クレジットカードの不正利用は、2025年だけで510.5億円の被害が発生しています(日本クレジット協会調べ)。「どのカードが一番危ないのか」と気になりますよね。実は、カード会社別の「不正利用件数ランキング」は公式には公開されていません。ただし、カードのセキュリティ機能の有無によって不正利用リスクには明確な差があります。この記事では、最新の被害データ・手口を整理したうえで、不正利用に強いカードを選ぶ5つのポイントをわかりやすく解説します。
カード会社別の被害件数は非公開のため、公式な「不正利用ランキング」はありません。ただし、ナンバーレス非対応・3Dセキュア2.0未登録・利用通知なしの3条件が重なるカードは相対的にリスクが高くなります。今すぐできる対策は①3Dセキュアを登録する ②利用通知をオンにする ③ナンバーレスカードに切り替えるの3つです。
クレジットカードの不正利用が多い理由
2025年の被害額は510.5億円、3年連続500億円超
日本クレジット協会が2026年3月に公表したデータによると、2025年のクレジットカード不正利用被害は510.5億円でした。2024年の555.0億円(過去最高)からは-8%と初めて減少に転じましたが、3年連続で500億円超という高止まりが続いています。
| 年 | 被害総額 | 前年比 |
|---|---|---|
| 2023年 | 540.9億円 | — |
| 2024年 | 555.0億円 | +2.6%(過去最高) |
| 2025年 | 510.5億円 | -8.0%(初の減少) |
「ようやく減った」と安心するのはまだ早いかもしれません。510億円超という水準は依然として深刻です。2025年Q4(10〜12月)だけを見ると、93.9億円(前年比-42.1%)と大幅に改善しており、3Dセキュア2.0の義務化(2025年4月)が効果を発揮し始めたと考えられています。
被害の9割以上が「番号盗用」——なぜこの構造が続くのか
2025年の被害内訳を見ると、番号盗用が93.1%(475.4億円)を占めます。偽造カードは1.4%(7.2億円)に過ぎません。つまり、物理的なカードを盗まれなくても、カード番号・有効期限・セキュリティコードの3つが流出するだけで不正利用されてしまう構造です。
なぜ番号盗用がなくならないのか?カード番号は「使える状態でどこかに書いてある」情報です。フィッシングサイトで入力させたり、ECサイトのデータベースから流出させたりするだけで犯罪者が手に入れられます。偽造カードのように「物理的な偽造技術」が不要なため、参入ハードルが低く、被害が構造的に起きやすい状況です。
非対面決済の拡大が不正を後押しする仕組み
対面決済(実店舗でのカード提示)では、暗証番号の入力や本人確認が求められます。一方、ECサイトなどの非対面決済は、カード番号さえ合っていれば本人がいなくても決済が成立する仕組みが基本でした。ネットショッピングの普及とともに非対面取引が増えるほど、番号盗用の被害が拡大しやすくなります。2025年4月の3Dセキュア2.0義務化は、まさにこの非対面決済の穴を塞ぐための措置です。
不正利用の主な手口
「なぜカード番号が漏れるのか」を理解しておくと、日常の使い方で気をつけるポイントが見えてきます。主な手口は4つです。
フィッシング詐欺(メール・SMS・偽サイト)
番号盗用の最大の原因がフィッシング詐欺です。実在するカード会社や通販サービスを装ったメール・SMSを送り、偽サイトに誘導してカード情報を入力させる手口です。
フィッシング対策協議会の2026年4月月次報告によると、フィッシング報告件数は151,112件(前月比+23.5%)に上り、そのうちクレジット・信販系が全体の33.1%を占めています。偽装されやすいブランドの上位は、Amazon(14.4%)・Apple(11.6%)・楽天カード・セゾンカード・PayPayカードで、この上位5ブランドで全体の47.8%を占めます。
スミッシング(SMS経由のフィッシング)に注意最近はメールだけでなく、SMSで「カードの利用を一時停止しました」「本人確認が必要です」などと偽装するスミッシングが急増しています。URLをタップして偽サイトに誘導する手口で、スマホユーザーが狙われています。
ECサイトからの情報漏洩
カード情報を登録しているECサイトのデータベースが不正アクセスを受けると、大量のカード情報が一度に流出します。自分がどこに登録したかを把握できていないケースも多く、被害に気づきにくい手口です。信頼性の低いサイトへのカード登録は極力避け、使い終わったサイトのカード情報は削除しておくことが重要です。
