はじめに —— 知人にかかってきた一本の電話

先日、知人とお茶を飲んでいたときの話です。

「この前、カード会社から電話があってね。”不正利用の疑いがあります、本人確認のために番号を教えてください”と言われて、危うく言いそうになった」

幸い、その知人は途中でハッと我に返り、電話を切って、自分でカード裏面の番号にかけ直したそうです。結果、そんな電話はカード会社からはかかっていない、つまり詐欺の電話でした。

このときに私が感じたのは、ひとつの素朴な事実でした。クレジットカードのセキュリティで本当に弱いのは、カードでもシステムでもなく、私たち人間の判断のほうだということです。

そして、もうひとつ気づいたことがあります。カード会社は実は、こうした人間の弱さを補ってくれる仕組みを、すでにたくさん用意してくれているのです。問題は、私たちがそれを「設定するかどうか」だけ。今日はその話を、最新の数字を交えながら、ゆっくり整理してみたいと思います。

第1章 カード会社のシステム側は、実はもう相当強い

まずは少しだけ、舞台裏の話をさせてください。

クレジットカードのセキュリティ技術は、この20年で大きく進歩しました。たとえば、カード表面に小さく光っている金色の四角(ICチップ)。あれは「EMV」という国際規格にもとづいた仕組みで、決済のたびに使い捨ての暗号データをやり取りしています。これによって、昔流行した「磁気ストライプを盗み読みしてカードを偽造する」という手口は、ほぼ通用しなくなりました。

ネット決済の世界も同様です。「3Dセキュア」と呼ばれる本人認証の仕組みが整備され、購入のたびにスマホへワンタイムパスワードが届くようになりました。さらにカード会社は、24時間体制でAIに不正な決済パターンを監視させています。普段日本でしか使っていない人のカードが、急に深夜の海外で使われれば、すぐに止められる仕組みです。

つまり、システムを正面から突破するのは、現実にはとても難しいのです。

ではなぜ、いまも被害がなくならないのか。攻撃者たちは、もっと簡単で、もっと費用対効果の高い別の入り口を見つけてしまったからです。それが「人間」でした。

第2章 数字で見る、日本の被害の実態

ここで、最新の公式データを見てみましょう。

日本クレジット協会の発表によれば、2025年のクレジットカード不正利用被害額は、年間で約510億円にのぼりました。前年より8%ほど減ったとはいえ、3年連続で500億円を超える高い水準です。1日あたりにならすと、約1億4千万円。日本のどこかで、毎日それだけのお金が静かに抜き取られている計算になります。

ところが、もっと注目すべきは「内訳」のほうです。

被害の約93%は、いわゆる「番号盗用」と呼ばれるタイプ。つまり、カード本体は手元にあるのに、番号と有効期限とセキュリティコードだけを盗まれて、ネット上で勝手に買い物をされてしまう被害です。一方、カード自体を物理的に偽造する被害は、年間でわずか7億円ほど。比率にすると1%強にすぎません。

この対比が、今日の話の核心を物語っています。

カード会社が必死に守ってきた「物理的なカード」の世界では、被害がほぼ抑え込まれました。しかし、攻撃者は守りの薄い場所——つまり、私たちが自分の指でキーボードに番号を打ち込む瞬間——に標的を移したのです。

そして、その入り口の多くを占めているのが「フィッシング詐欺」と呼ばれるものです。フィッシング対策協議会には、1年間で約250万件もの偽メール・偽SMSの報告が寄せられています。1時間あたり、約290件。ニュースで派手に報じられないだけで、実際は驚くほどの量が日々飛び交っています。

しかも、狙われているブランドは、シニア世代にとっても身近なものばかりです。三井住友カード、VISA、NTTドコモ、Amazon、Apple、ANA、SBI証券——どれも、私たちが日常で使うサービスばかりではないでしょうか。

