近年、クレジットカードの不正利用被害が社会問題化しています。2024年の被害総額は555億円と過去最高を記録。その後、2025年は510億円(前年比8%減)と初めて減少に転じましたが、依然として年間500億円超という高水準が続いています。
この減少の背景には、2025年3月末に実施されたEMV 3-Dセキュアのすべての国内ECサイトへの義務化があります。業界全体の取り組みで被害は減り始めたものの、攻撃者も手口を変化させており、油断は禁物です。
被害者の多くは「自分は大丈夫」と思っているケースが大半です。
私はセキュリティ業界に20年以上携わり、CISA・RISS資格も保有しています。現場では「攻撃者は常に最も弱いところを狙う」という原則を繰り返し目にしてきました。この記事では「カードの選び方」と「日常的な使い方」の両面を、実務経験をもとに解説します。
セキュリティ対策は難しい話ではありません。知っているだけで、リスクを大きく下げられます。
この記事でわかること
- クレカ不正利用の主な手口と最新の被害実態
- セキュリティ面でカードを選ぶときに見るべき3つのポイント
- 今日から実践できる不正利用を防ぐ使い方・設定
- 万が一不正利用された場合の対処法
クレカ不正利用の現状:なぜ今、危ないのか
最新の被害動向:2025年に初の減少転換
日本クレジット協会の調査によると、2025年通年のクレジットカード不正利用被害額は**510.5億円(前年比8.0%減)**で、長年増加し続けていた被害額が初めて減少に転じました(出典:一般社団法人日本クレジット協会、2026年3月発表)。
| 年 | 被害額 | 前年比 |
|---|---|---|
| 2014年 | 114億円 | — |
| 2024年 | 555億円(過去最高) | +2.6% |
| 2025年 | 511億円 | ▲8.0% |
この減少の主因は、2025年3月末に完了したEMV 3-Dセキュアの国内EC加盟店への義務化です。ただし、攻撃者は手口をシフトさせており、油断はできません。
被害の約**93%は「番号盗用」**によるもので、カードを物理的に盗まれなくても、番号さえ知られれば不正利用されてしまう構造は変わっていません。
主な手口5つ(2026年最新トレンド)
① フィッシング詐欺
カード会社・宅配業者・銀行などを装ったメールやSMSで偽サイトに誘導し、カード番号・有効期限・セキュリティコードを入力させる手口です。最近はサイトのデザインが本物と見分けがつかないほど精巧になっています。
セキュリティ専門家の判断基準 「正規の会社は、メールやSMSで個人情報やパスワードの入力を求めることはありません。」 これは業界の鉄則です。この一文を覚えておくだけで、フィッシング詐欺のほぼすべてを見抜けます。
② ECサイトからの情報漏えい
利用者本人ではなく、ショッピングサイト側がハッキングされてカード情報が流出するケースです。自分がどれだけ気をつけていても防げない被害で、件数が急増しています。現場の実感として、この手口による被害申告は年々増加傾向にあり、「何もしていないのに」という被害が多いのが特徴です。
③ スキミング
カードの情報を不正に読み取る手口です。接触型(磁気ストライプ・ICチップ)と非接触型の2種類があり、仕組みと対策が異なります。
- 接触型スキミング:ATMや決済端末に偽装した読み取り機(スキマー)を設置し、カードを差し込む際に磁気情報を盗む手口。ICチップ搭載カードは情報が暗号化されており、磁気ストライプカードよりも偽造が困難です。
- 非接触型スキミング(NFC/タッチ決済対応カード):タッチ決済対応カードを財布に入れたまま、スキマーを近づけるだけで情報を読み取ろうとする手口。ただし、現在のタッチ決済カードはICチップによる暗号化と通信距離の短さ(数cm以内)により、実際に悪用できるケースは極めて限られています。不安な方はRFID遮断ケースの使用が有効です。
注意:「ICカード=スキミングに弱い」という誤解が広まっていますが、これは正確ではありません。ICチップは磁気ストライプより格段に安全です。財布のまま読み取られるリスクがあるのは非接触型(タッチ決済対応)カードに限った話です。
海外では磁気ストライプを狙った接触型スキミングが依然として多く、国内でも完全にはなくなっていません。
④ クレジットマスター(番号の自動生成・試行)
カード番号の規則性を利用してコンピューターで大量の番号を自動生成し、ECサイトで次々と試す手口です。利用者本人は何もしていなくても被害を受ける可能性があり、不正利用通知が届いて初めて気づくケースが多い手口です。①〜③と異なり、自分の行動で情報が漏れたわけでもないため、利用通知の設定が有効な対策です。
