過去最悪のクレジット被害額 AIを悪用する最新の不正手口を徹底解説【キャッシュレスセキュリティレポート2025 解説】

最終更新日:

大矢根 翼

2024年までのクレジットカード不正利用被害額の推移(出所:「クレジットカード不正利用被害額の発生状況」日本クレジット協会《2025年6月》)

2024年のクレジットカード不正利用被害額は過去最悪の555億円。その9割以上(513.5億円)が「番号盗用」によるもので、多くがECサイトで不正注文によるもの。まさに、ECが“不正利用の主戦場”と化している。

この危機的状況に対し、2025年9月29日に開催された「キャッシュレスセキュリティレポート2025 メディア向け説明会」(主催:株式会社リンク、かっこ株式会社)では、最新の不正手口と必須の対策が提言された。

本稿では、説明会に登壇した本レポートの執筆者であるYSコンサルティング株式会社 代表取締役 瀬田陽介氏、かっこ株式会社 O-PLUX事業部⻑ 小野瀬まい氏が解説した「生成AIの悪用」「闇バイトの暗躍」「ECサイトを休業に追い込む情報流出」など、EC事業者が把握すべきセキュリティ情報、具体的なアクションをレポートする。

※本記事に掲載している図版・グラフ等は「キャッシュレスセキュリティレポート2025(2025年10月発行)」からの引用

目次

ECサイトに忍び寄る「巧妙な不正の手口」

瀬田氏は、最初にカード情報流出事件の概況を分析。2021年をピークに事件数は減少傾向にあるものの、37件の事件が発覚した2024年に関して「1万件以上の情報流出が事件全体の4割を占め、1年以上にわたって情報が流出し続けていた事案が全体の3/4を占める」と振り返り、事件あたりの被害規模が拡大していると警鐘を鳴らした。

また、従来はカード会社や決済代行業者からカード情報が流出した旨の連絡を受けて消費者が事件に気づくケースが大半だったが、2024年は警察からの指摘で発覚するケースが13件と全体の35.1%を占めた。

これらの事態を受けて、クレジット取引セキュリティ対策協議会は2025年3月に「クレジットカード・セキュリティガイドライン」を【6.0版】に改訂(※1)。EC加盟店全店舗が対象の本ガイドラインは割賦販売法の下での指針対策として位置づけられており、瀬田氏は「(EC加盟店にとって)法律上の義務にあたるもの」と語る。

その多くがECサイトでの不正注文によるという、2024年のクレジットカード不正利用被害額は過去最悪の555億円を記録(※2)。これは、特殊詐欺の700億円に次ぐ規模の犯罪だという。被害額555億円のうち514億円が、他人のカード情報を不正に取得・利用する「番号盗用」によるもので、「ECが不正の主戦場となっている」と瀬田氏。

昨今のカード情報不正取得手口は、ECサイトへの攻撃によるものだけでなく、消費者をだまして直接カード情報を盗む「フィッシング」や、カード番号発行の規則性を突いて対策されていないECショップで大量にカード情報の入力を試行する「クレジットマスター」など多様化している。盗まれたカード情報はダークウェブやテレグラムなどで売買されており、「情報を盗む役」「不正利用する役」「商品を受け取る役」といった組織的な分業体制(通称:闇バイト)が形成されているという。

情報窃取に特化したマルウェア「インフォスティーラー」による被害(上図)も増加している

決済時の対策だけでは不正を防げない

カード情報が直接盗まれるだけでなく、ECサイトのアカウントを盗まれることでも不正購入が発生する。「Amazonにカードを登録していれば、アカウントを乗っ取られるだけで不正利用が可能になる」と瀬田氏。ログイン情報もダークウェブで流通しているという。

被害を受けやすい商品にも特徴があり、2024年は「ふるさと納税」の返礼品や、カメラなどを取り扱うサブスクサービスの商材を盗む手口が目立った。瀬田氏は「被害を防止するためには決済前(不正ログイン防止)、決済後(不正な配送先への発送防止)にまたがる多層的な対策が必要」と強調した。

