今年3月、埼玉県でスマホ決済でたばこを大量に詐取しようとしたとして男が捕まったとのニュースが流れました。
店内でスマホ8時間操作…たばこ大量詐取未遂、容疑で3人逮捕/県警ー埼玉新聞
このニュースで報じられた「スマホ決済」とは何だったのか、個人的には気になっていましたが、そのときはサービス開始したばかりの「LINE Payのバーコード決済か?」と思っていました。
実はこれはApple Payの不正利用だったらしい
その後時が経って忘れていたのですが、今日付で共同通信が配信した英語記事「Apple Pay used in fraudulent ¥4.45 million cigarette-buying spree in Saitama」によると、これは中国人によるApple Payの不正だったようです。
記事にもありますがおそらく、日本国内でのApple Payの不正利用が報じられたのはこれが初と思われます。
盗まれた実在のカード情報で、Apple Payにカードが設定された?
Apple PayにiOSのWalletアプリを通じてクレジットカードを設定するには通常、カード番号、名前、有効期限やCVV2などの物理的なカードに記載された情報を用いたCard Presenceの確認に加え、カードのアクティベーション時にSMSやEメールを通じて通知されるワンタイムコードによる認証、コールセンターでの認証、あるいはイシュアアプリ上でのID/パスワードによる認証など物理的なカードに記載された以外の情報を用いたID&Vが用いられます。
iOSのWalletアプリから以外にも、一部イシュアが提供するアプリからカードの設定を行うこともできます。
記事によると今回は、本来予め登録されている携帯電話番号やEメールアドレスにしか送信しないワンタイムコードを、カード会社に対して新たな別のメールアドレスに送信するよう依頼をしていたようです。
カード会社が登録メールアドレスを変更する際の本人確認は果たして十分だったのか?という疑問は残ります。
981カートン、445万円相当の被害?
最初のニュースでは、たばこ3,100カートン(1,500万円相当)をだまし取ろうとしたとの容疑が報じられていますが、今日の報道では981カートン、445万円の決済をiPhone 7s で行ったと報じられています。
実際には1日で終わらず、後日再度続きを行おうと来店した際に逮捕されたとありますので、最終的には1,500万円相当まで被害が拡大していたおそれがあります。
10時間以上にわたり、2万円/回の決済を704回も繰り返す
さらにこの埼玉県のケースで異様なのは、1回当たり2万円の決済上限があるため、704回も決済を繰り返したとあることです。
1回当たり2万円の上限は、国内のApple Payで利用されているiDとQUICPay(QUICPay +)のうち、恐らくQUICPayの制約によるものと思われ、不正に利用されたのはQUICPayに対応したイシュアのカードだったのではないでしょうか。
たばことコンビニとクレカの組み合わせの不正は多い
換金性の高いタバコカートンを偽造クレジットカードで買い転売で利益を得るという手口は以前からの常套手段で、タバコのカートン買いはクレジットカードでは使えない店舗が多いのはそのためです。
そのような中で、今回のようにクレジットで大量のカートン買いが行われたというのは、コンビニチェーン本部のFCに対する指導の甘さも指摘するべきかもしれません。
実際、昨年同様にクレジットでたばこ大量購入の不正利用が報じられたケースは、特定のコンビニチェーンが狙われたようです。
偽造カードでたばこ大量購入事件、特定のコンビニ狙う?ー朝日新聞
運用やシステムの徹底がされていない加盟店はこのような不正に狙われるリスクが高くなります。
インバウンド拡大と不正利用への備え
今回のケースは、被害に遭ったカード会社のApple Payにおける本人確認手順の脆弱性や加盟店運用の不手際等が重なったものかもしれませんが、外国人を中心とした犯罪集団による不正利用への備えが業界に更に求められるかと思います。
また、我々利用者の側も、クレジットカードの管理には注意を払うと同時に、本人認証に用いるIDやパスワードの使い回しを避ける、認証試行を知らせるメールなどの通知はしっかりと確認するなどの対策を行うことが重要です。