なお、2025年のEMV 3-Dセキュア義務化によりこの手口への抑止効果が出始めている一方、攻撃者は次に述べるアカウント乗っ取り型へのシフトを加速させています。
⑤ アカウント乗っ取り型(2025年以降に急増)
フィッシングやパスワードの使い回しで入手したログイン情報を使い、ECサイトや旅行サイトの正規アカウントに不正ログイン。登録済みのカード情報でそのまま購入・予約を行う手口です。
3Dセキュア義務化で「番号だけ使う不正」のハードルが上がったため、攻撃者が正規アカウントを踏み台にする手口に移行しているのが2025〜2026年の新トレンドです。旅行・宿泊サイトでの不正予約や、ふるさと納税サービスでの不正申込が増加報告されています。対策はパスワードの使い回しをなくすことと、各サービスの2段階認証の有効化です。
カードを選ぶときに見るべき3つのポイント
カード各社のセキュリティの「土台」は、PCI DSSという国際基準と国内のセキュリティガイドラインで統一されています。どのカードも最低限の基準はクリアしています。
ただし、土台の上に明確な差が存在する部分があります。カードを選ぶ際にチェックすべき3点です。
ポイント①:ナンバーレスカードかどうか
カード番号・有効期限・セキュリティコードが券面に印字されていない「完全ナンバーレス」のカードは、物理的にカードを見られても情報が漏れません。
財布を落とした場面、レストランでカードを預けた場面など、番号を「見られるリスク」はじつは日常に溢れています。
ナンバーレスカードの代表例:
- 三井住友カード(NL)
- 三井住友カード ゴールド(NL)
- Olive フレキシブルペイ
完全ナンバーレスは表裏ともに番号が記載されておらず、アプリからのみ確認できます。オンラインショッピングでアプリからコピペできるため、手入力ミスが減るというメリットもあります。
ポイント②:利用通知の即時性
不正利用への対処を早めるために重要なのが「利用通知」です。
決済が発生した瞬間にアプリやメールで通知が届くカードは、身に覚えのない請求にいち早く気づけます。通知の速さや手軽さはカード・アプリによって差があるため、発行前にアプリの使いやすさも確認することをおすすめします。
確認すべきポイント:
- リアルタイム通知に対応しているか
- スマホアプリから利用停止が即座にできるか
- 不審な取引のアラート機能があるか
ポイント③:不正利用時の補償対応の実績
ほぼすべてのカードに「不正利用の補償制度」があります。しかし、補償があっても「申請が複雑」「調査に時間がかかりすぎる」「連絡が取りにくい」というカードでは実質的な保護が薄くなります。
2024年に問題になったイオンカードの不正利用事案では、補償対応の遅さや不透明さが批判されました。具体的には、被害申告後の調査に数ヶ月を要したケースや、補償の可否判断の根拠が利用者に説明されないまま終了したケースが報告されています。選ぶ際はカード会社の対応実績やユーザーの口コミも参考にしてください。
今日からできる:不正利用を防ぐ6つの習慣
カードの選択と同じかそれ以上に重要なのが「日常の使い方」です。セキュリティの現場では「人の行動」が最大の弱点であり、最大の防衛線でもあります。
習慣①:利用通知を必ずオンにする
カードを作ったら最初にすることは、利用通知の設定です。わずか1分の設定が、不正利用の早期発見に直結します。
カードのアプリを開き「通知設定」から「利用のお知らせ」をオンにしてください。
習慣②:使わないカードは「一時停止」にしておく
アプリから利用停止・再開ができるカードでは、普段使わないカードは停止状態にしておく運用が有効です。盗まれても使えない状態にしておけば、被害リスクをゼロにできます。
習慣③:フィッシングメール・SMSを見抜く
フィッシング詐欺を見抜く最も確実な方法は「リンクをクリックしない」ことです。
カード会社やAmazon・楽天などから「カード情報を再入力してください」「アカウントが停止されました」といった内容のメール・SMSが届いた場合は、リンクを踏まず、必ずブラウザのブックマークや公式アプリから直接ログインして確認してください。
習慣④:セキュリティコードを暗記して隠す
カード裏面の3桁(AMEXは4桁)のセキュリティコードは、オンラインショッピングで本人確認に使われます。
番号を暗記したら、裏面のセキュリティコードに修正テープを貼って隠す方法を実践している人もいます。完全ナンバーレスカードを使うのが最も手軽な解決策です。
習慣⑤:公共のWi-Fiでカード情報を入力しない
カフェ・空港・ホテルなどのフリーWi-Fiは、通信を傍受されるリスクがあります。オンラインショッピングやカード情報の入力が必要な操作は、モバイル回線(4G/5G)で行うことを習慣にしてください。
