Apple Store の購入がクレカ不正利用の疑いに

「不審な利用を検知しカードを停止しました」と JCB を名乗る SMS メッセージが来て少々戸惑ったお話です。日頃怪しげな SMS は頻繁に来ているので、本物かどうか大いに悩みました。

＊＊＊
一応本物の JCB からのメッセージだと考えていますので、そのメッセージ等を全て晒してしまってそれを真似る偽物サイトに使われてもどうかと悩みましたが、「本物はこうだった」と知っていただくのは事例として役に立つと思い、一部を除いてそのまま掲載します。
＊＊＊

JCB から不正利用の疑いの連絡と Apple Store からカード利用不能のお知らせが来た
どうやって真偽を確認するか？
今回の対応
- まずは JCB に不正利用ではないと登録
- Apple に支払い処理を行う
フィッシングメールより本物の不正検知メールの方が対応の難易度が高い
- カード会社と購入サイトの両方から通知が来たら疑いにくい
- カード利用のタイミングが本人の購入操作のタイミングと異なる
「不正利用を検知しました」詐欺メール対策

JCB から不正利用の疑いの連絡と Apple Store からカード利用不能のお知らせが来た

メッセージ内記載の url は "jcb.co.jp" なので本物らしいけれど..

今朝（09/13）遅めの朝食を取っていると上記のようなメッセージが届きました。
「え？朝起きて今飯を食っていているんだから、今ネットショッピングなんかしてないよ！」
「ってことは、悪い奴に俺のカードが不正利用されたのか？？？」
と眠気が一発で吹き飛びました。念の為メールを確認するとメールではもう少し詳しい説明のあるメールが JCB から来ていました。

メールも来ていた。確認できる発信元情報としては "jcb.co.jp" となっているようだ。

それにしても
「今食事をしているんだから俺はショッピングなんかしていないぞ！」
と思いましたが、メールボックスをよく見ると　Apple からもメールが来ているでは無いですか！
（apple id 登録のメアドは JCB 登録のメアドと別。）

JCB からのメールの直後に来た Apple からのメール。発信は apple.com

Apple の方も apple.com から発信されているようだ。しかし件名が本文に表示されていない、というメールのスタイルも独特

どうやって真偽を確認するか？

JCB も Apple もメールの発信元としては信頼できそう。でも
「今ショッピングなんかしていないぞ！」
と想いつつ、
「お、そういえば先週新しい AirPods Pro を買ったな。。。」
と思い出しました。しかしもう 4日も前のこと。その時にクレジットカードのチェックもしているはず。それなのになぜ JCB 側で「今」チェックが行われたのか？？？
と不思議に想いながらも、念の為メールのリンクからではなく自分のブックマークから Apple Store にログインして購入済みのはずの AirPods Pro がどうなっているのか見てみることにしました。

どうやら推測すると

Apple 側では、09/09 の購入時は実際クレカ決済は行っておらず、カードのチェックだけ行った。今日 (09/13) は実際にデバイスの手配ができたので JCB に決済の取引を行なった。
JCB では（どのようなロジックでチェックしているのか分からないけれど）今日の取引が不正検知システムに引っかかったため、Apple 側には決済不能を返すとともにカード所有者に SMS で通知を送った。

今回の対応

まずは JCB に不正利用ではないと登録

このページ最初に掲載した SMS メッセージにあるリンクから登録します。メッセージ内に「個人情報の入力はありません。」とあるのも確認の上、不用意な情報入力はしないように気をつけます。が、実際に入力するのはさらに SMS で届いていた認証コードと、

自分で「利用した」と登録するのだが、自分が実際に使ったのは 09/09 であり、記載の利用日時には身に覚えばないというのが本音。

後でも触れますが、一点だけ気になるところがあります。それは「利用日時」。JCB が示しているのは JCB が検知した決済取引のタイムスタンプなのでしょう。しかしカードユーザーが自分の行為としてショッピングしたのは 4日も前。そのタイムラグは上に推測した通りだとすると、利用者の責任ではなく販売側の処理で発生した利用者の認識と異なる利用日時であり、そういったタイムラグが発生しうることは JCB はわかっているのだから一方的にカード利用者にこの利用日時だけを示して判断を迫るのもいかがなものかと思います。。。
さらに注意しなくてはならないのは、上記の「利用した」登録ですぐにカードが利用可能にはならない点。利用可能になるにはしばらく時間がかかるので、それを待ってから次の Apple の処理を行う必要があります。

Apple に支払い処理を行う

JCB カードが再び利用可能になったことを確認した上で、Apple Store から問題の取引を選択し、二重払いにならないことを確認しつつ支払い方法を選択すれば OK です。

フィッシングメールより本物の不正検知メールの方が対応の難易度が高い

一通りやり終えた後でもちょっとドキドキしていました。日頃詐欺メールが頻繁に来て扱いには慣れていたつもりですが、実際にカード会社から「不正利用か？」と問われるとかなり慎重になります。昔は電話でカード会社から「これはあなたの利用ですか？」と実際の不正利用の確認が来たときは相手の担当者がその利用情報を読み上げてくれて、「あー、そんなところで買い物していません！」と即断でした。しかし今回はメールなど文字情報で知らされるので必死に読んで考える必要があり、かなり神経を使いました。

カード会社と購入サイトの両方から通知が来たら疑いにくい

今回はチェックした側 (JCB) とチェックされた側 (Apple) からほぼ同時に連絡が入ったのでどの取引か自分でも判断できたのですが、可能性は低いとはいえ「偽のカード会社メールと偽のショッピングサイト」の組み合わせのメールを送り付けられて、それが自分の行動パターンにたまたま当たってしまったら疑わずに「私の利用です」を選択してしまうかもしれません。

カード利用のタイミングが本人の購入操作のタイミングと異なる

これは「騙される」わけではないのですが、上にも書いたようにカード会社が検知した取引日時がカード利用者の行為としての決済日時とは異なっている点です。私は検知と行為の日時の差を自分のリスクとして受容しましたが、これを受容せず「いや、私が実際に購入したのは 09/09 だから 09/13 というのは自分の利用ではない！」と主張したらどうなったでしょうか？
おそらくカード会社は今回の取引を不正取引が確定したとし、私のカードを使用不能にしたと思います。それはそれで良しとして、Apple 側に別のクレジットカードで決済しておけば AirPods は予定の日に到着したとは思います。
たまたま私は「推測」をそれなりに納得を持ってしてしまったために「私の利用」としましたが、本当は「私の利用ではない」とした方がよかったんでしょうかね？

「不正利用を検知しました」詐欺メール対策

今回私は「本当は不正利用ではないけれども不正として引っかかってしまったケース」ですが、日頃気をつけるべきは詐欺メール。やっぱり SMS やメール記載のリンクのチェックは不可欠でしょう。さらにメールはヘッダ情報も確認した方が良いと思いますが、リンクやら発信元などチェックの仕方がわからない人もいますよね。。。
あと疑いのレベルは低いと思っても、カード会社のホームページやショッピングサイトのホームページをメールリンクの誘導に従わない方法(自分のブックマークやアプリなど)で何かしらのエラーが知らされているか確認するのも良いと思います。
最後は電話。一応メールなどにも電話番号も書いてありますが、クレジットカードだったらカードの裏面の電話番号、ショッピングサイト側だったら購入取引完了メールから連絡先を確認してみるのが良いのでしょうね。
悪いことする人はどんどん高度な手段を使ってくるのでしょうけれども、こちらはオーソドックスな対応しかないような気がします。