* 「O-PLUX」の審査で、審査件数全体に占める審査結果NGの割合を件数ベースで商材ごとに算出。NGの割合が多い順にランキング(Cacco調べ)
* 最終的に出荷停止や注文を拒否するなどの対応は、「O-PLUX 」加盟店判断により異なる。

2025年3月までの導入が義務化されている「EMV 3Dセキュア」は、不正利用の大幅な減少効果を期待できる。しかし、これが結果としてカード決済承認率(加盟店からのオーソリゼーション要求に対してイシュア《カード発行会社》が承認する割合)の低下傾向を招き、EC事業者の新たな課題を生んでいる点を強調した。

カード決済の失敗によって売上機会が失われる『カゴ落ち』が表面化。カード発行会社判断によるカード決済否認の割合は1.3%から11.2%と大幅上昇しています

否認率上昇の背景には「3Dセキュア導入後の不正利用被害は加盟店ではなくカード会社が負担する」というルールがある。カード会社はリスク回避として承認を厳格化。その結果、実に約8割のEC事業者が「EMV 3Dセキュア導入後、『カゴ落ち』が増えた」と回答するなど、正規のユーザーに不正対策の弊害が及んでしまうことが業界の課題になっており、不正防止と売上低下という課題については、かっこ株式会社にもEC事業から相談が寄せられているという。

生成AIが悪用する「ボイスフィッシング」と「認証情報の盗難」

不正の手口はEC業界にとどまらない。瀬田氏は、生成AIを悪用し、より巧妙化する他業界での犯罪手口も紹介した。

証券口座の乗っ取りは、2025年1月から7月までの間に売却と買付の合計で約6000億円の被害が発生(※3)。「手口は、『フィッシング』や『インフォスティーラー』で認証情報を盗み、不正にログインした上で株式を操作して利益を得るもの」だという。

2025年5月から6月にかけて、証券口座ユーザーに多要素認証が必須化された結果、不正取引件数は一時的に大きく減少したものの、7月以降には再び増加に転じた。この原因について瀬田氏は「各社が実装した多要素認証はフィッシングに弱く、二要素目のパスワードも盗む『中間者攻撃」』であれば不正ログインが可能であった」と分析。これに対し、日本証券業協会はガイドライン改定により「フィッシング耐性のある多要素認証の導入」を求めており、今後は「パスキー」方式に移行していくと予想する。

2024年11月から2025年4月にかけては、「ボイスフィッシング」による企業の資産(法人口座)を狙った不正送金被害が急増。全国銀行協会、金融庁、警察庁等が連名で注意喚起を公表した。

一連の金融犯罪では生成AIが利用されるケースもあり、自然な日本語のフィッシングメールを大量に生成したり、社長の声を学習させた音声モデルで送金を指示したりと、巧妙な手口が出現しているという。

EC事業者と消費者の「意識のギャップ」が被害を拡大させている

小野瀬氏は、2020年から2025年の5年間でクレジットカードの不正利用被害額は約2倍になり、不正利用の発生率が0.9%から2.5%に増えた事実を指摘し、「被害は高止まりしている」と述べた。

かっこ社の調査では90%以上の消費者が何かしらの対策をしつつも、約1/6にあたる15.9%の消費者が不正被害を経験していると回答した。一方で「EC事業者は41.8%が不正被害を経験したと回答した」と小野瀬氏。両者の「意識のギャップ」が被害を拡大させている。

その顕著な例が、「EMV 3Dセキュア」だ。EC事業者の導入率が62.1%であるのに対し、50代、60代の消費者の利用率は合算で2割に満たない。小野瀬氏は「事業者側の導入だけでなく、消費者への啓発や支援も必要」と、事業者と消費者が一体となった重層的な対策を訴えた。

EC事業者が実施している不正注文対策方法(EC事業者実態調査《かっこ調べ》2024年12月調査)
* 3Dセキュア1.0は2022年10月にサービス終了しているため除外
* 対策をしていると回答した人の中での割合を集計。N=411(2023年)、N=428(2024年)

