連続して3位以内に入っている。
なお、2024年に新たにランクインしたのが、「ふるさと納税」と「サブスクサービス」だ。ふるさと納税については、保存しやすい酒類や小型家電などの返礼品が狙われており、サブスクサービスについては、家電やカメラなどの高額レンタル品の窃取が確認できているという。
不正注文に狙われやすい商材ランキング
また、不正購入した商品の転売や現金化には、フリマサイトなどのCtoCマーケットを悪用する傾向が続いている。近年では、「闇バイト」により、一般人がフリマサイトの出品役や購入役などを役割分担して、架空出品の取引でカード情報を不正利用するケースも発生している。「カード情報を盗む人、不正利用をする人など、(カード犯罪が)分業化されるようになったことが、過去最悪の被害額につながっている。要は、カード情報の流出を止めるだけでは、不正利用は減らない」(瀬田氏)
フリマを悪用したケース
瀬田氏が指摘するとおり、クレジットカードの不正利用を防ぐためには、決済のタイミングだけ対策していても不十分だ。決済前の不正ログイン対策が必要であり、決済後も、ブラックリストの住所には送付しないなどの対策が考えられるだろう。
このように、販売プロセスの場面ごとに対策を考える「線の考え方」が、前述のクレジットカード・セキュリティガイドラインで示されている。さらに、すべてのEC加盟店に対して、決算前の不正ログイン対策と決済時の「EMV 3-Dセキュア」の導入を義務化している。
不正利用対策
