>
>
公開日
最終更新日
クレジットカードの明細に身に覚えのない請求を見つけると、すぐに不正利用を疑いたくなります。ただし、決済代行会社名で表示されているだけのケースや、家族利用、無料お試し後の自動課金も少なくありません。
個人カードの利用者から、法人カードを管理する情シス部門、チャージバック被害を防ぎたいEC事業者まで、それぞれの実務に役立つ対策をまとめました。クレジットカード不正利用の原因、検知の仕組み、犯人特定の現実、補償対象外となる失敗パターンまで実務目線で解説します。

クレジットカード不正利用の原因とは
クレジットカード不正利用の原因は、実店舗でのカード盗難よりもオンライン上の**番号盗用**が圧倒的多数を占めています。
番号盗用が不正利用の中心
日本クレジット協会の「クレジットカード不正利用被害額の発生状況」2026年3月公表資料によると、2025年通年の被害額は510.5億円(**前年比8.0%減**、11年ぶりの減少)で、うち番号盗用は約475億円です。割合にすると**約93%**で、クレジットカード不正利用の原因は非対面取引に集中しています。詳細データは日本クレジット協会の統計ページで公表されています。
番号はどこから漏れるのか
主な流出経路は、配送業者・金融機関・ECサイトを装った**フィッシングメール**、偽SMS、脆弱なECサイトへの不正アクセス、使い回したIDとパスワードによるアカウント乗っ取りです。カード番号そのものを盗まれなくても、ECサイトの登録済みカードが不正ログイン後に悪用されるケースがあります。
物理カードの盗難も軽視できない
番号盗用が多数派とはいえ、財布の紛失、カードの置き忘れ、家族や同居人による無断利用も発生します。カード裏面の署名がない、暗証番号が生年月日や電話番号、1234など推測しやすい番号である場合は、**重大な過失**とみなされ、補償されないケースがあります。
【最新】不正利用被害は2025年後半から減少に転じた
2025年のクレジットカード不正利用被害は高水準のままですが、3Dセキュア義務化の定着により減少傾向が見え始めています。
2025年通年は510.5億円、11年ぶりの減少
日本クレジット協会の公表データによると、2024年の不正利用被害額は**555億円**(前年比約2.6%増)、2023年は540.9億円と高水準が続いています。詳細は日本クレジット協会の公式統計ページで確認できます。EMV 3-Dセキュアの普及により、EC決済の追加認証が効き始めたと業界では見られています。
背景はEMV 3-Dセキュアの原則義務化
経済産業省主導のクレジットカード・セキュリティガイドラインに基づき、2025年3月末までに原則すべてのEC加盟店で**EMV 3-Dセキュア**の導入が求められました。方針の詳細は経済産業省のクレジットカードセキュリティ関連ページで、最新ガイドライン(6.1版)は日本クレジット協会のガイドラインページで公開されています。従来の固定パスワード型ではなく、取引リスクに応じて追加認証を求める3Dセキュア2.0が標準になったことで、番号だけを盗んだ不正注文は通りにくくなっています。
2026年はログイン対策まで問われる
2025年3月公表のクレジットカード・セキュリティガイドライン**6.0版**では、3Dセキュアの導入だけでなく、ECサイト側の脆弱性対策、不正ログイン対策、適切な本人認証運用が新たに追加・義務化されました。最新の**6.1版**(2026年3月公表)でもこれらの要件は引き続き求められています。最新版のガイドラインは日本クレジット協会のガイドラインページから確認できます。3Dセキュアを設定していても、フィッシングでワンタイムパスワードまで盗まれれば突破されるため、多層防御が前提です。
クレジットカードの不正利用はなぜわかる?
