(IT) またしてもVISAデビットで不正利用された


昨年6月に楽天デビットを不正利用されたことがあったが、またやられた。
楽天よりも勝手に信用していたsmbcデビットでやられてしまった。
楽天がやられてからsmbcデビットに切り替えてネット決済(AmazonやSuicaチャージ)で使っていたが、今年の春から決済を別のカードへ集約したので、3月からはsmbcデビットは使っていなかった。

9月27日の引き落としに向けて9月23日に口座の残高確認をしたら、なんか5万円近く想像よりも少ないので、どうなってんだ、これ?と思って入出金明細を見たら、VISAデビットで使われたらしい形跡が。

1557円でカードの有効性を確認した後で、15000円前後の金額を3回をデビットで使われていた。まったく身に覚えがない。ご丁寧に1557円はご丁寧に返金されている。
使われた日から数日は、この画面(三井住友銀行の口座の入出金明細)ではどの加盟店で使われたのかはわからない。Vで始まる7桁の番号しか表示されないからだ。
smbcデビットカードというサイトがあってそこでも明細が見られると三井住友のサイトに書いてあったので、会員登録して見てみたら、1557円はGAP、その他3回の合計44,513円はiHerb.comというところで使われたということが判明。

とりあえず、その場でsmbcデビットには不正利用の連絡をした。不正利用と判明したら2週間で返金します、とのこと。思ったより時間がかかるなあ、とは思ったものの楽天デビットの時には警察へ言って書類もらって来い、みたいな面倒なこともあったので、電話だけで返金の手続きしてくれるなら、待ってみるか、的な。

そんな話をtwitterに書いたら、見ず知らずの人からこんなDMが来たりして。この人もGAP+iHerbでsmbcデビットを不正利用されたとのこと。

押さえでiHerb側にも窓口( verify@iherb.com )があったので、クレーム。しかし、この窓口日本と時差がある地域で対応しているらしく、メールの返信が来るのが23時とか24時とか。数回やり取りしたが、調査しますの一点張り。

9月29日になってsmbcデビットから「【SMBCデビット】ご利用額確定のお知らせ」というメールが来たので、smbcデビットの会員サイトで確認したら、3件合計44,513円が返金されていた。

こちらの明細では発生日にキャンセルされているように表示されているが、銀行口座の方の明細では返金されたのは9月29日づけになっていた。

このタイミングで銀行口座の入出金明細画面でも加盟店としてiHerbの名前は表示されるようになっていた。GAPは相変わらず表示されない。
「利用時にメールが来ないから不正利用に気づくのが遅れたじゃんか」とクレームしてて、その折返しの電話がちょうど来たので、返金があった旨お伝えして、確認したら、
・GAPの返金はGAP側からのキャンセル
・iHerbの返金はsmbcデビット側の「利用者保護」観点でのキャンセル
とのことだった。メールもSMSも来なかったのは、smbcデビットの会員登録をしてなかったから、ということも判明。そんなん知らんがな。というわけで、口座開設時の同時のデビットも申し込んだら、会員サイトにも登録しないと素早く明細が確認できないという仕様のようだ。

というわけで、楽天デビットでは警察まで行って書類を取得しないと返金されなかったが、smbcデビットは電話だけで1週間で返金となったので、まあ、よしとするか。いや、不正利用自体がよくない。余計な手間がかかるし。
そして、smbcデビットの場合は任意である会員登録をしておかないと、利用時の確認メールが届かないこともわかった。
これ、知らないで不正利用に気が付かない人、いるかもなーと思ったわ。

(IT) デビットカードを不正使用された


6月11日の朝起きたら、夜中にデビットカードで1663円買い物した、みたいなメールが来ていた。デビットカードは使ったタイミングと口座から引き落とされたタイミングがずれることがあるので、Webでの明細に加盟店名が表示されてから判断しようと思っていったん静観とした。
その後翌日にも28円が引き落とされており、なんだかザワザワしてきた。
加盟店名が表示されるようになったが、「X-1R CORPORATION」というまったく覚えのない会社名。

ググってもエンジンオイルの添加剤関連のページか日産チェリーX-1R関連のページがヒットするばかりでオレが何か買い物をするようなページは発見できなかった。クルマないしな。

少額決済してバレなかったらしばらくして大きく使うというのが不正利用の手順としてあるのは知ってたので、明細を見ても覚えがなかったことから、このタイミングで発行元の楽天銀行に電話して事情を説明したら、

  • デビットの番号を無効にするために、キャッシュカードの無効化と再発行します
  • 銀行の口座番号は変わらないけど、16桁のVISAデビットカードの番号は変わります
  • 被害額の補償については、調査後となるので、依頼用の書類を送ります
  • 必ず警察に行って相談して、「受理番号」をもらってください。

とのことだった。カードの無効化はこの電話で完了、再発行はWebからやったら数日で新しいカードが届いた。
調査依頼用の書類も届いたので、もろもろ記入して最寄りの警察署へ相談に行って受理番号を発行してもらえた。
簡単なヒアリングがあって、最後に職業は?と聞かれた時に「自営です」と答えたら「飲食?」って聞かれたのはデビットカードの利用明細にカクヤスが入ってたからかな笑。
というわけで、調査依頼書をカード会社へ郵送して結果を待った。

7月13日に銀行から電話があって送った書類の内容を確認された。
調査の結果、不正利用と判定されれば、1ヶ月後くらいで返金されるらしい。
「お金を取り返したいというよりも、誰がやったのかを知りたい」と伝えたが、「捜査機関ではないので、多分そういうことにはお答えできないと思います」とのこと。電話の人にわーわー言ってもしかたないので、しかたなく電話を切った。

8月15日になって楽天銀行から書留で「同意書」が送られて来てサインして返送すれば返金されるとのこと。

サインして返送しておいたので、そのうち返金されるのあろう。
結果として、不正利用であることは認められており、少額ではあるが、返金されるとはいえ、なんとも後味の悪い処理だった。
この少額を見逃していたら、もっと大きな金額の被害があったのだろうか。
使ったのは、Suicaのチャージ、カクヤスの支払い、くらいで、Amazonでは使ったことがあったかな、程度で頻度は高くない。
リアル店舗での支払いで使ったこともなければ海外で使ったこともない。番号が流出するリスクは最小限だったはずだ。
利用のたびに来るメール、それまではちょっとうざいと思ってたけど、こういうことあると、確かに必要だし意味があると思うようになった。
楽天銀行だから起こることなのか、ネット取引の情報がどこかで漏れたのか、やみくもに出した決済のキューでたまたま番号がヒットしたのか、どこから番号が漏れたのかは結局よくわからない。というわけで、通常のクレジットカードではなく、デビットカードでも不正利用は発生すること、決済メールは必ず確認することの重要性を共有しておく。