こんにちは、yumiです。
昨年10月、ついに日本でも使えるようになったApple Pay。最近は使える店舗も増えてきていますね。
しかしサービス開始から約半年後の今年3月、国内で初めてApple Payを利用した詐欺事件が発生。
セキュリティには強いはずのApple Payですが、どのようにして不正利用されてしまったのでしょうか?
被害額は400万円以上
今年3月、Apple Payに他人のクレジットカードを登録し、大量の商品を購入したとした詐欺容疑で中国籍の被告(29)が先日起訴されました。
被告は今年3月、埼玉県のコンビニで他人のクレジットカードが登録されたApple Payを使い、たばこ981カートン(約445万円分)を購入したとのこと。
そもそもApple Payは1回の決済上限が2万円となっているのですが、被告は
- 中国籍の男女3人で
- 2台のiPhoneを使って
- 約10時間に渡り
- 決済を704回(未遂分も含む)繰り返していた
そうです。
被告らを対応したコンビニの店長は「中国人の爆買いだと思った」と不審には感じなかったよう(しかしコンビニって981カートンも置いてあるもんなんですね…)。
犯行に使われた2台のiPhoneには、それぞれ「神奈川県の男性」と「埼玉県の女性」のクレジットカードが登録されており、カード会社が県警に相談したことで事件が発覚したそうです。
さて、ここで気になるのがどうやって被告が他人のクレジットカードをApple Payに登録できたのか…ですよね。
Apple Payにクレジットカードを登録するには、
- クレジットカード番号
- セキュリティコード
- SMSや電話で受け取る認証コード
が必要です。
カード番号やセキュリティコードはカードを見れば簡単に分かるものですが、3つ目のSMSや電話で送られてくる認証コードは本人でないと受け取れないはず。
捜査関係者によると被告は、「「携帯電話の持ち主が変わった」とカード会社に連絡し、認証コードをカードの本当の名義人とは別のメールアドレス(SMS)に送らせていたんだそうです。
photo credit: Credit Cards via photopin (license)
これは完全にカード会社の過失。カード会社はApple Payユーザーを獲得しようとするあまり、本人確認が甘くなってしまったのかもしれませんね…。
Appleが作り上げた強固なセキュリティも、こういった過失があれば簡単に不正利用されてしまいます。さらに今後、ユーザーが増加するにつれ同様の手口は繰り返されることも考えられます。
カード会社には再発防止のため、ユーザーのセキュリティ確保に尽力していただきたいですね。