カード会社は、**AIスコアリング**や利用傾向分析、3Dセキュアのリスクベース認証などを組み合わせて不正利用を検知しています。
AIがミリ秒単位で取引を判定する
カード決済時には、オーソリゼーションと呼ばれる信用照会が行われます。この短い処理時間の中で、カード会社は過去の利用履歴、金額、時間帯、加盟店、国、端末情報、IPアドレス、連続決済の有無を照合し、取引ごとにリスクを点数化します。普段は国内スーパーで数千円の利用が中心のカードで、深夜に海外ECで高額商品を連続購入すれば、通常パターンから外れた取引として検知されます。
AI不正検知の導入例
国内では、エポスカードが2024年11月からAI不正検知ソリューション**PKSHA Security**を本格導入したと公表しています。詳細はエポスカードの公式プレスリリースおよびPKSHA Securityの公式サイトで確認できます。過去の取引傾向を時系列で学習し、未知の不正パターンを検知する仕組みです。三菱UFJカード、DCカード、NICOSカードなどでも同系統のAI不正検知活用が進み、カード会社の調査方法は人手確認からリアルタイム判定へ移っています。
リスクベース認証の判定フロー
EMV 3-Dセキュアでは、すべての決済で一律にパスワード入力を求めるのではなく、取引の危険度に応じて追加認証の有無を変えます。低リスク取引はスムーズに通し、不審な取引だけワンタイムパスワードや生体認証を求めます。
認証フロー | リスク判定 | 追加認証 | ユーザー体験 | 代表例 |
|---|---|---|---|---|
フリクションレスフロー | 低リスク | 不要 | 入力なしで決済完了 | 普段使う端末・配送先・少額決済 |
チャレンジフロー | 中〜高リスク | 必要 | ワンタイムパスワードや生体認証を要求 | 高額決済、初めての端末、海外IPからの購入 |
否認・保留 | 高リスク | 決済停止または本人確認 | カード会社から確認が入る | 短時間の連続購入、換金性商品の大量購入 |
この仕組みがあるため、本人が明細を見る前にカード会社から確認SMSやアプリ通知が届くことがあります。ただし、その通知を装った**フィッシング**もあるため、SMS内のURLではなく公式アプリやカード裏面の電話番号から確認するのが安全です。
身に覚えがない請求と間違えやすい失敗パターン
身に覚えのない請求がすべて不正利用とは限りません。カードを止める前に、明細の名称や家族の利用履歴、定期課金の有無を確認してください。
不正利用と誤認しやすい4つのケース
慌ててカードを止めると、公共料金や業務用SaaS、スマホ決済の引き落としまで止まる場合があります。まず次の4点を確認してください。
確認ポイント | よくある原因 | 確認方法 |
|---|---|---|
明細の店舗名が違う | 決済代行会社名や運営会社名で表示 | 購入メール、注文履歴、明細の利用日で照合 |
金額が少し違う | 海外決済の為替レート、海外事務手数料 | 外資系サービスの請求通貨と利用規約を確認 |
家族が使っていた | 家族カード、スマホのファミリー共有、子どものゲーム課金 | 家族カード明細とアプリ購入履歴を確認 |
無料のはずが請求された | 無料お試し後のサブスクリプション自動移行 | 契約メール、マイページ、解約期限を確認 |
やってはいけない初動
不審請求を見つけても、検索で出てきた不明な返金代行サイトに連絡したり、SMS内のURLからログインしたりしてはいけません。カード会社を装った**二次フィッシング**の入口になるため、連絡先はカード裏面、公式アプリ、公式サイトの会員ページから確認します。
犯人はバレる?誰が使ったかわかるか
クレカ不正利用の犯人特定は個人では困難ですが、カード会社と警察は**デジタルフットプリント**を追跡できます。
個人で犯人を追跡してはいけない
クレカ不正利用はバレるのか、誰が使ったかわかるのかは多く検索される疑問です。結論として、被害者本人がIPアドレスや配送先から犯人を直接特定することは現実的ではありません。相手に連絡を取る、SNSで名前を晒す、不審サイトに再ログインする行為は、脅迫や追加の個人情報流出につながります。
警察とカード会社が追う足跡
犯人はVPNや海外サーバーを使うことがありますが、完全に足跡を消せるわけではありません。カード会社や加盟店の取引ログ、配送先、受取時の防犯カメラ、フリマアプリでの転売履歴、登録口座、端末情報が捜査対象になります。警察庁の「令和6年におけるサイバー空間をめぐる脅威の情勢等について」でも、フィッシングによる認証情報窃取や不正送金・不正購入が**継続的な脅威**として扱われています。詳細は警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」(PDF)および警察庁の公式報告書ページで公開されています。
不正利用は刑事事件になる
盗んだカード情報で商品を購入した場合、詐欺罪、電子計算機使用詐欺罪、不正アクセス禁止法違反などが問題になります。犯人がバレるかどうかは、被害額、証拠、配送先、加盟店ログ、警察の捜査状況に左右されます。被害者がすべきことは犯人探しではなく、カード会社への連絡、警察への相談、証拠となる明細や通知の保存です。
クレジットカードを不正利用されたら誰が払う?
