カード不正利用3年連続500億円超、フィッシングの脅威
はじめに
日本クレジット協会の集計によると、2025年に確認されたクレジットカードの不正利用被害額は510億5,000万円に達しました。前年(555億円)から8%減少したものの、3年連続で500億円を超える深刻な水準が続いています。
被害の約93%にあたる475億4,000万円が「番号盗用」によるもので、偽サイトを使った「フィッシング詐欺」が主な手口です。フィッシング対策協議会への報告件数は年間約250万件に上り、巧妙化する手口に対して消費者と事業者の双方に一層の警戒が求められています。
フィッシング詐欺の最新動向
被害の実態と推移
クレジットカードの不正利用被害は、2023年に初めて500億円を突破して以降、高止まりの状態が続いています。2025年は前年比で8%の減少となりましたが、依然として深刻な水準です。特に2025年第1四半期(1~3月)の被害額は193億2,000万円と、前年同期比55.7%増という急激なペースで被害が拡大していた時期もありました。
被害の内訳を見ると、偽サイトやフィッシングメールを通じてカード番号や暗証番号を盗み取る「番号盗用」が全体の約93%を占めています。偽造カードによる被害は技術の進歩で減少傾向にある一方、オンライン上での番号盗用は依然として増加の一途をたどっています。
巧妙化するフィッシング手口
近年のフィッシング詐欺は、手口が急速に巧妙化しています。従来のメール経由に加え、「スミッシング」と呼ばれるSMS(ショートメッセージ)を使った手法が急拡大しています。宅配便の不在通知や銀行の認証要求を装ったSMSは、多くの人がSMSによる二段階認証に慣れているため信頼しやすく、被害が広がりやすい特徴があります。
また、「クレジットマスター攻撃」と呼ばれる手法も問題になっています。これはプログラムを使ってランダムな数字を自動生成し、有効なカード番号とセキュリティコードの組み合わせを特定する手口です。個人の不注意とは無関係にカード情報が突破される点で、消費者にとっては防ぎにくい攻撃と言えます。
対策の現在地
EMV 3-Dセキュアの義務化
被害拡大を受け、経済産業省は2025年4月からEC(電子商取引)サイトでのクレジットカード決済に「EMV 3-Dセキュア」の導入を義務化しました。EMV 3-Dセキュアは、カード利用時に追加の本人認証を行う仕組みで、従来の3-Dセキュア(バージョン1.0)と比べて利便性とセキュリティの両方が向上しています。
具体的には、リスクベース認証により不審な取引のみ追加認証を要求する仕組みが導入され、正規のユーザーは多くの場合スムーズに決済を完了できます。一方で、不正の疑いがある場合にはワンタイムパスワードや生体認証など、より厳格な認証が求められます。
不正利用発生率の公表開始
日本クレジット協会は2025年3月から、従来の被害「金額」に加えて「不正利用発生率」の公表を開始しました。これにより、取引件数あたりの不正発生頻度が可視化され、カード会社や加盟店ごとの対策効果をより正確に評価できるようになりました。
この取り組みは、業界全体のセキュリティ意識を高め、不正対策の質を底上げすることを目的としています。
個人が取るべき対策
消費者個人としても、以下の対策が重要です。
- メール・SMSのリンクを安易にクリックしない: 送信元のアドレスや記載されているURLのスペル、社名を冷静に確認する
- アプリの利用通知をオンにする: カード利用時のプッシュ通知を有効にし、身に覚えのない取引を即座に検知する
- 正規サイトからアクセスする: ブックマークや公式アプリからログインし、メール内のリンクからは入力しない
- OSとアプリを最新に保つ: セキュリティアップデートにより、詐欺師が悪用しやすい脆弱性が修正される
- 不正利用を発見したら即連絡: カード会社への早期の連絡が補償の条件になる場合がある
注意点・展望
