本日、Bリーグチケットのオンライン決済で使用したクレジットカードの不正利用が、当方でも確認されましたので、何かあったときの一助になればと思い、公開します。
1. 不正使用判明まで
2. 当方の対応
3. Bリーグチケット問い合わせ窓口の無関心
4. 考察
5. 経験上の留意点 (4/22 0:30追記)
1.不正使用判明まで
先日、Bリーグチケットを利用した方は、TDLやUSJのチケットのオンラインでの連続購入被害に遭うケースがあり、そこで、以下のような方に被害が及んでいることがわかってきました。
Bリーグチケットにおいて
・クレジット決済にて
・ファンクラブ・ブースターズクラブなどに加入した方。
実は、私はその枠に入っていました。が、その時点では被害はありませんでした。
4月19日夜、沖縄のスーパーでそのクレジットカードで決済しようとしたところ、「電話承認を取るよう」画面にメッセージが出ました。ああ、ついにかなあとか思って、電話しようと思ったのですが、9時~17時でないとダメだろうなあと思っていました(実際には20時までDCカードは大丈夫なようです)。
時間が昼間あったので、21日。発行クレジットカード会社に電話しました。「何か問題が起こっていませんか?」と。するとこういう回答が返ってきました。
「18日と19日に、Uber(いわば「ネットタクシー」サービス)にて国外で25件ほどの決裁記録が上がっていますが、これはお使いではないということですね?」と。ここで不正使用の事実が判明したわけです。Uberは登録していないことはないのですが、セゾンAMEXで登録していましたので、「そのカードでは利用していません」と返答しました。件数が多いため概算で15,000円ほどとのことでした。
2.当方の対応
上記までを回答したところ、DCカードは「不正利用と認めましたので、請求に上がってくることはありません」とのこと。非常にシンプルでした。書面を送るので記載して送り返してほしいということと、番号を変えて再発行が必要とのことでお願いしました。
個人的なことですが、この時「メインのカードは紛失再発行中」「サブカードは持参忘れ」という状況で、ホテルのチェックインをそのクレジット決済で行う予定でしたので、なんとかならないかと尋ねたところ、「今から1時間後に国内でのみ使用可能にしますので、1件使用を確認したら使用停止にしますね」と。なんだかさくさく。
このカードでは、実は、BリーグとるるぶとWAONチャージ以外はしないので、基本的に何が問題なのかは「明確」なのです。
ちなみにもう2枚Bリーグチケットで決済したカードがあるのですが、
・1枚はそれから2か月で2回の再発行をしており、「もう番号が変わっている」始末。なんてセキュリティの高い(コラ
・もう1枚は au wallet でもう残高がない(笑
という安心感。
まあここまではサクサク行きました。
実は問題はこの後なのです。
3.Bリーグチケット問い合わせ窓口の対応
Bリーグのクレジット利用問題で問い合わせ窓口があることを知っていましたので、「不正利用があった事実を記録に残す必要があるのでは」と思い電話をしました。ところが話の途中でかならずしもBリーグチケットの問題とは思わない旨の話を担当者がし始め、「第三者機関が調査しており、分かれば公式サイトなどで結果をお知らせします」とだけの返答が。
いや、まだ被害が出ていて(損害はないけど)そのファイルが必要ないですか?というとしぶしぶ聞いたものの、カード会社もBリーグチケットのアカウント名も聞かない。その上、同じ「第三者機関で…」を繰り返すのみの「他人事」っぷり。
なぜ、問い合わせ窓口をサイトに書いたのでしょうかねえと思い、ついでに、「座席番号を指定しての購入ができない状況で、Bリーグチケット側の問題で216円の追加手数料を取るのは、理解できない」ことを報告してほしい、と依頼して会話を終了しました。
まあ、めんどくさいことになったのに、飄々としていた問い合わせ窓口を疑問に思いました。
4.考察
以上より、
・不正利用はまだ続いている
・心配であればカード会社に番号の変更を含め、相談すると良いと思います。
・Bリーグの窓口の他人事ぶりに相談しない方がよいかもと思いました。