カード不正利用されたら誰が払うかは、会員側に**重大な過失**がなければ原則としてカード会社の補償対象です。
会員は原則0円だが条件がある
多くのクレジットカードには盗難保険や不正利用補償が付帯しており、第三者による番号盗用と認定されれば、会員の支払いは取り消されます。すでに引き落とし済みの場合は、調査後に返金または翌月以降の請求と相殺されるのが一般的です。
補償対象外になりやすいケース
ケース | なぜ問題になるか | 会員が取るべき対策 |
|---|---|---|
60日ルール超過 | 多くのカード会社は届出期限を設けている | Web明細と通知を月1回以上確認 |
推測されやすい暗証番号 | 重大な過失と判断される場合がある | 生年月日、電話番号、連番を使わない |
カード署名なし | 会員規約違反とみなされる場合がある | 受け取り後すぐ裏面に署名 |
家族・同居人の無断利用 | 管理不足として補償外になりやすい | 保管場所と家族カードの利用範囲を決める |
裏側ではEC店舗がチャージバックを負担する
会員が補償される一方で、EC加盟店には**チャージバック**が発生します。チャージバックとは、カード会社が不正利用分の売上を取り消し、加盟店への入金を拒否または返金請求する仕組みです。商品を発送済みのEC店舗は、商品も売上も失う二重損失を負います。
3Dセキュア導入で責任が移る場合がある
加盟店がEMV 3-Dセキュアを適切に導入している取引では、一定条件のもとで不正利用の責任がカード発行会社側へ移る**ライアビリティシフト**が働きます。EC事業者にとって3Dセキュアは、顧客保護だけでなくチャージバック損失を抑える経営上の対策です。
▲ クレジットカード不正利用時に自己負担が発生するか、補償(0円)となるかの判定フロー
▲ 不正利用発生時における関係者の損失負担とチャージバックの仕組み
クレジットカード会社の不正利用調査方法
調査はカードの利用停止から始まり、本人への確認、加盟店への照会を経て補償の判断へと進みます。
調査の流れと目安期間
カード会社の調査は、被害拡大を止める処理と、第三者利用かどうかを確認する処理に分かれます。調査期間は**数週間から2カ月程度**が目安ですが、海外加盟店や配送記録の確認が必要な場合は長引きます。
時点 | 行われること | 利用者がすること |
|---|---|---|
発見直後 | 不審取引の確認、カード利用保留 | 明細、利用通知、注文履歴を保存 |
即日 | 本人への利用意思確認 | カード裏面や公式アプリから連絡 |
数日以内 | 加盟店への取引照会 | 警察相談時の受理番号を控える |
数週間〜2カ月 | 第三者利用の認定、請求取消または返金 | 再発行カードの登録先を更新 |
カード会社が確認する情報
調査では、利用日時、金額、加盟店、配送先、IPアドレス、ログイン履歴、3Dセキュア認証結果、過去の利用傾向が照合されます。電話で確認を受ける場合でも、カード会社が**暗証番号やセキュリティコード全桁**を聞くことはありません。聞かれた場合は詐欺を疑い、通話を切って公式窓口にかけ直してください。
▲ カード不正利用の発覚から補償・解決までに利用者が行う4つのステップ
クレジットカードの不正利用を防止するための対策
個人の明細確認に加え、法人のカード管理ルールの徹底、EC店舗の3DセキュアやAI不正検知といった多角的な防御が求められます。
個人が今日からできる対策
Web明細と利用通知を有効化し、少額のテスト決済を見逃さない。
カード会社、ECサイト、メールアカウントでパスワードを使い回さない。
SMSやメールのリンクからログインせず、公式アプリかブックマークから開く。
暗証番号を生年月日、電話番号、連番にしない。
情シス・法人カード管理者の規模別対策
法人カードでは、個人の不注意が会社経費やSaaS契約停止につながります。50名未満なら月次明細の目視確認でも対応できますが、50〜300名では利用通知と権限管理、300名超ではカード利用ルール、ログ監査、退職者アカウント削除の自動化が必要です。
対象 | 優先対策 | 失敗しやすい点 |
|---|---|---|
個人・家族 | 明細確認、利用通知、暗証番号変更 | 家族課金を不正利用と誤認する |
50名未満の法人 | カード保管者と利用申請ルールの明確化 | 共用カードの利用者が追跡できない |
50〜300名の法人 | 部門別カード、月次レビュー、SaaS支払い台帳 | 退職者が登録したカード情報が残る |
