• クレジットカードのセキュリティコードとは
  • セキュリティコードを悪用されるケースについて
  • 悪用対策について

この記事をご覧になっているということは、このような疑問をお持ちだと思います。

これらについてまずサクッと簡単に説明すると、

▼クレジットカードのセキュリティコードとは
クレジットカード番号とは別にコードを入力してもらうことで、スキミングをはじめとした不正利用のリスクを減らすためのもの
▼セキュリティコードを悪用されるケースについて

店員に盗み見られる、管理がずさん、詐欺や偽装サイトで盗まれる等
▼悪用対策について

怪しいサイトやメールのリンクはクリックしないこと、OSやブラウザのアップデートを行うこと、セキュリティソフトを利用すること等

クレジットカードのセキュリティコードはその名の通り、セキュリティ強化のための番号です。

近年ではスムーズな決済が優先されてセキュリティコード入力を省略するところもありますが、まだまだセキュリティコードの重要性は高いと言えます。

今回は、そんなセキュリティコードについて、悪用されるケースと対策を中心にご紹介していきましょう!

※少し長いので、目次を見て必要な所だけ見るのが良いと思います。

クレジットカードのセキュリティコードについて

クレカ セキュリティコード

セキュリティコードの目的

セキュリティコードの目的は、クレジットカード番号とは別にコードを入力してもらうことで、スキミングをはじめとした不正利用のリスクを減らすことです。

クレジットカードの利用伝票や明細書に記載されることはなく、クレジットカード会員のみが知ることができるため、特にオンライン上での決済時に対策が高いと言われています。

セキュリティコードは、ほとんどのクレジットカード会社では裏面に印刷されており、磁気情報には記録されず刻印もされていない、あえて平面印刷になっています。

クレジットカード本体には、一般的には次のように情報が入っている場所が異なります。

登録場所 内容
クレジットカード表面 クレジットカード名
クレジットカード会員番号
クレジットカード有効期限
名義人の名前
国際ブランド(VISAやJCBなど)
ICチップ
ホログラム(キラキラした金属箔の3次元像。VISAであれば、カード番号の下4桁の部分に鳩の画像のホログラムが入っている)
クレジットカード裏面 セキュリティコード(表面の場合も)
磁気ストライプ(表面の場合も)
顔写真(ない場合も)
本人署名欄
クレジットカードの発行会社情報
海外のATM運営会社
磁気ストライプ クレジットカード番号
クレジットカード有効期限
国際ブランド(VISA、JCBなど)
名義人の名前
ICチップ 磁気ストライプと同じ
暗証番号

このように、各情報が色々な場所に保管されていますね。

セキュリティコードが磁気ストライプに入っていないのは、スキミングでカード情報の一部が盗まれたとしても不正利用されないようにするためです。

セキュリティコードの桁数と印字場所

セキュリティコードの多くは、次のように3桁で裏面に印字されています。

VISAやMastercard、JCBの場合

VISA Mastercard JCB セキュリティコード出典 ZEUS

細かいですが、セキュリティコードの呼び方はクレジットカード会社によって異なることがあります。

例えば、VISAの場合のセキュリティコードはCard Verification Value(CVV2)と呼ばれ、Mastercardの場合はCard Validation Code(CVC2 )と呼ばれています。(JCBは特になし)

いずれにしても同じ役割ですが、表示されるときに違いがあるときもあるということです。

Dinersの場合

Diners セキュリティコード 場所Dinersの場合は、カード裏面の署名欄に記載されているクレジットカード番号の後に記載された3桁の番号になります。

CVV2のような呼び名は、Dinersでは使われていません。

American Expressの場合

アメックス セキュリティコード 場所American Expressの場合は、クレジットカード番号の表面の4桁の番号で、他のクレジットカードとは表示も桁も異なります。