2025年の被害額が前年比で減少に転じたことは、EMV 3-Dセキュアの義務化をはじめとする対策が一定の効果を上げ始めた可能性を示しています。しかし、500億円を超える被害水準が3年も続いている事実は、対策と犯罪手口の「いたちごっこ」がまだ続いていることを意味します。
今後の課題として、AIを活用した不正検知の高度化や、カード会社と加盟店のリアルタイム連携の強化が求められます。また、消費者のリテラシー向上も不可欠で、特に高齢者や情報リテラシーの低い層への啓発活動が急務です。
フィッシング詐欺の手口は今後もさらに巧妙化すると見られており、ディープフェイク音声を使った電話詐欺やAI生成による精巧な偽サイトなど、新たな脅威への備えも必要になるでしょう。
まとめ
クレジットカードの不正利用被害は2025年に510億円となり、3年連続で500億円超の深刻な状況が続いています。被害の9割以上を占める番号盗用への対策として、EMV 3-Dセキュアの義務化が進む一方、フィッシング手口の巧妙化が止まりません。
消費者としては、不審なメールやSMSのリンクをクリックしない、利用通知を有効にするなどの基本的な対策を徹底することが最も効果的な防御手段です。カード会社からの連絡を装った詐欺も横行しているため、少しでも不審に感じたら公式の問い合わせ窓口に直接確認する習慣をつけましょう。
参考資料:
関連記事
富士通が欧州防衛事業を倍増へ、デュアルユース戦略の全貌
富士通が欧州で防衛事業の人員を2000人規模に倍増する計画を発表。サイバーセキュリティや量子コンピューティングなど軍民両用技術で欧州市場に攻勢をかける背景と戦略を解説します。
サイバー対策製品の乱立が招くアラート疲れの実態
企業が導入するセキュリティ製品の増加が、担当者の疲弊や機能重複を引き起こしています。ツール統合の最新動向と効果的なセキュリティ投資の考え方を解説します。
真珠湾から9.11へ、情報の失敗はAI時代に克服できるか
真珠湾攻撃と9.11同時テロに共通するインテリジェンスの失敗を振り返り、AI技術が軍事情報分析をどう変革しつつあるのか、その可能性と課題を解説します。
中国がAIエージェントOpenClawに警告を発した背景
急速に普及するAIエージェント「OpenClaw」に対し、中国当局がセキュリティリスクを警告。脆弱性や情報漏洩の実態、企業・政府の対応策を詳しく解説します。
サイバー防衛株が停滞、AI代替懸念の深層
高市政権の戦略17分野に位置づけられるサイバーセキュリティ関連株が伸び悩んでいます。造船や防衛株との明暗を分けるAI代替懸念と外国製品依存の構造問題を解説します。
最新ニュース
アクティビストの標的が変化、還元から再編へ
割安株の減少でPBR1倍超え企業も標的に。アクティビストの投資戦略が株主還元から事業再編へとシフトする背景と今後の展望を解説します。
アームが初の自社製チップ発表、AI半導体市場に本格参入
ソフトバンクグループ傘下の英アームが35年の歴史で初めて自社製チップ「AGI CPU」を発表。メタやOpenAIを顧客に迎え、5年で年間150億ドルの売上を目指す戦略転換の全容を解説します。
Armが半導体自前開発に参入、AI向けCPUで事業転換
ソフトバンク傘下の英Armが35年間のIPライセンスモデルを転換し、自社開発チップ「AGI CPU」でメタやオープンAIにAI半導体を直接供給する戦略の背景と影響を解説します。
イビデン大幅続伸の背景と半導体銘柄上昇の全貌
2026年3月25日、イビデンが特別利益491億円の計上発表で大幅続伸。半導体関連銘柄が軒並み上昇した背景には、米イラン停戦期待による原油下落と投資家心理の改善がありました。
イラン強硬派「3人組」の実権と米15項目和平案の行方
ハメネイ師亡き後のイランで実権を握る革命防衛隊出身の強硬派3人組と、トランプ政権が提示した15項目の和平案の内容・交渉の行方を詳しく解説します。