また、公共の場では「画面ののぞき見」も見落とされがちなリスクです。隣に座った人が、ログイン画面やカード番号を目視で盗める状況は日常的に起きています。外出先でネットバンキングやクレカ管理アプリを開く機会が多い方は、プライバシーフィルターの導入も検討してみてください。
ポチップ
習慣⑥:パスワードの使いまわしをやめる
「カードの会員サイト」と「メール」「SNS」「ECサイト」で同じパスワードを使っている場合、どこか一箇所でパスワードが漏れるだけで芋づる式にアカウントが乗っ取られます。
ECサイトのアカウントを乗っ取られると、登録済みのカード情報でそのまま不正購入される手口が増えています。カード会員サイトのパスワードは、他のサービスと必ず別のものを設定してください。
セキュリティの現場でも「パスワードは覚えるな、管理ツールに任せろ」というのが今や常識です。パスワードマネージャーを使えば、自分はマスターパスワード1つだけ覚えておけばよく、各サービスには自動で強力なパスワードが設定されます。
パスワード管理をゼロから始めるなら、1Passwordが最も導入しやすいと感じています。日本語対応・iOS/Android/Windows/Mac対応で、家族と共有できるファミリープランもあります。
ポチップ
無料で始めたい方はBitwarden(基本機能は完全無料のオープンソース)も実用的な選択肢です。
セキュリティ専門家である私自身の運用:実際にどうやっているか
「専門家はどうしているのか」という質問をよく受けます。参考までに、私自身が実践している管理方法を公開します。
① クレジットカード決済に使う端末を固定している
私はオンラインショッピングや決済に使うデバイスを1台に絞っています。複数のデバイスを使い回すと、どのデバイスからどのサービスに接続したか追いにくくなり、不審な挙動に気づくのが遅れます。
具体的には「ネット決済はこのPCのみ」と決め、そのデバイスは定期的にOSアップデートを適用し、信頼できるブラウザ拡張機能のみに絞って運用しています。スマートフォンからの決済は原則としてApple Pay / Google Pay経由(トークン化されるため、実際のカード番号が加盟店に渡らない)に限定しています。
なぜ端末を固定するのか 攻撃者の視点から見ると、複数デバイスを使う利用者はそれだけ「攻撃面(アタックサーフェス)」が広くなります。セキュリティの基本原則のひとつが「アタックサーフェスを最小化すること」。端末を絞るのはその一番シンプルな実践です。
② パスワード管理はツールに完全委任している
私はカード会員サイトを含むすべてのサービスのパスワードを専用のパスワードマネージャーとGoogle パスワードマネージャーで管理しており、パスワードを頭で覚えることは一切していません。
各サービスには20文字以上のランダム文字列を設定し、パスワードの使いまわしはゼロです。パスワードマネージャーそのものは、強力なマスターパスワード+生体認証(指紋認証)で二重に保護しています。
利用しているツールの例:
- Google パスワードマネージャー:Android・Chromeとの連携がシームレスで、日常使いのサービスに活用
- 専用パスワードマネージャーアプリ(1Password、Bitwardenなど):より機密性の高いサービスや、ブラウザ以外のアクセスが必要なもの
【ポチップ:パスワードマネージャー(1Password・Bitwarden等)】
「Googleパスワードマネージャーで十分か」という点について Googleアカウント自体を強固に保護(強力なパスワード+2段階認証)していれば、日常利用には十分なレベルです。ただし、Googleアカウントが乗っ取られると全パスワードが一度に危険になる点はリスクとして認識しておく必要があります。最重要サービス(カード会員サイト、銀行)は専用アプリと使い分けるのが私のやり方です。
③ 公共Wi-Fiは「接続するが使い分ける」
「公共Wi-Fiを一切使わない」は現実的ではありません。私は接続自体は許容しつつ、公共Wi-Fi接続中にやること・やらないことを明確に分けています。
| 公共Wi-Fiで行う操作 | 公共Wi-Fiでやらない操作 |
|---|---|
| ニュース閲覧・地図 | カード会員サイトへのログイン |
| 動画・音楽のストリーミング | ECサイトでのカード決済 |
| SNS(ログイン不要の閲覧) | ネットバンキング |
決済やログインが必要な操作は必ずモバイル回線(4G/5G)に切り替えてから行う習慣を徹底しています。また、画面ののぞき見対策として、外出先での機密操作にはプライバシーフィルターを使用しています。
カード別セキュリティ機能比較表
