【調査レポート】555億円のカード不正利用の裏側・不正利用対策とその影響・生成AIを用いた手口の高度化を解説【キャッシュレスセキュリティレポート】2025年次版を公開

株式会社リンクとかっこ株式会社は、カード情報流出事件に関する統計とECの不正利用傾向、手口などを詳しく解説した【キャッシュレスセキュリティレポート2025（2025年10月発行）】を公開しました。

▼「キャッシュレスセキュリティレポート2025年次版 」 ダウンロードはこちらをクリック
※個人情報を入力することなくダウンロードできます。無料ですので、ぜひご覧ください！

ハイライト

1.警察指摘でのカード情報流出発覚が顕在化、2024年は35.1%

2024年は、カード情報流出事件の発覚経緯に変化が見られました。従来はカード会社や決済代行事業者からの通知が主でしたが、警察の指摘による発覚が増加し、全体の35％を占めました。指摘を受けた13件は類似の傾向があり、警察が集中的に捜査したところすべて2021年に始まった改ざんが原因で、特にEC-CUBEの脆弱性を突いた攻撃が多く確認されています。長期にわたる流出も多く、加盟店には改ざん有無の確認やパッチ適用などの対応が強く求められています。

2.高止まりする不正利用被害の実態

2024年のクレジットカード不正利用被害額は555億円と高止まりし、その9割超がECサイトでの番号盗用によるものでした。背景にはフィッシングやクレジットマスター攻撃に加え、入力情報を窃取する「インフォスティーラー」被害の増加があります。さらに、ECサイトのアカウント乗っ取りも増えており、不正注文の手口が拡大しました。

3.不正防止と売上機会の両立へ　EMV3-Dセキュアの課題と改善策

YTGATE社の調査によるとEMV3-Dセキュア導入後、決済承認率は95％台から85％前後へ低下し、65％以上の消費者が認証エラーを経験、8割の加盟店が「カゴ落ち増加」を実感しました。不正防止と売上機会の両立に向けて、加盟店からイシュアへのデバイス情報などの提供による

EMV3-Dセキュアの精度向上や、加盟店とイシュアの連携による承認率改善の取り組みが期待されます。

4.証券口座乗っ取りの急増と法人狙いのボイスフィッシング

金融庁によれば2025年1–7月の証券口座への不正アクセスは14,069件、不正取引8,111件、被害総額6,205億円に達しました。犯行の手口はフィッシングやマルウェアにより窃取した認証情報で口座を乗っ取り、その資金を利用して相場を操縦して利益を得ます。多要素認証の必須化で件数は減少傾向にあるものの被害額は再び増加しています。また、銀行の法人口座をターゲットにして電話で偽サイトに誘導し、認証情報を窃取して不正送金を行うボイスフィッシングも増加しています。

キャッシュレスセキュリティレポート

1.2024年のカード情報流出事件の概況
　（1）カード情報流出事件数・情報流出件数の推移
　（2）カード情報流出事件の傾向
　（3）2024年のカード情報流出事件のトピック

2. 2024年のECにおける不正利用の概況
　（1）クレジットカード不正利用被害額の推移
　（2）ECサイトにおける不正注文の傾向
  （3）ECサイトにおける不正利用のトピック
  （4）イシュアにおける送信ドメイン認証(DMARC)導入状況
  （5）EMV 3-Dセキュア導入に伴うカード決済承認率の変化

3.他の金融サービスにおける不正取引
  （1）オンライン証券取引口座乗っ取りによる不正取引
　（2）ボイスフィッシングによる法人口座を狙った不正送金

4.政策の動向
　（1）クレジットカード・セキュリティガイドライン6.0版について
  （2）警察庁とカード会社の連携強化 
  （3）『個人情報の保護に関する法律についてのガイドライン』に関するQ&A追加

▼「キャッシュレスセキュリティレポート 2025年次版」 ダウンロードはこちらをクリック
※個人情報を入力することなくダウンロードできます。無料ですので、ぜひご覧ください！

本レポートに関するお問い合わせ

セキュリティプラットフォーム事業部 担当：相原・滝村

【免責事項】 本レポートの作成にあたり、かっこ株式会社と株式会社リンクは、可能な限り情報の正確性を心がけていますが、確実な情報提供を保証するものではありません。本レポートの掲載内容をもとに生じた損害に対して、かっこ株式会社と株式会社リンクは一切の責任を負いません。

【データの利用について】本レポート内の数表やグラフ、および記載されているデータ等を使用される際は、出典として「かっこ株式会社・株式会社リンク『キャッシュレスセキュリティレポート （2025年年次版 』を明記下さい。