第3章 攻撃者が狙うのは「システム」ではなく「人間」

ここから話は、もう一段深いところに入ります。

なぜ、これほど多くの人が偽メールに引っかかってしまうのか。私自身、最初は「ちゃんと注意していれば見分けられるはず」と思っていました。しかし、実際の偽サイトの精巧さを見て、考えが変わりました。ロゴも、配色も、文章のトーンも、本物とほぼ見分けがつかないのです。

ここで、行動経済学者カーネマンの考え方が参考になります。彼は人間の思考を、ふたつのモードに分けて説明しました。直感的にパッと判断する速い思考と、じっくり腰を据えて考える遅い思考です。普段の暮らしの大部分は、速い思考で十分まわっています。むしろ、いちいち遅い思考を使っていたら、疲れて生活になりません。

問題は、攻撃者がこの「速い思考」をピンポイントで突いてくる、ということです。

「ご利用を一時停止しました」「至急ご確認ください」「本日中にお手続きを」——どれも、相手に冷静に考える時間を与えない言葉です。慌てた瞬間、私たちはほぼ自動的にリンクをタップし、なじみのあるロゴが表示された画面に、いつもの番号を打ち込んでしまいます。

つまり、フィッシング詐欺の正体は「技術の戦い」ではなく、「人間の心の隙を突く戦い」なのです。

第4章 シニア世代がとくに気をつけたい3つの罠

退職後の暮らしになって気づいたのですが、現役時代と比べて、私たちは「丁寧に対応してしまう」傾向があります。時間に余裕がある分、怪しい電話やメールにも、つい真面目に応じてしまうのです。これは美徳である一方、詐欺被害の入り口にもなります。

代表的な3つのパターンを紹介します。

ひとつめは、カード会社や銀行を装った電話です。「不正利用が検知されました」「カードを停止しました」と切り出してきます。本物のカード会社は、電話で番号やパスワードの全桁を聞いてくることはまずありません。少しでも怪しいと感じたら、いったん切って、カード裏面の番号からかけ直すのが鉄則です。

ふたつめは、宅配便や通信会社を装ったSMSです。「不在のため持ち帰りました」「料金未払いのお知らせ」というメッセージにURLが添えられています。タップした先は、本物そっくりの偽サイト。シニア世代は、ネット通販を利用する機会が増えた分、こうした「ありそうな話」に引っかかりやすくなります。SMSのURLは、原則として開かない、と決めておくのが安全です。

みっつめは、家族や役所を装ったアプローチです。「孫の声が変だな」「市役所からの還付金の手続きで」——古典的な手口に思えますが、いまもなくならないのは、それだけ刺さるからです。家族の名を借りた連絡には、いったん別の手段で本人に確認する習慣をつけることが、何よりの守りになります。

共通しているのは、「権威」と「緊急性」の組み合わせです。この2つが揃ったら、まず立ち止まる——これだけで被害の多くは防げます。

第5章 本質的な対策は「ツール」ではなく「習慣」

ここまで読んでくださった方なら、もうお気づきかもしれません。

セキュリティソフトを入れることも、複雑なパスワードを使うことも、もちろん大事です。けれども、それらは結局のところ、最後の砦である「自分の判断」を補強する道具にすぎません。本当に効くのは、特別な技術ではなく、毎日のささやかな習慣だと、私は思っています。

ここでは、私自身が設定している、いわば必須の設定と思うものを案内します。

1. 連絡は、必ず公式アプリかカード裏面の電話番号から確認する。 相手から言われた番号や、メールに書かれたリンクからは絶対にアクセスしない。これだけで、フィッシングの大半は防げます。

2. リアルタイム利用通知を設定する。 カード会社の公式アプリには、利用のたびに通知してくれる機能があります。これを入れておくと、見覚えのない決済があった瞬間にすぐ気づけます。しかも、LINE・メール・アプリ通知と複数の手段を組み合わせて設定できるものもあります。特にメール通知では、宛先に自分のニックネームを指定できる機能を持つカードもあり、フィッシング詐欺が多いことを考えると必須の設定だと感じています。逆に、宛先が「ご利用者様」など曖昧なものは、本物のカード会社からの通知ではない可能性が高いので、すぐに削除しても問題ありません。気になるなら、その都度アプリやホームページから自分で確認すれば足りるからです。