小野瀬氏は2025年5月にECのミカタで公開した記事(※4)で詳説している重層的な対策の重要性や「闇バイト」の関わり、生成AIの不正利用にも触れた。

「闇バイト」は「出品者役」「購入者役」に分かれて不正に情報を取得されたカードを使ってフリマサイトなどでの架空取引を行う。入金した架空の売上は暗号資産に換えて「指示役」に送られる。ChatGPTは一般的に不正に使われるスクリプトの生成を拒否するが、「研究のため」などと装うことで規制を回避したとみられる。

小野瀬氏は今後も「闇バイト」や生成AIの悪用によって手口の巧妙化は進むと予想する。一方で「カード番号の入力が不要で、パスキーを使った本人認証によって安全に決済できるVisaの『クリック決済(※5)』の日本進出が発表されるなど、新技術によって安全な決済環境が整備される可能性がある」と示唆した。

カードの不正利用によるEC商品の購入は、長期的にEC業界をむしばんでいく。ショップのサイトからカード情報を盗まれればショップ自体が休業を余儀なくされることも。犯罪者にとってECが「割に合わない」業界にするため、すべての事業者が顧客の情報とサイトを重層的に保護していくことが、生き残りのための絶対条件だ。

※1 クレジットカード・セキュリティガイドライン【6.0 版】(クレジット取引セキュリティ対策協議会、事務局:一般社団法人日本クレジット協会)
※2 クレジットカード不正利用被害の発生状況 (一般社団法人日本クレジット協会 2025年9月)
※3 「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています」(金融庁)
※4 2025年5月に公開した記事「不正検知サービス『O-PLUX』がリニューアル セキュリティガイドライン【6.0版】対応で不正対策を包括的に支援」
※5 Visaの「クリック決済」について(ビザ・ワールドワイド・ジャパン株式会社)


関連リンク

関連記事

新着記事

記者プロフィール

大矢根 翼

2018年法政大学卒業後、自動車部品メーカーに就職。
ブログ趣味が高じてライターに転身し、モータースポーツメディア『&Race』を副編集長として運営。
オウンドメディアの運営、記事制作など、複数ジャンルで記事制作をメインに活動している。

大矢根 翼 の執筆記事

企業特集

一覧を見る

イベント・セミナー情報

一覧を見る
RSS

オススメ記事


ランキング

  1. 1

    最も買いたくなる表現「〇〇%オフ/〇〇円引き」 LINEヤフー調査
  2. 2

    ZOZO、WEARに新機能「着回し提案」を導入 生成AIがコーデポイントを解説
  3. 3

    Nint、2025年11月より「TikTok Shop対応β版」を提供開始
  4. 4

    アスクルのランサムウェア感染により、無印良品ネットストアが受注・出荷を停止
  5. 5

    ヤマト運輸、東北最大の統合型ビジネスソリューション拠点を福島県郡山市に開設
  1. 1

    Amazon、「Amazon Haul」ベータ版の提供を日本でも開始
  2. 2

    3大ECモールが牽引し前年比13.0%増、一方EC事業者の倒産は過去最多 Nint調査
  3. 3

    最も買いたくなる表現「〇〇%オフ/〇〇円引き」 LINEヤフー調査
  4. 4

    TikTok Shop、2025年11月1日「ヨドバシストア」を開設 
  5. 5

    若年層の“インナービューティー”需要をつかむ! Qoo10が語る参入チャンスと成長戦略
  1. 1

    約6割のシニア層が「デジタル機器」の利用に苦戦 コスモヘルス調査
  2. 2

    不正対策は守りから攻めへ 3Dセキュア時代にEC売上を最大化する方法とは

  3. 3

    日本郵便、2025年10月1日よりゆうパック箱のサイズ・デザインを切り替え
  4. 4

    LINEがトークタブをリニューアル 新たに「友だちタブ」が登場
  5. 5

    ギフト市場、多様化する贈る側の心理とニーズ オンワード樫山調査

注目記事(PR)

おすすめ書籍

必要な法律から対処方法まで分かる! EC事業に関連する法律理解の入門編

必要な法律から対処方法まで分かる! EC事業に関連する法律理解の入門編
ご購入はこちら>>
その他書籍はこちら >

PRESENTED BY ECのミカタ