先月7月末にカードが不正利用された。犯人はわからないが、使った覚えのないデビットカードとクレジットカードが使用された旨メールで連絡が来た。不正を知らせるメールではなく ( そんな便利なメールサービスはこの世に存在しない )、通常のカード利用のお知らせメールだ。
しかし自分は当該日にカードなど使用していない。慌ててカードの停止手続きを行ったが、すでにデビットカードは 15k、クレジットカードは 60k ほど使われていた。デビットカードは JR 東日本のみどりの窓口 ( 物理的なカードがなくてどうやって? )、クレジットカードはヨーロッパで航空券を購入するのに使われていた。
もしもに備えて利用限度額を低く設定してたので、とんでもない被害額にはならなかったし、被害金額はもちろんカード会社が補償制度に従って保証してくれた。しかしデビットカード不正利用分が返金されるのは早くて 3 ヶ月後なのがつらい。
カード会社いわく返金の手続きに警察の被害届の番号が必要になるかもしれないと言われたので、翌日に地元警察署に相談に行った。担当してくれた人は丁寧に対応してくれた。
そのときに担当者に教わったのだが、こういったカード不正利用の場合の被害者は、警察の手続き上カード所有者ではなくカードを利用された店舗等になるらしい。なので届けとしては被害届ではなく相談届 (?) になるらしい。なのでカード会社に知らせるのは被害届の受理番号ではなく相談届の受理番号になるということらしい。
また相談中に、直前に所用で東京に行きカードを使っていたのでスキミングにあったのかも、と言ったところ、なんでも最近の傾向としてはスキミング被害はほとんど無く、もっぱらマルウェアによるスマホからの漏洩が圧倒的とのことで、スマホにセキュリティソフトを入れるように勧められた。
自分の行動様式からスマホにセキュリティソフトはバンドルされているものだけでよいか、と考えていたが、パソコンと同等のものを入れることを勧められた。
警察署を出るとその足で携帯ショップに出向いた。携帯の支払いを止めたクレジットカード払いにしていたし、ついでにセキュリティ・ソフトの相談にも乗ってもらおうと思ったからだ。
まぁトレンドマイクロかシマンテックを選ぶことになるのだろうと思っていたら、なんだか特典付きになっていて月々の支払いに分割して含めることができるということで、シマンテックを入れることに。携帯の月々の支払いもカード払いではなく銀行引き落としに変更してもらった。
その次はキャッシュカード兼デビットカードの再発行手続きに銀行に出向いた。
その場で古いキャッシュカード兼デビットカードにハサミを入れてもらったのはいいが、新しいキャッシュカードが届くまで窓口で手続きしないと口座内の現金に一切手を触れれなくなった。
自分の口座は通帳を持たないタイプの口座なので当然窓口で現金を下ろすことができない。文字通り現金は数字だけの存在となった。昨日 2 日にキャッシュカードがやっと届いて、やっと口座内の現金を手にすることができるようになった。
今回のデビットカード情報とクレジットカード情報の漏洩原因でスキミングとマルウェアによる漏洩を除くと 1 つだけ心当たりがあった。
最近アーバン・ベアという東京大学出版会から出版されているわりとお高い本を購入したいと思っていて、たまたま Google で検索して半額以下で中古本を売っているサイトを見つけたのだけれど、そこでカード情報を入力している。
そこしか考えられないので、後で whois で調べたら、サイトドメインの登録者が怪しい中国人でサーバーも中国にあった。まず間違いなくこれだろう。
自分はもともと IT の専門家のはしくれでセキュリティにもうるさかったはずなのに、非常に初歩的なフィッシングに引っかかってしまったのだ。
サイトとの通信は SSL で暗号化されてはいたものの、Verisign 等のステッカーなどもない。SSL 暗号化通信を導入していても安全ではないことなど自明であったはずなのに、何も考えずにカード情報を入れてしまい、カードが使えませんなんて正規のカード会社のページと同じページが表示されることで別のカード情報までむざむざと明け渡してしまった。
4 千円を超える本が 2 千円より安い価格で買える、という買うなら今のうちという「欲」が、普段なら使ったことがないサイトでは必ず whois で確認したり、安全なサイトか念入りに調べるという普段とっている行動を妨げる結果になってしまった。
つまり「我欲」が不信なサインを見る眼を曇らせてしまったことにより発生した起こるべくして起こった被害だといえる。
今後の対策としては、SSL を使っているからと言って信用しない、初心に還りサイトの信頼性チェックを時間をかけて行う、Verisign などのステッカーがない初見の EC サイトは使わない、お得感がなくても信頼済みサイトから購入する、など普段冷静なときにとっている行動を粛々と行うことが必要だ。
もっとも重要なのは我欲に飲まれているあいだはキーボードに触らないということだ。
欲は敵だ!!
ということを改めて肝に銘じたい。