Amazon Mastercard クラシックのクレジットカードが不正利用されました。気を付けて

　毎季更新さるきのこです。

　タイトルの通りですがカードが不正利用されていました。
　不正利用にあったクレジットカードはAmazon Mastercard クラシックです。なんなんでしょうねー。まさか自分はあわないだろうとは思ってたけど被害に遭ってしまいました。

　使用状況は以下の通り
・Amazonでの買い物専用カード
・Amazonで使用するとポイント還元率もいい。それに発行するだけで5000ポイントもらえたのでそれにつられて発行したと思う
・Amazonでしか利用しない。財布にも入れてない。常に自宅保管

　こんな感じです。こんな利用形態なのに何故かカード番号が漏れて不正利用に遭ってしまいました。
　喩えるならアマゾンの奥地に住む文明の接触が全くない原住民が何故か新型コロナに感染してしまったというような不可解な状況です。

被害金額

画面のスクショです。
赤枠で囲ったところが被害部分

計4件の不正利用があり
9/22に丁度2万円
ジャスト20,000円なんて製品、恐らくギフトカードとかかな。これなら住所も割れないからリスクも少ない
そして9/27にたて続けに3件の利用があります。何故か2件は即返品で、被害金額は6,920円ですがこれを見れば不自然な注文であることがわかるのではないかと思います。

というわけで26,920が今回の被害金額です。
高額ではないですが、Amazonで爆買いしているユーザーには気付きにくい金額でもあります。自分は月々の利用額が多くなく、毎月13日前後にくる異常に高額な今月の請求料金を見て、不正利用が発覚しました。

対応

　不正利用が発覚後、アマゾンのサポートに電話しました。アマゾンのサポートは元サポセン勤めの私から見ても日本企業のそれより数十年先を進んでるなという印象。朝5時にもフルのサポート対応がされているというのもそうですし、まず電話の前にテキストチャットで用件をこちらが予め入力してるので、1から説明しなくても済む。ネットというのをうまく利用しながら電話サポートができていて、いまだに電話とか切手とかお届け印とかレガシーなインフラのみでサポートしている日本企業とは大違いだなーという印象をうけました。
　さて話を戻しますが、アマゾンサポートに電話したところ確認が取れたのは不正利用である9/22利用分1件と9/27利用分3件については、やはり別アカウントから注文がなされてたということ。個人情報保護の観点から犯人アカウントの名前や住所はもちろん聞けませんが、「ご家族や知人にこのカードを登録されていないのでしたら不正利用が決定的」とアマゾンサポートから言質が取れました。

　その次はカード発行元である三井住友カードに電話。営業時間は9時〜5時なので24時間サポートのアマゾンとは雲泥の差。電話してナビダイヤルで不正利用の項目はなかったので、それに近いだろう「紛失・盗難によるカード停止」を選択。そこから「ただいま電話が大変混み合っております。このままお待ちいだだくか時間をずらしておかけ直しください」という自動音声を何十回も聞かされた後にようやく繋がる。
　カードの利用停止についてはすんなり話が進むものの、番号が変わった新規カードの再発行については1000円の手数料がかかりますとの杓子定規な回答。「おいおい、こっちはカードも紛失してないし手元にあるってのに全く過失ないのに、手数料かかるとはどういう了見だこのべらんめぇ！退会すっぞ！このすっとこどっこい」と丁寧に伝えたら、改めて不正利用調査担当のものから改めて折り返すとの事。
　午前中に折り返し電話くる→それはできかねます。
　今日中に回答できる→約束はできかねますが、努力します
　じゃあ電話もし取れなかった時のために、電話がかかってくるであろう部署の電話番号教えて→それはできかねます。

と、商品説明より注意事項の文章量が圧倒的に多い昔ながらのヤフオク出品者のような予防線貼りまくりの女オペレータと煮えくらない気分を抱えたままで電話を切りますが、担当部署からの電話は、その電話を切って1時間後の午前中にちゃんとかかってきて、「不正利用ですので返金処理します。カード再発行手数料も無料です」と私が求めるラインの対応はしてもらえましたので、この件はわりとあっさり片付きました。

不正利用にあって見て色々考えて見た

ではどうして私のカード番号がもれてしまったのか。色々調べてわかったことですが、厳密にいうと今回の不正利用はカード番号が漏れたのではなく、片っ端から悪質なプログロムで番号総当たり攻撃されたのではないかと思ってます。
色々調べてわかったのですが
カード番号16桁だけど最初の6桁はカード会社固定の番号です。
ですから残り10桁の10億ー1が有効な番号と思いきや、カードの番号にはルーンアルゴリズムという法則性があって、4桁連番以上は絶対カード番号には使われないという決まりとかから加味すると有効なカード番号は10億分の1からぐっと下がることは間違い無いです。せいぜいよくて1億分の1から見つけるくらいではないでしょうか。人力では1億分の1は無理ですがスクリプト攻撃なら数日で割り出すことは可能です。

カード番号の法則性はこちらのサイトで解説されてるようです。リンク

あと名義人はネットで買い物する以上どうしても漏れます、これはしょうがない。さるきのこという名前で買い物できれば今の時代はセキュアだと思いますけどねー。
有効期限もだいたい現在からプラス3年くらい先を総当たりで試行したら突破されるでしょう。
いやいや待て待て、カードには裏面にセキュリティコードってやつがあるじゃないか。これ間違えるとカード使えなくなるやろ。
って言われる方もいらっしゃるかもしれませんが、衝撃的だったのはAmazonはセキュリティコードが不要だということ。

今手元のカードでやって見ましたが確かにセキュリティコード不要でカード登録できちゃいます。おいおいマジかよ。

これで私のアマゾンは世界有数のメガ企業だし安全という神話は瓦解しました。カード会社が個別で不正利用の対策してるからそれをアテにしろってことですかね？

今回の不正利用がAmazon.co.jpだったのも｀合点がいきますね。

推測の域は出ませんが、私は番号総当たり攻撃されたのではないかと思っております。
カード会社に再発行してもらいましたが、このカードを使用し続けるのは正直怖いですね。半分退会したい気分です。
とりあえずレビュー欄見ると私と同じ使用状況で不正利用されたというレビューがたくさん見当たります。何年も前から。

結論からいうと私と同じAmazonカード使っている人は気をつけて明細をもう一度見直してください。これから作りたいなと思っている人もこういう事実があったということは頭の片隅にでも入れてもらえると幸いです。

では