実録！オンライン詐欺被害にあった話-villa南国

オンライン詐欺って、ご存知ですか？

もちろん知ってるよ、という方は、それなりに多いでしょう。では、実際に詐欺にあったよ、という方はどうでしょう？とたんに少なくなったのではないでしょうか。

昨年6月のことですが、私はオンライン詐欺にあいました。より正確には、私の勤め先が、です。その一部始終を記しておくことで、オンラインショップを運営する皆さんの参考にしてもらえればと思い、この事件を振り返ってまとめてみます。

また、最後のまとめでは、このような詐欺被害をなくしていくために、どうすればよいのかを考察します。結論から言えば、オンラインショップ運営側の努力は、もちろん必要なのですが、それだけではなく、一般消費者である我々自身も、考え、用心し、行動を変化させなければならない、のです。

被害が判明した時、先輩の放った一言が象徴的でした。「テレビの向こうの話と思いよった」と。このような詐欺事件は、関係ないと思っている自分にも、実は思わぬところで関係があるのかもしれない、のです。かなり長くなりますが、読み進めるうちに、様々なところに「落とし穴」があることに気づかれることと思います。

イントロ～謎の注文

福岡県内の小さな菓子会社で、私は働いています。どのくらい小さいかといえば、家族経営に毛が生えたレベルで、従業員を数えるにしても、両手で十分なレベル。なのに、いまどきらしくオンラインショップも運営していて、その担当は私一人。実は、前任から引き継いで間もない状態なのです。

そんな昨年6月のある日、大口注文が入ってきました。通常だと、1万円越えれば結構な買い物だね、というところに、いきなり5万円を超えるような注文が入ってきました。もちろん当時の私は、この後の展開を知る由もありません。大口注文に喜んだのもつかの間、その注文詳細を見ていると、どうにも引っかかる点がありました。

まず、送り先に指定されているのは、福岡市内の個人名のようです。しかし、その氏名はどうみても日本人ではなく、いわゆる中華系でも朝鮮系でもヨーロッパ系でもない、初めて接する言語圏の人のようで、いったいこの人はどこの国の人だろう？というのが気になったのです。今後の説明を簡単にするため、この人物を「A」としておきます。

そして、個人名での注文でありながらの大口注文、というのもおかしな話です、お菓子屋だけに。お中元にはまだ早いし、といって、自宅で消費するにはずいぶんな量だし、ひょっとして、常識外れのモノスゴイ甘党なのかもしれませんね、なんてことを想像しました。

ここで、一瞬「ひょっとして転売？」という疑いが、頭をよぎったのですが、食品を転売して利益を得ることができるか、というとそれは難しいんじゃないか、と思ったのです。

当社の商品は、そこそこ繊細な高級菓子で、商品発送するにも、壊れたり溶けたりしないように、温度管理や梱包にもそれなりに気を使うモノなのです。送料もそれなりにかかるご時世で、転売して利益出すのは無理、という結論に自分の中ではいたりました。そりゃ、今の世の中、家電やブランド品など、いろんなものが転売されているということは、知識として知ってはいますけれども、まさか自分のところの商品（＝食品）が転売できるか、というと難しいんじゃないか、というバイアスがあったことは否めません。

そして、肝心の決済手段は、クレジットカード決済で、もちろん、すでに決済完了のステータスになっていました。ということは、お金は入ってくるわけだから、モノを送らなければいけないよね、と考えざるを得ないわけです。大口注文ゆえに全てのモノをそろえるのには少々の時間がかかり、なんとなく引っかかる点に躊躇しながらも、注文の二日後にA宛の商品を発送しました。

突然の電話

やれやれ、たくさん送ったなー、ようやく発送が終わった、と一息ついたその日、また同じような大口注文が入ってきました。しかも、今度は金額もアップして6万円超の注文です。またも注文者は、福岡市内の外国人と思しき人物で、送り先の住所は、先日の大口注文とどうやら近所のようにみえます。こちらの人物を便宜上「B」としておきます。