スキミング(物理的・非接触型)
スキミングとは、カードの磁気情報を不正に読み取る攻撃です。ATMや決済端末に仕掛けられた小型装置でカード情報を抜き取る「物理型」と、非接触ICカードの通信を傍受する「電子型」の2種類があります。ただし、番号盗用(93.1%)に比べて偽造カード被害は1.4%と低く、スキミングによる被害は相対的に減少傾向にあります。
クレジットマスター攻撃(番号の総当たり)
クレジットマスター攻撃とは、クレジットカード番号の規則性(IIN:発行者識別番号のルール)を悪用し、有効なカード番号を機械的に生成・試行する攻撃です。世界中のECサイトで少額決済を並列試行し、決済が通った番号を「有効なカード」として特定します。
試行のたびに異なるサイトを使うため検知が難しく、被害者がまったく気づかないうちに番号が流出してしまうのが特徴です。ナンバーレスカードや3Dセキュア2.0が有効な対策となります。
不正利用に狙われやすいカードの特徴
ここが、この記事の差別化ポイントです。「特定のカードが危険」ではなく、セキュリティ機能の有無によってリスクが変わるという視点で整理します。
カード番号が券面に印字されている(ナンバーレス非対応)
従来のクレジットカードはカード番号・有効期限・氏名・セキュリティコードが券面に印刷されています。財布から取り出したときにのぞき見されたり、写真に撮られたりするリスクがあります。また、カードの紛失・盗難時に、番号情報もそのまま相手に渡ってしまいます。
ナンバーレスカード(券面に番号の印字がない)に対応しているカードであれば、このリスクを大幅に低減できます。主なナンバーレスカードは、三井住友カード(NL)・三井住友カードゴールド(NL)・楽天カード(ナンバーレス)などで、カード番号はアプリから確認する仕組みです。
3Dセキュア2.0に対応・登録していない
3Dセキュア2.0(EMV 3-Dセキュア)は、EC決済時にリスクベース認証を行う仕組みです。2025年4月から全EC事業者への導入が義務化されましたが、カード会社側への登録が済んでいない場合は恩恵を受けられません。
リスクベース認証とは、デバイス情報・利用頻度・金額などでリスクを自動判定し、低リスクなら追加認証なしで決済を通し、高リスクなら一時パスワードやアプリ認証を求める仕組みです。業界では不正利用を約70〜80%削減できると言われています。
利用通知・不正モニタリングがない
利用通知がないと、不正利用されてもすぐに気づけません。カード会社のアプリで「○○円の利用がありました」という通知を受け取れれば、自分が身に覚えのない決済にすぐ気づいて対処できます。早期発見・早期対処が補償を受けるうえでも重要です。
フィッシング詐欺で偽装されやすいブランド(実例データ付き)
フィッシング詐欺は、知名度の高いブランドほど偽装対象になりやすいという特性があります。これは「カードそのものが危険」なのではなく、「名前が有名なほど偽サイトが多く作られる」ことを意味します。
フィッシング対策協議会の2026年4月データでは、クレジット・信販系は報告全体の33.1%を占め、楽天カード・セゾンカード・PayPayカードが上位に入っています。これらのカードを使っている方は特に、偽メール・偽SMSに注意が必要です。
偽メールを見分けるポイント正規のカード会社は「URLをクリックしてログインしてください」という内容のメールは基本的に送りません。身に覚えのないメール・SMSのリンクは絶対に開かず、公式アプリかブックマーク済みのURLから直接ログインして確認する習慣をつけましょう。
不正利用に強いクレジットカードを選ぶ5つのポイント
ここまでのリスク情報を踏まえて、安全なカードを選ぶ際に確認すべき5つのポイントをご紹介します。
①ナンバーレスカードに対応しているか
カード番号が券面に印字されていない「ナンバーレスカード」は、のぞき見・スキミングによるカード番号流出リスクを大幅に下げます。三井住友カード(NL)・楽天カード(ナンバーレス)などが代表例です。カード番号はアプリからいつでも確認できます。
②3Dセキュア2.0に対応・登録しているか
主要カード会社はすでに3Dセキュア2.0に対応しています。ただし、カード会社への登録が必要なケースがあります。各社のアプリや会員ページで「本人認証サービス(3Dセキュア)」の登録状況を確認し、未登録なら今すぐ設定しましょう。