「どのカードが実際にセキュリティ面で優れているか」を比較した表は、検索しても断片的な情報しか見当たりません。ここでは主要カードをセキュリティ観点のみで比較します。
※ 以下は2025年3月時点の公式情報をもとに作成。各社の仕様変更により変わる可能性があります。最新情報は各カード会社の公式サイトでご確認ください。
| 比較項目 | 三井住友(NL) | JCB CARD W | 楽天カード | イオンカード |
|---|---|---|---|---|
| 完全ナンバーレス | ✅ 表裏とも番号なし | ❌ 番号記載あり | ❌ 番号記載あり | ❌ 番号記載あり |
| リアルタイム利用通知 | ✅ Vpassアプリ | ✅ MyJCBアプリ | ✅ 楽天e-NAVI | ✅ イオンウォレット |
| アプリからの即時停止 | ✅ | ✅ カード利用制限 | ✅ 一時停止あり | ✅ |
| 3Dセキュア(EMV 2.0) | ✅ 自動適用 | ✅ J/Secure 2.0 | ✅ EC側で義務化適用済み※ | ✅ EC側で義務化適用済み※ |
| 補償の起算点 | 届出日から60日前 | 明細通知後60日以内 | 届出日から60日前 | 届出日から60日前 |
| 補償対応の評判 | ◎ 対応が早い | ◎ 対応が早い | △ 件数増加で遅延報告あり | ✕ 2024年に対応遅延が問題化 |
| セキュリティ総合評価 | ★★★★★ | ★★★★☆ | ★★★☆☆ | ★★☆☆☆ |
表の補足・専門家コメント
三井住友カード(NL)が総合首位の理由
セキュリティ観点での最大の差別化は「完全ナンバーレス」です。番号が存在しない以上、物理的に見られるリスクがゼロになります。加えてVpassアプリの完成度が高く、通知速度・一時停止の操作性ともに現時点で最も優れています。
楽天カードの注意点
3Dセキュアがデフォルトで有効化されておらず、手動登録が必要です。発行しただけで設定を放置している利用者が多く、セキュリティ上の盲点になりやすいです。発行後すぐに楽天e-NAVIから本人認証サービスを有効化してください。
イオンカードを選ぶ場合は補償対応を要確認
利用通知・3Dセキュアなどの機能自体は他社と同水準ですが、2024年に表面化した不正利用の補償対応問題が未解決のまま残っています。イオングループでの買い物が多くイオンカードを選ぶ場合は、不正利用が発生した際の連絡先と対応フローをあらかじめ確認しておくことを強くおすすめします。
3Dセキュアとは何か:2025年3月に義務化済みの重要知識
義務化で何が変わったか
EMV 3-Dセキュア(3Dセキュア2.0)は、2025年3月末をもって国内すべてのEC加盟店への導入が経済産業省ガイドラインにより義務化されました。これにより2026年現在、主要なネットショッピングサイトでは利用者が意識しなくても3Dセキュアが適用される環境が整っています。
利用者視点での変化は以下の通りです。
- 以前:カード会員がカード会社サイトで手動登録が必要で、未設定のまま使い続けているケースが多かった
- 現在:EC加盟店側で義務化済みのため、リスク判定が必要な取引では自動的に認証が要求される
ただし、カード会社への電話番号・メールアドレスの登録が古いまま放置されていると、認証コードを受け取れず決済が通らないケースがあります。会員情報(電話番号・メールアドレス)を最新状態に保つことが利用者側の重要な管理事項です。
仕組みと限界
旧バージョンと異なり、毎回認証が発生するわけではありません。カード会社がリスクを自動判定し、不審な取引と判断された場合のみSMSやアプリでの追加確認が求められる仕組み(リスクベース認証)です。通常の利用ではほぼ手間なく完了します。
番号が盗まれても、手元のスマホへの確認がなければ決済が通らないため、クレジットマスター攻撃への有効な対策になります。一方、義務化後も攻撃者はアカウント乗っ取り型にシフトしており、3Dセキュアだけで万全というわけではありません。複数の対策を組み合わせることが重要です。
利用者が確認すべきこと: カード会社の会員サイトまたはアプリで、SMS受信用電話番号とメールアドレスが最新状態になっているか確認してください。ほとんどのカードで無料で利用できます。
万が一、不正利用されたときの対処法
どれだけ対策を講じていても、100%防げる保証はありません。気づいたときに素早く動くことで被害を最小化できます。
発見したらすぐにやること
カード会社に連絡して利用停止 カード裏面または公式サイトの「紛失・盗難」窓口に電話。アプリで即時停止できるカードならアプリからが最速です。
身に覚えのない取引を申告 電話または書面で「不正利用の申告」を行います。補償を受けるには申告が必須です。