今回も決済手段はクレジットで、決済完了している状態。やっぱり何かひっかかるなぁ、と今回も同じようなプロセスで悩むわけです。が、追加情報や知識もなく、何かがおかしい気はするものの、何がおかしいのかよく分からない。結局、モヤモヤしたまま、注文の翌日にはB宛の荷物を用意することにしました。

と、その用意をしている真っ最中に、電話がかかってきました。発信元は、オンラインショップの決済代行会社。オペレータに言われたのは「〇〇日に〇〇という内容の注文が入っていると思いますが、クレジットカードの不正利用の疑いがあります、商品の発送を止めてください」という内容です。電話口で思わず「えっ？！」と言ってしまいました。要するに、Bからの注文はクロの可能性が高い、という連絡だったのです。

電話の内容を理解した次の瞬間、すでに送ってしまったAからの注文も、限りなくクロに違いない、と確信しました。電話口のオペレータに、つい先日同じようなパターンの大口注文があり、すでに発送したことを伝えると、最近、単価の高い菓子や食品を狙った同様の手口が出回っている、というではないですか！なんってこった、ヤラレタ！と思うも、すでに後の祭り。送った荷物はもう届いているころですから。

アフターフェスティバル

決済代行会社からの電話を受けて、まず、B宛の発送準備をとりやめ、荷物をばらしました。あまりの展開になかなかついていけませんが、とりあえず理解できたのは、Bは他人名義のクレジットカードで、当社のオンラインショップから大量購入しようとした、という事実。つまり、Bは一銭も払わずにモノを手に入れようとしたということです。

しかし、その手に入れたモノはどうするのだろう？モノが手元にあるだけでは、犯人はお菓子を食べることしかできません。まさか、それが目的ではないでしょう。きっとお金のためにやっているはずですが、換金手段は一体なんだろう、という疑問は残ったままでした。

そうこうしているうちに、またも大口注文が来たのです。なんと、Aがまた注文してきたのでした。第1弾のモノが届いたから、第2弾の発注を仕掛けてきたのでしょう、図々しいヤツめ！改めて、決済代行会社に電話をしてみて、どうすればよいのかを聞いてみましたが、おそらく同じ犯罪集団による事案だろう、ということで、しばらく様子を見ることになりました。もっとも、様子を見たところで、どうすればいいかなんて分かりはしないのですが、とりあえずは時間稼ぎをして、相手がどう出てくるかを見極めるしかないだろう、ということです。

被害の全容

ここから、なんともうんざりする事実が明らかになってきます。電話でオペレータに言われたのは、オンラインショップのコントロールパネルで、まずはBからの注文をキャンセル処理してください、というもの。これをやらないと、決済代行会社から当社に振り込まれた後に、クレジット会社から返金請求が来て、（大変めんどくさいらしい）返金の処理をしないといけなくなるというのです。

ということは、まさか、すでに発送したAからの注文分もキャンセル処理しておかないと、後で返金処理しないといけなくなる可能性が高いってことですか？つまりは、我々には一円も入ってこないってこと？販売者である我々の立場はどうなるの？えー？

ここで、ようやく自分の会社が受けた被害がどんなものなのか、おぼろげながら輪郭が見えてきました。

今回の詐欺被害の構造

オンラインショッピングの仕組みを、情報とモノの流れとして図にすると、だいたい以下のようなイメージです。

今回の事件では、注文データが来て、それに対し商品を送った、までが実際に起きたことです。図では上から２番目の矢印まで、です。そして、事業者として一番肝心の代金回収（図の一番下の左向きの流れ）で問題が起こっているのです。通常であれば、ユーザに対しクレジットカード会社が代金を請求し、決済代行会社がカード会社に請求し、事業者が決済代行会社から入金を受ける、という流れになります。