また、セキュリティコードもCard Identification Number(CID)と呼ばれています。

代表的なクレジットカードのセキュリティコードをご紹介しましたが、日本国内すべてのクレジットカード会社がセキュリティコードを導入しているわけではありません。

セキュリティコードを使う場面

セキュリティコードは、インターネット上で安全にクレジットカードを利用するために導入されました。

クレジットカードが普及するとともに増えた不正利用対策として2000年前後に大手クレジットカード会社が導入をはじめました。

一般社団法人「日本クレジット協会」の調べによると、不正使用被害額は次のように平成12年(2000年前後)が非常に多く、そこから被害は少しずつ減ってきていることがわかります。

期間 クレジットカード不正使用被害額
平成9年 188億円
平成10年 216億円
平成11年 271億円
平成12年 308億円
平成13年 275億円
平成14年 291億円
平成15年 271億円
平成16年 186億円
平成17年 150億円
平成18年 105億円
平成19年 91億円
平成20年 104億円
平成21年 101億円
平成22年 92億円
平成23年 78億円
平成24年 68億円
平成25年 78億円
クレジットカード

2桁台でもすごい額ですよね・・・

これまでのインターネット上の決済ではセキュリティコードを求めるところも多く今でも見られますが、大手のショッピングサイトでは導入していないところも増え始めています。

例えば、Amazonでは1クリックで購入できるサービスあるし、楽天市場でもセキュリティコードなしでも購入することができます。

確かにセキュリティコードは安全性を高めるシステムではあるのですが、いちいちセキュリティコードを入力するために財布からクレジットカードを取り出して入力するのは手間になり、購入をやめてしまうユーザーも少なからずいるからです。

とはいえ、Amazonや楽天などの大手では独自にセキュリティ対策を施しているようなので、安心はできるでしょう。

セキュリティコードを悪用されるケースと対策

  • 店員に盗み見られる→ポストイットやシールを貼る
  • 管理がずさん→メモ書きや画像保存をしない
  • 詐欺や偽装サイトで盗まれる→怪しいサイトやメールをクリックしない

店員に盗み見られる

クレカ セキュリティコード 盗み見られる

セキュリティコードはクレジットカードに書かれているため、クレジットカードを預かる店員は見ようと思えば簡単に見ることが出来ます。

これを聞いて、「いや、それって海外の話じゃないの?私は海外に行かないから大丈夫でしょう」と思う人がいるかもしれません。

しかし、実際に日本でも店員にクレジットカードのセキュリティコードを盗み見られたケースはあります。

以前、ヤフーニュースで次のような事件が報じられていました。

アルバイト先のコンビニエンスストアで、客のクレジットカード情報を盗み取り不正利用したとして、男が電子計算機使用詐欺容疑で警視庁に逮捕された。

客から支払時に渡されたカードをひそかにスマートフォンで撮影していたという。

逮捕されたのは東京都台東区浅草橋、元コンビニ従業員、神野大二郎容疑者(29)。
逮捕容疑は2014年9月~12月、当時勤務していた東京都調布市内のコンビニで男性客2人のクレジットカード情報を盗み、その情報を使って電子マネー17万6000円分をだまし取ったとしている。
 警視庁サイバー犯罪対策課によると、容疑を認めており、少なくとも客12人のカード情報を不正利用し、電子マネー50万円分を得たほか、ネットショッピングで70万円使っていたとみられる。
 捜査関係者によると、ネットショッピングでカードを利用する場合、カード番号と使用期限、裏面にある「セキュリティーコード」と呼ばれる番号の三つを入力すれば決済できることも多い。
神野容疑者は、アルバイト先のレジで客がカードでの支払いやポイント加算を求めると、機器が不調なふりをして時間を稼ぎ、カードの記載情報をスマートフォンで動画撮影するなどしていたという。
 警視庁は昨年10月にも、ガソリンスタンドで盗み取った客のカード情報で電子マネーを購入したとして4人を逮捕。

