この記事は、7分で読めます。

こんばんわ。管理人のuncleゆーさん(@UncleYusan）です。

昨日（5月24日）、Revolutから「昨今のRevolutカードの不正利用について」というお知らせメールが届きました。

Revolutの不正利用については、今年の4月下旬ごろから被害報告がSNSなどでアップされるようになりました。今月に入ってからは、さらに多くの不正利用の報告が挙げられました。

このことを受け、Revolutは5月2日に「不正請求にご注意ください」という注意喚起のメールを利用者に送りました。これらの経緯については、5月3日付の記事で詳細に紹介したところです。

今回は、この「昨今のRevolutカードの不正利用について」というお知らせメールの内容を紹介するとともに、問題点などを解説します。

5月3日付の記事は、こちらからご覧ください。

www.ysky.info

• お知らせメールの内容
• 今回のお知らせは、とりあえず”Good”！
• これでクレジットマスターは防げるのか？
• カードの一斉切替がクレジットマスターを容易
• 希望者全員に無料でカードを再発行すべきでは
• まとめ

お知らせメールの内容

Revolutから、昨日5月24日21時35分に送られたきたメールの内容は、次のとおりです。

お知らせメールの重要な点をまとめると、次のとおりです。

今回のお知らせは、とりあえず”Good”！

不正利用の原因、その対策に関してまとめ、利用者に周知することはとてもよいことです。今後も継続してもらいたいと思います。

これまで、Revolutのメールでのお知らせと言えば、制度改悪のお知らせばかり、しかも結論だけしか記載されていない、利用者にとって不親切なものがほとんどでした。

Revolutのような新興金融サービスは、従来の金融機関に比べると信頼性という面では圧倒的に劣ります。それゆえに、利用者の信頼を得るためにも、既存の金融機関よりもより丁寧な説明や情報提供が求められるはずです。

それがほとんどできていないのが、Revolutの大きな課題だと思っていました。今回のお知らせメールはこうした点を改善した対応として評価したいと思います。ただし、原因をクレジットマスターに特定した根拠などが不明な点など中身には「？？？」が付くところもあるので、「とりあえず」という限定付としました。

これでクレジットマスターは防げるのか？

「クレジットマスター」とは、カード番号の規則性を悪用し、他人のカード番号を割り出す犯罪行為を指す言葉です。この手口は、アメリカでは1989年から、日本では1999年から被害が確認されるようになりました。

具体的な手口としては、カードが持っている番号の規則性から、有効な「カード番号」を割り出すことは、簡単な知識があれば可能です。

クレジットカードと紐付けられている番号は”ISO/IEC 7812”と呼ばれる規格と”BIN”と呼ばれる銀行識別番号によって生成されています。そのため、ある程度の目星をつければだれしも有効な「カード番号」を見つけることができます。

「カード番号」を見つければ、あとは「有効期限」と「セキュリティコード」があればネットで買い物ができます。

「有効期限」は60パターン（12カ月×5年）ほどの数列です。また、「セキュリティコード」は3桁または4桁ですが、3桁の場合なら1000パターン数列となります。最大1000回のチェックを繰り返せば、「セキュリティコード」割り出せるというわけです。

「セキュリティコード」、「有効期限」と組み合わせて何度もテストをすることで、不正利用できるこれらの組み合わせの割だ出しが可能なのです。

割り出したデータを使ってネットショッピングサイトで悪用されたのが、今回の不正利用というわけです。

それでは、今回の対応で完全に不正利用がなくなるかというと答えは、”No”です。

対策の一つとして、「不正利用に使われた加盟店への支払いをブロックした」とありますが、これだけではまったく不十分です。本来なら、「３Dセキュア」という強力な認証システムを使用していない加盟店はすべてブロックすべきです。

3Dセキュアは、カード利用者がオンラインのクレジットカード決済を行う際に、追加の認証手続きを経て本人認証を行う仕組みです。これにより、カード情報の不正利用や不正取引を防ぐことができます。

Revolutカードは３Dセキュアに対応していますが、その利用は加盟店側の判断にまかされています。したがって、何らかの理由により加盟店が利用しない場合もあります。

お知らせメールに記載されている「セキュリティチェックの弱い加盟店」とは、そうした加盟店を指しています。こうした加盟店がある限り、今後も不正利用は発生します。

また、24時間自動検知システムの強化についても触れられていますが、そもそも具体的な内容については記載されていません。

「24時間自動検知システム」は、すべての取引を自動検知の対象としてしまうとその数か膨大になりすぎ、本来の不正利用の検知という機能が十分発揮されないことになります。そこで、通常は自動検知の対象となる取引金額を設定しており、比較的少額のものは除外しているケースが多いようです。不正利用される金額が比較的少額なのは、不正利者がこの盲点を突いているからです。

Revolutが言う「24時間自動検知システムの強化」とは、恐らく対象金額を少し下げた程度の話ではないかと想像します。

そのほかの対応も不正利用がなくなるという代物ではありません。

結局のところ、利用者としては、利用お知らせメールなどを利用して、利用状況や利用明細をこまめにチャックし、万一不正利用がわかれば、すぐにカード会社に連絡するしか対策はありません。

カードの一斉切替がクレジットマスターを容易

昨年の夏に、Revolutは、利用者がこれまで使っていたカードを利用を停止し、新カードへ一切切替を行いました。

これにより、既存会員のカードの有効期限が「08/27」が統一されてしまったのです。クレジットマスターを行う側からすると、これにより「有効期限」を割り出す手間を省くことができました。

結局、Revolutはこの新カードへの交換により敵に塩を送ってしまったわけです。

これを行っていなかったとしても不正利用されていた可能性は高かったと思われますが、この点に関して、今回のお知らせメールに言及がまったくなかったのはいかがかと思います。

昨年のカードの一斉切替に関しては、こちらの記事をご覧ください。

www.ysky.info

www.ysky.info

希望者全員に無料でカードを再発行すべきでは

Revolutが今回行った対応の中に、「不正利用されたカードは停止してお客さまにカードの再発行（無料）を依頼しました。」とあります。また、「新しいカードの番号はより強力なロジックで生成されます。」ともあります。

これは、これで利用者にとっては結構なことなのですが。不正利用された利用者だけに限定されているのはどうかと思います。

他のクレジット会社でとられている対応としては、無料での再発行は、不正利用された利用者だけに限定するというのは一般的ではあります。

しかし、今回のように、Revolutも意図せずとはいえ、敵に塩を送ってしまったわけですから、不正利用されていない利用者に対しても、より強力なロジックで生成されているという新カードに交換してほしいという要望があれば、交換すべきだと思います。

これだけ多くの不正利用がされている以上、不正利用されてからじゃないと新カードに交換しませんでは、カードを利用したくても利用できないのではないでしょうか。

まとめ

今回の記事は、いかがでしたでしょうか？

今回は、「昨今のRevolutカードの不正利用について」というお知らせメールの内容を紹介するとともに、不正利用の原因のクレジットマスターやRevolutの対応の問題点などを解説します。

Revolutは、改悪続きで、なにかと問題もありますが、手数料がなしで両替や海外送金・決済ができるというサービス自体は非常に素晴らしいものです。

日本からこのサービス事態がなくならないよう、Revolutの日本法人には頑張ってもらいたいところです。

今回の記事がお役に立てれば、うれしいです。

最後まで読んでいただきありがとうございました。

今回の記事が良ければ、ブックマークとスターをお願いします。

また、SNSでシェアして頂けると、モチベーションが上がります。