300名超の法人 | 経費精算・ID管理・ログ監査の連携 | カード停止時の業務影響を把握できない |
国内企業のAI不正検知導入事例
2025〜2026年のEC事業者では、3Dセキュア単体ではなく**AI不正検知**を重ねる運用が主流です。公開事例では、購入体験を悪化させずに不正率を下げる成果が出ています。
企業 | 業種・規模 | 導入時期 | 課題→施策→成果 |
|---|---|---|---|
and ST | ファッションEC | 不正対策強化時期に導入 | 全件3Dセキュアでカゴ落ちと目視確認が増加→Riskified導入→決済承認率の改善と不正利用率の大幅低減を達成(詳細は公式事例参照) |
SHOPLIST | ファッション通販 | 2026年6月公表 | 不正対策と購入手続き短縮の両立が課題→Forter導入→**不正利用率を20分の1以下**に抑制 |
LIXILストア | 住生活関連の公式通販 | 2026年5月公表 | 換金性商品の不正注文が発生→O-PLUX導入→トライアルで**97%の不正検知率**を記録 |
出典:and STの導入事例(Riskified公式サイト)、SHOPLISTの導入事例(Forter公式・2026年6月公表)、LIXILストアの導入事例(O-PLUX公式・2026年5月公表)をご参照ください。
3Dセキュアをすり抜ける手口への備え
フィッシングでワンタイムパスワードまでリアルタイムに盗む手口、SIMスワップでSMS認証を奪う手口、乗っ取ったアカウントから登録済みカードを使う手口は3Dセキュアだけでは防ぎきれません。EC側は端末情報、IPアドレス、配送先、購入速度、過去の返品・チャージバック履歴を組み合わせて判定する必要があります。
よくある質問
クレジットカード不正利用で多い疑問は、補償、カード停止、家族利用、3Dセキュア、犯人特定に集約されます。
Q:不正利用の調査中もカードは使えますか?
A:カード会社が該当カードを停止した場合、調査中は原則として使えません。再発行カードが届くまでは別カードや口座振替を利用し、公共料金やSaaSの支払い先も更新してください。
Q:家族が無断でカードを使った場合は補償されますか?
A:家族や同居人による無断利用は、会員の管理不足として補償対象外になるケースが多いです。家族カードやスマホのファミリー共有は、利用上限と購入承認を設定してください。
Q:3Dセキュアを設定すれば不正利用は100%防げますか?
A:100%は防げません。ワンタイムパスワードを盗むフィッシングや、アカウント乗っ取りによる登録済みカードの悪用があるため、明細確認とログイン対策も必要です。
Q:カード不正利用されたら誰が払うのですか?
A:第三者による不正利用と認定され、会員に重大な過失がなければ原則としてカード会社の補償対象です。ただし、届出遅れ、暗証番号管理の不備、家族利用などは自己負担になる場合があります。
Q:クレカ不正利用の犯人はバレますか?
A:被害者個人が犯人を特定するのは困難です。カード会社や警察は配送先、IPアドレス、防犯カメラ、転売履歴などを追跡できるため、証拠を保存して正式な窓口に相談してください。
まとめ
不審な請求に備えて今日からできること
クレジットカードの不正利用を防ぐには、**番号盗用**と**アカウント乗っ取り**が起きる前提で対策を講じましょう。まずは利用通知を有効化し、明細を月1回ではなく週1回見る運用に変えてください。身に覚えがない請求を見つけたら、明細名、家族利用、サブスクを確認し、それでも不明ならカード裏面または公式アプリから即日連絡します。法人カードを扱う情シス部門は、共用カードを減らし、利用者・用途・支払先を台帳化することが最初の一歩です。
防犯チェックリスト
✅ 利用通知をオンにしている
✅ カード裏面に署名している
✅ 暗証番号に生年月日や連番を使っていない
✅ SMS内のURLからログインしない
✅ カード会社の緊急連絡先を公式アプリまたはカード裏面で確認できる
【著者・監修情報】
本記事は、クレジットカードのセキュリティ対策やEC不正防止に関する調査・執筆を行う編集部が、日本クレジット協会・警察庁・経済産業省などの公的データ、および各社の公式プレスリリースをもとに作成しました。内容については、決済セキュリティおよびサイバーセキュリティ分野の実務経験を持つ専門家が監修しています。最新の統計や制度改正については、随時内容を見直しています。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。