ところが、ユーザーからカード会社に対して、「この請求はカード不正利用につき支払わない」という通知があると、カード会社は決済代行会社に対して、支払う意思がない通知をする、もしくは支払った後であれば返金請求が行われることになります。クレジットカード会社のユーザ保護の視点から見れば、ごくまっとうなことです。

しかし、これを事業者側から見ると、まったく理不尽なことが起こっているのですね。商品を送ったのに、結果的に代金が回収できないということになります。決済代行会社の方に確認しても、そこは事業者が自衛するしかない、というのです。「そんなん知らんかったよ！」と呟いてみても、本当に後の祭り。

今回の事件では、最初にAから来た注文分を送ってしまっているので、その代金がまるまる回収できないということになります。Bからの注文と、2回目のAからの注文については、商品を送っておらず、キャンセル扱いにしているので、金銭面での被害は出さずにすみました。精神面でのダメージは大いにありましたが。

被害届を出す

さて、この状況であと何ができるかを考えます。結論として、実害がでているのだから警察に被害届を出すことにしました。どうすればいいのかって？もちろん、110番に電話をしてみるしかないです。最寄りの交番につながり、さっそく現場検証に来るというので、早く来てくれんかな、と待っていると、今度は警察から電話がかかってきて、今回の事案はネット上の詐欺事案、つまり知能犯なので、地元警察の本署の担当が捜査にあたるといいます。なるほど、しょうがないか。で、本署に行ってくれということになりました。あれ？なんで被害側が出向かないといけないのか、いまいち納得いかないのですが、仕方ない。本署に電話し、担当と話をして、その日の夕方に早速行ってきました。

被害届を出すにあたって、警察は調書を作る必要があります。こちらも、何がどういう順番で起こって、どんな被害が出たのかを説明する必要があるので、注文内容がわかるメールや、ネットショップの管理画面などを印刷して、本署に持っていきました。そして、警察の担当者と話をすることになるのですが、調書を作るための話をするのは、いわゆる取調室の中、なんですね。こっちが被害者なのに、はたから見るとまるで取り調べを受けているみたいです、なんてこった。カツ丼は食わせてもらえませんでしたけど。そして、今回の事件の一連の流れを説明し、調書にサインと拇印を求められます。被害届を出すのって、それなりに大変です。個人の名前で、自宅住所まで書いて拇印を押さないといけないのですから。

こういうセキュリティ侵害が起こった時は、WEBサーバのアクセスログをまずあたるのが定石ですが、前任者から引き継いだだけのネットショップ、まさかのログを残さない設定になっていました。うそーん、ショック！それでも何か使えるものはないか、とレンタルサーバ側のコントロールパネルを見ていくと、日付指定でログをダウンロードできる機能があるっぽいので、ダメもとでやってみると、ちゃんとWEBアクセスのログが出てきた！やったね。当然ながら、このログデータも本署の担当者に渡したいのですが、警察側のセキュリティ制限があり、メールやダウンロードサイトでのお届けはできないようなので、USBメモリに入れて、物理的に本署担当者の手元まで届けました。ここまでで、2度ほど店と本署を往復。サイバー犯罪憎し。

唐突なエンディング

さて、それからおよそ4か月ほどたったある日、警察から電話がかかってきました。なんと、犯人が判明したというではないですか。しかし犯人は、すでに愛知県警が逮捕しており、過去に逮捕歴が数回ある中国人だというのです。聞けば、愛知県警が逮捕した際のネットニュースがでており、それを印刷したものを持って、今度は警察の担当者がこちらにやってきました。

事件の詳細は、そのネットニュースに出ていた通りで、おそらく捕まったのは末端の実行犯であり、指示を出したりクレジットカード情報を搾取している大元の犯人は、中国本土にいるだろうとのこと。もちろん、当社から商品を送る先に指定されていたのも末端の実行犯で、おそらく「割のいいバイトがある」といって勧誘されたネパール人留学生だったらしいのです。

