デビットカードを不正利用されました。

やられたのは三井住友銀行「Visa機能付ICキャッシュカード(SMBCデビッド一体型(ベーシック))カード」です。

クレジットカードでもなくキャッシュカードでもありません。
キャッシュカードに付属の「デビットカード」の機能からお金を盗まれていました。

今回、私の反省と自戒も含めて、どのような手口でカードを不正利用するのか、どう対策すればいいのかまとめます。


どのような被害だったのか?

SMBCでデビッドの利用明細サイト

三井住友銀行のアプリ
の公式サイトから確認しました。(通常の三井住友銀行公式Webサイトからだと1年分程度しか履歴が見れないためです)

上記2つのサイトからならおよそ3年前までの詳細履歴まで参照することができます。

被害総額10,342円。

主に2020年7月頃~8月頃にかけて見に覚えのない引き落としがされていました。

Aliexpress.com(中国のアリババでのドル建て)です。

赤色の「V(番号)」(※1)がショッピングで使われた額、オレンジ色の「Vサガク」(※2)がドル建ての為替手数料です。

当然、私は中国のアリババで買い物したことすらなく、登録したことも、アクセスしたこともありません。
しかもドル建てで決済されています。

仮にAmazonやYahooの外国サイト経由で海外商品を買っても利用明細票には「Amazon」と表記されるので、ダイレクトに「アリババ」と書かれていたのでおかしいです。

特に奇妙なことに、2020年7月31日は2927円という中途半端な数字が、同日同時刻に3回も別番号にて連続決済されています。
まるで人間業ではないような、とても機械的なものです。

(※1)

(2)V+数字6桁

ご利用明細に表示されるVと数字6桁は、デビットカードのご利用に関するお取引番号となります。ご利用店名は以下の方法でご確認が可能です。

https://qa.smbc.co.jp/faq/show/2426?site_domain=default

(※2)

海外加盟店でご利用後、為替レートに変動があった場合
SMBCデビットを海外加盟店(ネットショッピング含む)でご利用後、お取引時点の為替レートと、加盟店からの売上情報が三井住友カード株式会社に到着した時点の為替レートに差異が生じた場合は、ご請求金額との差額分を「Vサガク」という明細名でご返金または引き落としいたします。

【デビット】「Vサガク」という明細について知りたい

デビットカードという「番号だけで登録できてしまう」穴

私は普段、セキュリティは相当に気をつけており、多要素認証・2段階認証やワンタイムパスワード等、かけられるものはすべて利用しています。

しかしキャッシュカードに「デビットカード機能がある」という抜け道に気付けませんでした。

私はクレジットカードを主に使っているのでデビットカードは使いません。
そもそも使ったことがありません。

デビットカードも銀行の口座と紐付けられており、リアルタイムで決済できるのが利便性があるのですが、
「すべて番号だけで登録できてしまう」のです。

ブルートフォースアタック(総当たり攻撃)で考えられる全ての番号パターンを試せば良いだけです。

なのでいくら銀行の口座のログインIDやパスワードのセキュリティを強固にしていても、ショッピングサイト等に登録できる有効な番号さえ総当りで見つかれば、デビットカード経由で銀行口座から引き抜かれてしまいます。

口座にアクセスしなくてもお金が使われてしまうのです。

気づいたのは2021年11月でした。

年末調整のために口座確認したら2021年2月に274円という中途半端な額が引かれていたのを奇妙に思って、過去の残高照会をしたら約1万円を不正利用されていました。


対策まとめ

基本的には
「利用時以外はデビットカード機能を停止してください」
と三井住友銀行から言われました。

■三井住友銀行アプリ
(1)三井住友銀行アプリにログイン
(2)銀行口座情報の下に表示されている「SMBCデビット」をタップ
(3)利用設定をタップ
(4)カード利用設定をタップ
(5)カード利用をOFF(ON)に切替

※個別設定を利用していただくと「iD・payWave」「ネットショッピング」「海外店舗」「海外ATM」ごとの利用切替えが可能です。

■会員用WEB
(1)以下のリンクよりお手続きください。
 ‣会員用WEBサイト
(2)「各種変更」 → 「利用停止・利用停止解除」をクリック(タップ)
(3)SMBCデビットの利用停止・利用停止解除の確認ボタンをクリック(タップ)
(4)確定後のステータスを確認後、確定ボタンをクリック(タップ)

https://qa.smbc-card.com/debit/detail?site=4H4A00IO&category=3&id=9

そもそも三井住友銀行「Visa機能付ICキャッシュカード(SMBCデビッド一体型(ベーシック))カード」は、ログインID等のセキュリティはワンタイムパスワードや2段階認証で設定できても、デビットカードを登録利用する時のセキュリティはありません。

クレジットカードであれば登録時に3桁のセキュリティコードや本人認証セキュアがありますが、デビットカードにはそれがないのです。

なので番号を総当りすれば地球の裏側からでもショッピングサイトに登録されて口座を使われてしまいます。

よってデビットカードの決済機能を停止しておくしかないのです。

補償はされるの?

三井住友銀行の場合、およそ1年以内であれば返金されます。

三井住友銀行
身に覚えのない引き落とし(明細)がありますが、どうしたらいいですか?

なので2021年11月に気づいた私が返金されたのは2021年2月の274円のみでした。

またデビットカードのカードは変更され、新しい三井住友銀行「Visa機能付ICキャッシュカード(SMBCデビッド一体型(ベーシック))カード」が発行されました。

今回、私の反省と自戒も含めて今後の教訓になりました。