多くの人が普段使うコンビニエンスストアやガソリンスタンドでこういった事件が起きていることから、誰がいつこういった被害に巻き込まれてもおかしくはありません。

対策としては、セキュリティコードをポストイットやシールなどで隠す方法です。

コンビニやガソリンスタンドなどでクレジットカードを使う時には、セキュリティコードを知らせる必要はありませんので、隠すことで盗み見られる心配がなくなります。

ただし、自分が忘れたときのためにすぐ見れるように剥がれやすくしておくことは必要ですね。

管理がずさん

クレカ 管理 人に教えない

家族だからといってセキュリティコードを安易に教えたり、忘れないようにメモ書きや画像保存したりしてはいけません。

このように管理をずさんにして不正利用された場合、管理責任を問われて不正利用の補償対象外になってしまいます。

不正利用の補償には色々と条件がありますが、基本的に補償されるのは自分に非がない場合です。

カードの管理はしっかりしていたのに、どうしようもない理由で不正利用されてしまった場合に限り補償されることをおさえておきましょう。

詐欺や偽装サイトで盗まれる

フィッシング詐欺 クレカ 対策

セキュリティコードを盗み取る代表的な詐欺には、フィッシング詐欺があります。

フィッシング詐欺とは、実在する金融機関や会社を装って偽物の電子メールやサイトに誘導させて、クレジットカード情報やログイン情報を盗み出す行為のことです。

エサで魚を釣るようにしてユーザーを騙す行為なのでフィッシングと呼ばれます。

例えば、大手銀行の三井住友銀行の場合、次のような事例が発生しています。

<ケース1>インターネットショッピングサイトを装うケース

インターネットショッピングサイトを装って、偽の購入が面で会員番号などを入力させます。

ネットショッピング認証サービス(Visa認証サービスやMastercard SecureCode)を装った偽の画面に誘導して会員番号や認証パスワードを不正に搾取します。

その際の対策としては、三井住友VISAカードの表示がされていなかったりと怪しいところがあるので、次の点に気をつけるようにホームページでも説明しています。

  1. 「三井住友VISAカード」のようにブランドロゴが表示されているかどうか
  2. 「パーソナルメッセージ」がVpass(ウェブサービス)に登録したハンドルネームか確認
  3. VpassのIDを入力させることはない

三井住友銀行 フィッシング詐欺 対策

出典 三井住友銀行

<ケース2>ポータルサイトを装ったフィッシングメールを送信するケース

実在するポータルサイトを装ってメールを送信して、「今後も〇〇サイトをご利用いただくためには、ユーザーアカウント継続手続きが必要です。」のように偽のホームページに誘導します。

そこで、セキュリティコードを含む個人情報を不正に搾取する手口です。

こうした場合の対策としては、三井住友銀行の公式ホームページかどうかをしっかり確認することが大切です。

また、OSやブラウザ・メールソフトのアップデートをしっかり行い、セキュリティソフトを利用することもオススメします。

<ケース3>銀行やカード会社を装って電話やメールがくる

銀行やカード会社を装って、「あなたのカードが不正に使用されています。至急カードを停止しますので、会員番号や有効期限、暗証番号、セキュリティコードを教えてください」のようにして、個人情報を不正に搾取する手口です。

この場合の対策は、電話やメールで個人情報を聞くことはないと知っておくことしかありません。

もし個人情報を教えてしまった場合は不正利用される可能性があるので、すぐにクレジットカード会社に連絡しましょう。

現在のカードをストップさせて、新しいカードの発行などの対応をしてくれるはずです。

以上をまとめると、フィッシング対策としては次のようになります。

  • 怪しい入力画面には絶対に個人情報を入力しないこと
  • 身に覚えのない認証メールのリンクはクリックしないこと
  • OSやブラウザ、メールソフトなどのアップデートを常に行うこと
  • セキュリティソフトを利用すること

また、日本国内で発生しているフィッシング詐欺の最新情報を収集して注意喚起をしているフィッシング対策協議会のホームページも参考になりますので、是非チェックしてみてくださいね!