ネットニュースに出ていた情報によると、犯罪者グループは、愛知県内の有名菓子メーカのオンラインショッピングサイトなどで、単価の高い菓子を狙って、他人名義のクレジットカード情報で購入を重ね、搾取した商品はメルカリなどのC2Cサイトで転売し、総額で1000万円ほどの金を得ていたらしい。まさかと思っていた「転売」で換金していたのでした！この流れで、騙し取られた商品が返ってこないことが、事実上確定しました。あとは、民事訴訟で損害賠償請求したところで、相手に支払い能力がなければそれまでなので、被害届を取り下げることを警察から提案され、そのとおりに捜査の終了の手続きをしました。

原因と対策を考える

さて、事件の流れを振り返ってみて、あらためて原因がどこにあったのかを考えてみます。当社にとって、今回の被害をまねいた最大の原因は、なんといっても自社オンラインショップの設定の甘さに原因がありそうです。具体的には、クレジットカード決済における本人認証が行われていなかったこと、です。

クレジットカード情報がダークウェブなどに出回ってしまっている現在、クレジットカード番号、名義人名、有効期限、セキュリティコード、といったカード券面に表示されている情報が入力されたからと言って、それだけでは、今このオンライン決済を行おうとしているのが、正当な利用者なのかどうか、決済システム側では判断ができない、ということです。

そこで、3Dセキュアという本人認証の仕組みが現在では作られており、スマホ利用の場合だと、カード券面の情報はもちろんのこと、追加でスマホの生体認証などを使って本人確認をする仕組みがあります。より正確には「3Dセキュア2.0」という認証技術があり、オンラインショップにこれが導入されていて、その上でも本人認証を突破されてカードが不正利用された場合は、カード会社も返金請求（チャージバック）ができない、という枠組みになっているそうです。ちなみに、3Dセキュアも2.0になる前のバージョン（より認証が緩いもの）が存在したそうですが、2022年10月で廃止されているとのこと。もちろん、「3Dセキュア2.0」にしても、カード利用者が事前に情報登録していなければ、現実的にはセキュアではないのですが、事業者からすると、これを導入しておかなければ、チャージバックに対してザル状態なので、導入するの一択になります。

あとは、できることといってもほぼないに等しいです。サーバのログはもちろん、注文や発送の履歴をきちんと保管しておくのは当たり前として、いったん発送した荷物を取り返すことができるかというと、ほぼ不可能でしょう。

となると、被害を防ぐには以下のような順番で考えるしかないでしょう。

そもそも怪しい注文が入らないよう、3Dセキュアでオンラインショップをガードする
それでも怪しそうな注文（普通はあり得ない大量注文、など）が来たら、注文者にコンタクトを取り、購入品の利用法（自宅用かどうか、など）を探る、といった行動で時間稼ぎをする。
時間稼ぎの間に、決済事業者などに連絡するなどして裏を取ったうえで、間違いないと思えるまで発送はしない。

現実的には、犯罪者側が圧倒的に情報面で優位に立っており、こちら側としては疑い始めるときりがないのです。どこかで割り切って進めなければ、事業も止まってしまいます。

他方では、消費者側の啓蒙も必要ではないかと感じています。結局、犯人も物品をだまし取ったとして、物品の換金手段がなければ、うま味はないはずです。

今回の事案で言えば、メルカリに代表されるC2Cのサイトでの転売行為により換金しているということなので、そこの穴をふさぐことはできないのか？と思うのです。一消費者の防衛策として考えるならば、正規品でないものをC2Cサイトで購入するのをやめる、といったことになります。

こういった積み重ねを、多くの人たちが徹底していくようになれば、犯罪者集団といえどもモノを換金できなくなるのではないか、と思うのです。消費者としては、安く買えるからと言って、出所がよくわからないモノを購入することが、結果的に犯罪者の資金源となっているかもしれない、そういった現実を直視する必要があるのです。

長々と書いてきましたが、今回のまとめは、以下の2点につきます。