・不正利用の総件数などを知るつもりはないようだ。
と、
・リーグのカード発行会社任せの姿勢が明らかになったことと、
・まだ被害は出る可能性はあるということです。
皆さまも引き続きご注意ください。
5. 経験上の留意点
経験上ですが、不正請求がある場合でも、
(オンラインであっても)請求書を確認をせず引き落としなどがされた場合は、補償されない場合があります。
必ず、請求内容の確認をし、不正な利用があれば問い合わせをしましょう。
また、カード会社によってはまだ不正利用がないカードでも事情を説明すれば紛失扱い同様にカード番号を変えて再発行をしてくれます。
再発行手数料有料であっても無料にしてくれる場合もあります。
再発行までに10日程度かかりますので、それを織り込んで対応するのも方法です。
クレジットカード、券面にお買い物するための情報は印字されてますし、日々、どこぞのサイトでカード情報漏洩、本物そっくりさんの偽サイトやカード情報を盗むウィルスも多種多様のものが出回ってますから、クレジットカード情報は、外部にもれている前提で利用したほうがいいでしょうね。
クレジットカードの不正利用に合わない、あった際の対処の知識を得ていることが大切です。
クレジットカードの管理に落ち度が無ければ、基本的には利用者が金銭的被害を被ることはありません。
クレジットカード会社が店舗からの売上請求を拒否です。(チャージバック)。
これは、店舗がクレジットカードの取扱いにあたり、締結する加盟店契約において、クレジットカードの利用者が確かに本人であることの確認は店舗にその責務があるとしているからです。
不正利用があれば、それは、店舗が本人確認の責務を怠ったということで、クレジットカード会社は売上請求を拒否しなくてはいけません。
店舗がこのチャージバックリスクを回避する唯一の手段は、3Dセキュアと呼ばれる本人確認の仕組みを入れること、店舗が3Dセキュアを入れると、その責務はクレジットカード会社側へ倒れます。(ライアビリティシフトって言います。)
この場合でも利用者は金銭的な被害を被ることは無く、クレジットカード会社がその被害額を補填します。
早期に不正利用を発見し、適切にカード会社へ連絡していれば、その点でカードの管理に落ち度はありません。
※利用明細を確認せず、連絡が遅れるとアウトです。
利用者のクレジットカード管理の落ち度、こちらは本人以外の第三者へ漏洩していないか、ということですが、今のところカード会社で調査しても確認するのは難しい、というのが実情です。
昨年のクレジットカード被害額120億円超、その大半がネットです。
2016年第一四半期で既に37億円、前年同期からは39.6%の増加しています。
クレジットカード情報はサイトに登録しない、登録するのであれば、アカウントがハッキングされてもクレジットカード会社に登録したパスワードが無いと決済できない、3Dセキュア店舗に限定する、3Dセキュアのパスワードは推測されやすいものはNG、定期的に変更する、これを実践していれば、ほぼ、間違いなくカード利用者の落ち度は払拭できるでしょう。
>sophie さん
コメントありがとうございます。
「3Dセキュア」ってわかりにくい方もいらっしゃるので、ここで説明しますと、
決済しようとすると、クレジットカード会員用サイトのID/パスワードを入れるサイトに誘導されるケースがあって
それを入力すると決済完了するという、(totoに典型)そういうサービスですね。
ただ、PCでID/Passが自動で入っていると、これも安全でないということは、認識する必要があります。
本件では利用者については以下の対応が取られているようです。
1)当該取引を控除し、請求時点でなかったことにする
2)当該取引を計上し、抗弁書を提出し処理されるまでの間「リボ払い」扱いとする。
3)引き落とし後、抗弁書で返金対応する。
Pingback: 不正利用:クレジットとデビットカード(口座直結とプリペイド方式)を考える。 | blog @ wolfy
Pingback: Bリーグ(ぴあ)が発表した不正アクセスの内容に違和感を覚えますが、過去のことは取り戻せないので、今後に期待します。 | blog @ wolfy