2022年5月2日月曜日

メルカリ フィッシング 不正利用 不正対策 クレジットカード 決算発表 29億円の赤字

 4月28日、メルカリの決算発表では「不正利用」によって16億円の補填費用が発生していることが注目を浴びています。いったい何が起きているのか、またユーザーとして気を付けるべき点はあるのでしょうか。


カードの不正利用やフィッシング被害が多発

メルカリが発表した2022年6月期第3四半期(1-3月期)の決算説明資料では、これまであまり触れられてこなかった「不正利用」について、具体的な数字が明らかになりました。


これによると、不正利用は2021年末から増加。メルカリ事業で10億円、メルペイ事業で6億円、合計16億円を補填金として計上しています。1-3月期の連結営業利益は29億円の赤字なので、不正利用によって赤字が倍増したといえます。


メルカリが発表した不正利用の影響(決算説明資料より)

メルカリでは、不正に入手したクレジットカード情報で商品を購入される被害が発生しているといいます。


対策としてメルカリは「利用制限」を実施したものの、本来は制限すべきでないユーザーにも制限をかけてしまい、GMV(流通総額)が数%減少したといいます。1-3月期のGMVは2326億円なので、少なくとも数十億円規模の機会損失が発生したといえそうです。


ネット上には情報漏洩などで流出したクレジットカード情報が出回っています。以前には楽天モバイルが販売するiPhoneが狙われたことがありましたが、メルカリにも現金化しやすい商品がたくさん出品されており、不正利用のターゲットにされたと考えられます。


一方、メルペイではフィッシングの被害が多発しています。メルカリがWebサイトで注意を喚起しているように、ログインを促す案内がメールやSMSなどで届き、そこに書かれているリンクを開いてしまうと偽サイトに誘導されます。


メルカリにログインする際には電話番号による認証が導入されていますが、偽サイトによってはその画面も用意しているようです。ユーザーは本物のサイトと思い込んだまま、SMSで届いたコードを入力し、アカウントを奪取されるというわけです。


偽サイトも電話番号認証に「対応」している(メルカリのWebサイトより)

メルカリはセキュリティ対策を進めているものの、次の4-6月期にも同程度の被害が発生する見込みで、減少するのは7-9月期以降としています。


ユーザーが気を付けるべき点は?

メルカリのユーザーにとっても不安を覚える発表といえますが、どのあたりに気を付けるべきなのでしょうか。


まずクレジットカードについては、メルカリを使っているかどうかにかかわらず、毎月の利用明細を確認することが重要です。不正利用があればカード会社から補償を受けることができるので、それほど恐れる必要はないでしょう。たとえば三井住友カードの場合、「利用停止の手続きをした日の60日前までの利用」が補償の対象になります。


ただ、実際に不正利用をされた場合はカードを停止し、再発行が必要になるため、引き落としなどを設定している場合は面倒です。カードによってはアプリの操作で一時的に利用を止めたり、海外での利用を制限したりする機能を備えるものがあります。こうした機能を活用するのも1つの手でしょう。


フィッシングに対する備えとしては、メールやSMSで送られてきたリンクを安易に開かないことが重要です。本物と見分けがつかないメールも増えており、見た目や内容で判断するのは危険です。筆者は自分でスマホアプリを開くか、検索エンジンやブックマークを用いるなど、別の手段を用いるようにしています。


メルカリの偽サイトでは、ユーザーにログインさせた後、メールアドレスとパスワードの変更を試みるものがあるようです。いずれも電話番号認証が必要になるため、コードの入力を2回求められることになります。


偽サイトではコードの入力を「2回」求める場合も(プレスリリースより)

メルカリでは対策として、認証番号を通知するSMSに「認証理由」を記載するようになっています。ログインをしようとしているだけなのに、メールアドレス・パスワードを変更するためのSMSが届いた場合は、偽サイトを疑うべきでしょう。


SMSで認証番号が届いた場合は「理由」に注意(SMS画面より、筆者作成)

最悪の場合、メルペイの残高を不正に使われる恐れがありますが、利用規約によれば不正利用の発生から90日以内に所定の届出をすることで、補償を受けられるとの規定があります。メルペイの残高がある人は、月に1回程度は利用履歴を確認するとよいでしょう。

0 件のコメント:

コメントを投稿

/*ツイッター用*/