3. 利用明細は、紙の到着を待たずにアプリで都度確認する。 今の時代、明細書の到着を待つ理由はもうありません。スマホアプリから、その日の利用履歴がすぐに確認できます。退職後の今こそ、この習慣を取り入れるチャンスです。私自身は、リアルタイム通知設定と合わせて、タイミングを見て都度チェックするようにしています。

4. 少しでも怪しいと感じたら、必ず一呼吸おく。 カーネマンの言う「遅い思考」を、自分から呼び戻すのです。「いま自分は急かされているな」と気づくこと、それ自体が最強の防御です。

5. 家族や信頼できる友人に話してみる。 「こんな電話があったんだけど、変だよね?」と一言相談する。詐欺師が最も嫌がるのは、被害者が冷静になることと、第三者の目が入ることです。一人で完結させない、という決め事だけで、被害の多くは未然に防げます。

これら5つに共通するのは、「仕組み」よりも「間(ま)」をつくる、ということです。一呼吸の余白、都度の振り返り、誰かに話す時間。詐欺は、その余白がない人を狙ってきます。逆に言えば、暮らしに余白がある人ほど、強いのです。

そしてもうひとつ強調しておきたいのは、これらの設定はすべて、カード会社がすでに用意してくれている機能だということです。リアルタイム通知も、アプリでの即時ロックも、不正利用の自動検知も、私たちが何かを新しく作り出す必要はありません。あとは、こちらが「使うかどうか」を決めるだけ。せっかく用意された防御の仕組みを、設定ひとつしないだけで無駄にしてしまうのは、あまりにもったいない話だと思うのです。

第6章 万が一、被害にあってしまったら

それでも、もし被害にあってしまったら——一番大切なのは、すぐ動くことです。

最初にすべきは、カード会社への連絡。カード裏面に記載された緊急停止の番号にかければ、24時間対応してくれます。あわせて、スマホのアプリからカードの利用ロックをかけることもできます。電話がつながるまでの数分でも、ロック機能を使えば被害の拡大を最小限に抑えられます。

そのうえで、警察(最寄りの警察署または#9110)への相談、必要に応じて消費生活センター(188)への問い合わせへと進めていきます。

クレジットカードの不正利用については、各社の規約で気づいた日からおよそ60日以内に届け出れば、原則として補償される仕組みが整えられています。だからこそ、こまめな利用明細のチェックが効くのです。早く気づけば、必ず取り戻せる道があります。

まとめ —— 守る力は、暮らしのリズムから生まれる

クレジットカード会社のシステムは、年々強くなっています。AIによる不正検知、3Dセキュアによる本人認証、リアルタイムの利用通知、アプリからの即時ロック——カード会社は、すでに多くの守りを私たちに手渡してくれています。

最後の一枚の壁は、やはり私たち自身の判断と習慣でしか作れません。けれどもその前に、まずカード会社が用意してくれた防御の仕組みを、設定ひとつ放置せずに使い切ること。これが、退職後を安心して暮らすための、最低限の準備だと感じています。

これは、お金の話だけにとどまりません。健康のこと、人間関係のこと、情報との付き合い方——どれも、結局は同じです。派手な対策ではなく、地味な習慣の積み重ねこそが、本質的に効く。退職後の暮らしのなかで、自分でできるスマホの設定を最低限しておくという守りも、必ず必要なのです。

ご自身の暮らしのなかに、どんな「間」を入れていけそうでしょうか。今日のこの記事が、その小さなきっかけになれば、嬉しく思います。

参考データ

• 一般社団法人 日本クレジット協会「クレジットカード不正利用被害の集計結果について」(2026年3月発表、2025年通年集計値)
• フィッシング対策協議会「月次報告書」(2025年各月版)
• 経済産業省「クレジットカード不正利用被害の状況について」

