約1年で1000万円――モバイルSuicaの不正利用はなぜ起きた？

[吉岡綾乃，Business Media 誠]

　JR東日本は11月9日、盗難やスキミングしたクレジットカードの情報を悪用し、モバイルSuicaを不正に利用した被害が約1000万円あったことを明らかにした。

　不正利用されたカードの枚数は合計65枚。最初の被害があったのは2006年12月で、2007年10月半ばまで続いた。不正利用分については、JR東日本が全額補償する。

なぜ不正利用が起きた？

　モバイルSuicaは、交通乗車券・電子マネーの「Suica」をおサイフケータイで利用できるサービス。モバイルSuica用アプリをおサイフケータイにダウンロードして登録（会員登録）することで利用できるようになる（別記事参照）。

　モバイルSuica用アプリに、クレジットカード情報や、オンラインバンクの口座を登録しておくと、そこからチャージ（入金）ができる仕組み。サービス開始当初、モバイルSuicaへの入金は、JR東日本が発行するクレジットカード「VIEWカード」だけが対応していたが、2006年10月から、他の一般クレジットカードから（別記事）や、オンラインバンク（別記事）からもチャージができるようになった。

　今回は、盗難やスキミングの被害にあったクレジットカードの番号を使って、他人のおサイフケータイに会員登録するという形で不正利用が行われたとみられる。JR東日本によれば、被害にあった65枚のカードはすべて、VIEWカードではないという。

　現在、会員登録時に入力する情報は、氏名／生年月日／郵便番号／携帯電話番号／携帯電話メールアドレス／Suica用パスワード／パスワード再発行用の質問など全14種類。クレジットカードについては、クレジットカード番号と有効期限だけを入力するようになっており、登録時もその後のチャージ時も、クレジットカードの暗証番号を登録する必要はない（別記事参照）。

モバイルSuicaアプリのトップ画面とチャージ画面。チャージの際にはSuicaパスワードを入れるが、クレジットカードの暗証番号は入れない仕組みだ。会員登録時もその点は同じ

　不正利用されたおサイフケータイの電話番号やメールアドレスはJR東日本で把握しているが、それが正しいかどうか（＝携帯電話の持ち主の番号・メールアドレスかどうか）の情報は通信キャリアが持っており、JR東日本では突き止められないのが実情だ。JR東日本では「登録情報の一部だけをカード会社に照会していた。どの情報を照会していたかは明らかにできない」と話しているが、現在のシステムでは、実際にメールアドレスなどを間違って入力しても登録できてしまうケースがあった。登録したメールアドレスや電話番号で本人確認をするというプロセスが、登録システムの中にないためだ。

　また、PCサイトではクレジットカード情報など重要な情報を入力する画面では、「SSL」など暗号化された通信方式や、「3Dセキュア」などの本人認証システムを用いるのが一般的だが、モバイルSuicaの登録システムでは、このような対応がなされていなかった。

システム改善、運用ルール変更も検討中

　Suicaにはチャージ上限2万円までという条件はあるものの、1日のチャージ回数は無制限となっている。チャージと利用を繰り返せば、1日に数十万円を利用することもできる。

　JR東日本では今回の事態を受けて、2007年夏からは利用パターンのチェックを行い、1日に何回もチャージするなど不審な利用をされていないかを確認するようにしているという。また今後は、カードの暗証番号を入力必須にするなどのシステム変更や、1日のチャージ回数を制限するなどの運用ルール変更も検討していく方針だ。