パスワードを変更する カード会社の会員サイトのパスワード、および同じパスワードを使いまわしているサービスのパスワードも変更してください。
補償について
不正利用の補償期間はカード会社ごとに起算方法が異なります。主要カード会社の例を示します。
- 三井住友カード・アメックス・セゾン等:届け出日から遡って60日前までの利用が補償対象
- JCB:利用代金明細の通知後60日以内に届け出た利用分が補償対象
いずれも、気づいたら迷わず早急に申告することが重要です。60日を過ぎると補償されないケースが多くなります。
なお、以下の場合は補償対象外となることがあります。
- 利用者の故意・重過失(暗証番号の他者への教示など)
- カード裏面に署名がない状態での対面取引での被害
- 家族・同居人による利用
補償を確実に受けるための前提として、カードを受け取ったらすぐに裏面にサインをしてください。 サインがない状態では、対面取引での不正利用は補償対象外になる場合があります。
まとめ:セキュリティ対策は「選択」と「習慣」の掛け合わせ
クレカのセキュリティは、カードを選ぶ段階と、使い方の習慣の両方で決まります。
| チェック項目 | ポイント |
|---|---|
| カード選び | ナンバーレス・即時通知・補償対応の実績 |
| 設定 | 利用通知ON・カード会員情報(電話番号・メール)を最新状態に保つ |
| 日常の使い方 | フィッシングを踏まない・公共Wi-Fi非使用・パスワード使いまわし禁止 |
| 被害時の対応 | 即停止・カード会社ごとの期限内に即申告・カード裏面サインの事前確認 |
「完璧なセキュリティ」は存在しませんが、基本的な対策を積み重ねることでリスクを大幅に下げることはできます。ぜひ今日から一つずつ実践してみてください。
よくある質問(FAQ)
Q. クレカのセキュリティはどのカード会社も同じですか? A. 基本的な安全基準(PCI DSS)は共通ですが、ナンバーレス対応・通知の即時性・補償対応の手厚さには差があります。選ぶ際は上記3点を確認してください。
Q. ナンバーレスカードは使いにくくないですか? A. 番号確認はアプリからできます。オンラインショッピングでコピペできるため、むしろ手入力ミスが減ります。
Q. 3Dセキュアを設定すると毎回認証が必要になりますか? A. 2025年3月末にすべてのEC加盟店への導入が義務化されたため、現在は利用者が手動登録しなくても主要なネットショッピングで自動適用されています。リスクベース認証を採用しているため、通常の利用では追加認証はほぼ発生しません。不審な取引と判断された場合のみSMSやアプリで確認が求められます。なお、カード会社への電話番号・メールアドレスの登録が古い場合、認証コードが届かず決済できないことがあるため、会員情報は最新状態に保ってください。
Q. フィッシングメールに誤って情報を入力してしまいました。どうすれば? A. すぐにカード会社に連絡して利用停止と不正利用の申告を行ってください。その後、会員サイトのパスワードも変更します。初動が早いほど被害を抑えられます。
Q. 身に覚えのない少額請求がありました。放置してもいいですか? A. 放置は厳禁です。不正利用者はカード会社の検知を避けるため、まず少額から試す手口が一般的です。少額であっても必ずカード会社に申告してください。補償の期限がありますので、気づいた時点で即座に動くことが重要です。
Q. ICチップ搭載カードはスキミングに遭いやすいのですか? A. 逆です。ICチップは情報が暗号化されており、磁気ストライプカードより格段に偽造が困難です。財布に入れたままでスキミングされるリスクがあるのは、ICチップとは別の機能である「NFC/タッチ決済(非接触決済)対応カード」に関する話です。
タッチ決済カードへの不安が気になる方には、RFID遮断機能つきのカードケースが市販されています。完全な解決策ではありませんが、財布を替えるだけで対策できる手軽さがあります。
ポチップ
Q. 3Dセキュアが義務化されたのに、なぜまだ不正利用が起きるのですか? A. 3Dセキュアは「番号だけで決済する不正」には非常に有効ですが、正規アカウントに不正ログインして購入する「アカウント乗っ取り型」には効果が限定的です。2025年以降、攻撃者はこの手口にシフトしており、パスワードの使い回しをなくすことと、各サービスの2段階認証を有効化することが対策の軸になっています。
この記事は筆者のセキュリティ業界での実務経験とRISS・CISA資格取得の知識をもとに執筆しています。カードの具体的な補償条件は各社の規約をご確認ください。統計データは一般社団法人日本クレジット協会の公表値に基づきます(2026年3月時点)。
コメント