※本記事は一般的な情報提供を目的とした内容であり、特定の金融商品の推奨や、被害発生時の法的助言を行うものではありません。実際に不正利用や詐欺被害にあわれた場合は、速やかにカード会社、警察、消費生活センター等の専門機関にご相談ください。

問いをたてる
カード情報を盗まれるリスクより、フィッシングサイトへのカード情報入力の方がリスクが大きいとの真意を調べてみました。

私自身、キャッシュレス決済を日常的に使うようになってから、「タッチ決済って本当に安全なの？」という疑問がずっとありました。電車の中ですれ違っただけで情報を抜かれるという話も耳にし、不安に感じたことがきっかけで、実際の仕組みを調べてみました。

「タッチ決済は、すれ違いざまに情報を抜き取られたら終わり」「カード番号を知られたら、すぐにクローンを作られてしまう」

こうした不安を耳にすることがありますが、実はこれ、現代のクレジットカード技術（EMV規格）においては大きな**「誤解」**です。確かに電波を使う以上、不安に感じるのは自然なことですが、世界基準のセキュリティ視点で見ると、私たちが本当に警戒し、対策を講じるべき場所は別にあります。

今回は、タッチ決済の仕組みを整理し、何が本当のリスクで、どう守ればいいのかを実務的に解説します。

「情報ののぞき見」が怖くない理由：その場限りの魔法の署名

まず、日本で根強い「スキミングで番号を抜かれたら、そのまま不正利用される」という不安を解剖しましょう。確かに専用の機械を近づければ、カード番号の一部を読み取れる可能性はゼロではありません。しかし、現代の技術において「番号が読めること」と「決済ができること」の間には、巨大な壁が存在します。

磁気カード時代：コピーが簡単な「名刺」

昔の磁気ストライプカードは、カードに「名前」と「番号」が固定データとして記録されているだけでした。これは、名前が彫られた「ハンコ」を持ち歩いているようなもので、一度粘土に押し当てて形をコピー（スキミング）されてしまえば、いくらでも偽物のハンコ（クローンカード）が作れてしまいました。

タッチ決済（EMV）時代：毎回生成される「動的データ」

現代のタッチ決済は、カードの中に小さなコンピューター（ICチップ）が入っています。カードをかざした瞬間、チップがその取引ごとに独自の**「動的な認証データ（クリプトグラム）」**を生成します。

• 犯人が通信を盗み見ても： 手に入るのは「さっきの買い物で使い終わった、一度きりの署名」だけです。
• 次の買い物で使おうとすると： 決済ネットワーク側で「その署名はもう使えません」と即座に拒否されます。

つまり、盗んだデータをそのまま次の対面決済に再利用するのは極めて困難です。ネットで噂されるような「すれ違いざまの抜き取りで、そのまま買い物をされる」という手口は、現代の技術では現実的ではありません。

なぜフィッシング詐欺で「カード情報」が狙われるのか

「タッチ決済が安全なら、カード情報を盗まれても平気なの？」と思うかもしれませんが、ここからが本題です。犯人が欲しがっているのは、あなたの「タッチ決済をコピーする権利」ではありません。彼らが狙っているのは、物理的なカードを必要としない**「オンライン決済（ネットショッピング）」での悪用**です。

オンライン決済という主戦場

店頭でのタッチ決済は高度な暗号で守られていますが、一般的なネット通販では、店頭とは別の仕組みで本人確認が行われます。犯人は偽のサイト（フィッシングサイト）を使って、あなたの「カード番号」「有効期限」「セキュリティコード（CVV）」を入力させようとします。

これらが揃えば、犯人は自分のパソコンからネットショップで買い物ができてしまいます。さらに最近では、Apple PayやGoogle Payなどの**「デジタルウォレットへの不正登録」**を狙い、最後の一線である「ワンタイムパスワード（OTP）」まで盗み取ろうとする手口が、日本を含め世界中で急増しています。

【実務的整理】何を盗まれると、どこまで危ないのか？

「カード情報を入力してしまった！」という時、被害の深刻さは「何を入力したか」で決まります。実務的なリスク段階を以下の表にまとめました。

犯人はまず、盗んだ番号が「生きているか」を確かめるために、数百円程度の少額決済を行うことがあります。これを見逃すと、数日後に大きな被害につながるため、**「リアルタイム利用通知の常時ON」**が最大の防御になります。

本当に警戒すべき「実務的なリスク」と対策

空中から情報を抜かれる心配をするよりも、現代の私たちが優先すべき「鉄壁の守り」は以下の3点です。

スキミングより「紛失・盗難」

日本のキャッシュレス環境において、対面で最もリスクが高いのは「カードやスマホの紛失」です。少額決済ではサインや暗証番号が不要なケースが多いため、拾った第三者にそのまま使われてしまう可能性があります。

• 対策： 紛失時は即座にアプリや電話で「利用停止」を行う。スマホには必ず生体認証（指紋・顔）をかける。ナンバーレスやカードレスタイプを選択可能であれば極力利用しましょう。

「ワンタイムパスワード」は誰にも教えない

SMSやメールで届くワンタイムパスワードは、決済を完了させるための「最後の鍵」です。これを入力させるフィッシングサイトや、電話で聞き出そうとする手口に注意してください。

• 対策： より強固なセキュリティを求めるなら、SMS認証よりも「認証アプリ」や「パスキー」といった最新の認証方式を採用しているサービスを選ぶのが国際基準の推奨です。

「怪しいリンク」を徹底的に疑う

現代の不正利用のほとんどは、技術的な隙を突くものではなく、人間の心理を突く「フィッシング」から始まります。

• 対策： 公式アプリや事前にブックマークしたURL以外からは、絶対にカード情報を入力しない習慣をつけましょう。

まとめ：正しく理解して、賢く使う

「タッチ決済は電波だから危ない」という不安は、現代の暗号技術（EMV）の前では過去のものになりつつあります。今のキャッシュレス時代において、本当に怖いのは「見えない電波」ではなく、**「言葉巧みにあなたを騙し、自分の手で情報を入力させる罠」**です。

1. タッチ決済自体は、世界基準の暗号技術で守られている。
2. 不正利用の主戦場は「対面」ではなく「オンライン」である。
3. 最強の武器は、最新のセキュリティ機能（3Dセキュアや利用通知）の活用。

この3点を理解しておくだけで、あなたのデジタルライフの安全性は向上します。

私見）フィッシング詐欺の被害額が大きいことを考えると、誤ってログインしようとした時のログイン情報からカード情報が盗まれるリスクが最も大きいと考えて良いと思います。
特に怪しいサイトや、メールリンクからの直接ログインは絶対やめるべきです。

最後までお読み頂き、ありがとうございました。

※本記事の内容は、執筆時点の情報に基づいた一般的なセキュリティ解説です。万が一、不審な取引や情報の流出が疑われる場合は、直ちにカード発行会社へ連絡し、適切な措置を講じてください。記事情報の利用により生じた損害について、当方は一切の責任を負いかねます。

〜実際に届いたフィッシングの手口と、私が実践する3つの防衛策〜

「ログインするには、スマホに届く6桁の数字を入力してください」

ネットでお買い物をしたり、SNSの設定を変えたりするとき、こんな画面をよく見かけますよね。これが「2要素認証（2FA）」です。

パスワードだけより安全、と言われているこの仕組み。でも実は、それだけでは防ぎきれない罠があります。私自身、怪しいメールやSMSを受け取るたびに、その巧妙さに驚かされています。

「2要素」ってなに？まず整理しよう

認証の世界では、本人を確認するための「証拠」を3つのグループに分けて考えています。そのうちの2つのグループを組み合わせるから「2要素認証」と呼びます。

• 知識（知っていること）：パスワード、秘密の質問
• 所持（持っているもの）：スマホ（SMS）、セキュリティキー
• 生体（自分自身）：指紋、顔（Face ID）

「パスワード（知識）」＋「スマホに届く数字（所持）」の二段構えで、パスワードが盗まれてもログインできない仕組みです。

忍び寄る「2要素認証の罠」

一見完璧なこの作戦ですが、大きな弱点があります。

罠①：偽の画面（フィッシング）

犯人は本物そっくりの偽サイトを作ります。あなたがパスワードを入力すると、犯人はリアルタイムで本物のサイトにそれを入力。すると本物のサービスからあなたのスマホに「6桁の数字」が届く。それを偽サイトに入力してしまうと、犯人はその数字も盗んでログイン完了です。

罠②：SIMスワップ（番号の乗っ取り）

悪意のある人があなたになりすまして携帯ショップへ行き、SIMカードを再発行してしまう手口。あなたのスマホから電波が消え、犯人のスマホに認証コードが届くようになります。

私が実際に受け取った怪しいメール・SMSの実例

これは単なる他人事ではありません。私自身、こういったメールやSMSを定期的に受け取っています。

メールの怪しいサイン

まず気づいたのが「宛名」です。本物のサービスなら必ず登録した名前で届くはず。でも怪しいメールは「ユーザー様」「契約者様」、あるいは宛名がまったくないものが多い。

次に「ログインを促すメール」です。「アカウントを確認してください」とリンクが貼られていますが、ブラウザのブックマークから直接ログインすると、何の確認画面も出てこない。つまりそのメール自体が偽物だったということです。

特に驚いたのが解約済みのクレジットカード会社やサブスクサービスからの「確認メール」。すでに関係のないはずの会社から届く。これは明らかに詐欺です。即削除しました。

また、ネットショッピングで決済が完了した直後に「お支払い情報を更新してください」というメールが届いたこともあります。決済は済んでいるのに、なぜ今さら？これも削除です。

なお、Gmailに移行してからはほとんどが迷惑メールとして自動判定されるようになりました。Gmailのフィルタリングは非常に優秀です。

SMSの怪しいサイン

ネット注文をしていない日や、すでに受け取り済みの商品に対して「不在通知」のSMSが届くことがあります。「宅配便の不在通知」は詐欺SMSの定番手口です。即削除しています。

電話の対処法

連絡先に登録していない番号には出ません。着信があれば番号を検索して、信頼できる機関かどうか確認してからこちらからかけ直します。最近は役所からの電話が多いですが、それも同じ対応です。現状、電話はほとんど使用しない生活になっています。

パスキーは「数字の罠」にかからない

こうした罠に対して、より安全なのがパスキーです。

パスキーも「スマホを持っている（所持）」＋「指紋や顔（生体）」の2要素認証ですが、「人間が数字を読み取って入力する」という隙がありません。

デバイス同士が裏側で「このサイトは本物か？」を自動で確認し合うため、人間が偽サイトに騙されようとしても、技術的にログインを拒否してくれます。

私自身、対応しているサービスは積極的にパスキーに切り替えています。また、パスワードはパスワード管理ソフトで一元管理し、サービスごとに異なるパスワードを使うようにしています。

私が実践している3つのセキュリティ習慣

• ① メールのリンクは踏まない。ブックマークから直接ログインする
• ② 宛名が個人名でないメールは疑う。即削除を習慣にする
• ③ 対応サービスはパスキーに切り替え、パスワードは管理ソフトに任せる

これだけでも、フィッシング詐欺の大半は防げます。

まとめ

2要素認証は「パスワードのみ」より確実に安全です。でも、SMSコードの入力には「人間が騙される」という弱点があります。

怪しいメールやSMSは、宛名・タイミング・送信元を確認する習慣だけで多くは見破れます。そして可能な限りパスキーに移行していくことが、今できる最善の防衛策です。

セキュリティは難しく考えすぎなくても大丈夫。「おかしいな」と感じたら削除する。それだけで十分な場面がほとんどです。

最後までお読みいただき、ありがとうございました。

免責事項：2要素認証（SMSやアプリによる認証）は、パスワードのみの運用より遥かに安全です。本記事は、より高度な攻撃に対する脆弱性を指摘するものであり、現在設定されている2要素認証を解除することを推奨するものではありません。