③利用通知・不正利用モニタリングがあるか
利用ごとにスマホへプッシュ通知が届く機能は、不正利用の早期発見に直結します。さらに24時間体制の不正モニタリングシステム(AIや専門チームが怪しい利用を検知する仕組み)を持つカード会社を選ぶと、より安心です。
④利用停止・上限設定ができるか
紛失や不審な利用を発見したとき、すぐにアプリからカードを一時停止できる機能は非常に重要です。また、1回の利用上限金額を設定できるカードは、万が一不正利用されても被害額を抑えられます。
⑤補償制度(何日前まで遡れるか)が充実しているか
不正利用と認定された場合、カード会社が被害額を補償してくれます。補償対象となる期間(届け出日から何日前まで遡れるか)はカード会社によって異なります。
| カード会社 | 補償対象期間 | 補償内容 |
|---|---|---|
| 三井住友カード | 届け出日から60日前まで | 不正利用と認定された全額 |
| セゾンカード | 届け出日から61日前まで | 不正利用と認定された全額 |
| dカード | 届け出日から90日前まで | 不正利用と認定された全額 |
補償対象外となるケースに注意が必要です。家族・同居人・代理人による利用、本人の故意・重大な過失、調査への非協力などは補償されません。また、補償を受けるためには早めの届け出が不可欠です。
自分でできる不正利用対策
カードを選んだあとも、日常の使い方で不正利用リスクを大きく下げられます。今すぐ実践できる5つの対策です。
利用明細を毎月チェックする(少額決済を見逃さない)
不正利用は最初に少額(数百円〜数千円)で始まり、有効なカードかどうかを確認してから高額決済に移るパターンがあります。毎月の利用明細を丁寧に確認し、身に覚えのない決済がないかチェックしましょう。カード会社アプリのプッシュ通知をオンにすれば、リアルタイムで確認できます。
明細の加盟店名と実際の店舗名が違うケースに注意「見覚えのない店名」があっても、必ずしも不正利用とは限りません。以下のケースでは、利用した店舗名と明細の表記が異なることがあります。
- ショッピングモール・デパート → 実際のテナント名ではなく商業施設名や運営会社名で表示されることがある
- ECサイト(Amazon・楽天など) → 商品発送日が利用日より遅れて計上されるケースがある
- ホテル・旅行・航空券の予約 → 利用日でなく予約日で計上されるケースがある
- サブスクリプションサービス → 英語表記や運営会社名で表示される場合がある
「本当に不正利用か?」と迷ったときは、まずレシートや購入確認メールと照合し、家族の利用がないかも確認してから、カード会社に問い合わせましょう。
不審なメール・SMSのURLは絶対に開かない
「カードの利用を制限しました」「本人確認が必要です」というメール・SMSが届いても、記載されているURLは絶対に開かないでください。公式アプリ、またはブックマーク済みのURLから直接ログインして状況を確認する習慣が重要です。
SMSから誘導されるフィッシング(スミッシング)は近年急増しており、フィッシング対策協議会でも特に注意を呼びかけています。
3Dセキュアを今すぐ登録する
お手持ちのクレジットカードの3Dセキュア登録状況を確認してみてください。各社の会員サイトやアプリの「セキュリティ設定」から「本人認証サービス(3Dセキュア)」を有効化できます。未登録の場合は、今すぐ設定することをおすすめします。
利用通知をオンに設定する
カード会社のアプリをスマホにインストールし、利用通知機能をオンにしましょう。不正利用があったとき、通知が届いた瞬間に気づいてカードを停止・報告できます。早期発見は補償請求にも有利です。
タッチ決済で暗証番号の盗み見を防ぐ
実店舗での決済では、タッチ決済(非接触IC決済)を使うと暗証番号の入力が不要です。PIN入力時ののぞき見や、端末への情報記録リスクを下げられます。普段からタッチ決済を活用する習慣もセキュリティ対策の一つです。
不正利用されたときの対処法と補償
万が一不正利用を発見したときは、冷静に以下のステップで対処しましょう。迅速な対応が被害を最小限に抑えるカギです。
不審な利用に気づいたら、即座にカード会社のサポートダイヤル(24時間対応)に電話します。アプリからも一時停止できる場合は、電話と並行してアプリ停止も行いましょう。「不正利用の届け出日」が補償期間の起算点になるため、発見したら翌日以降に後回しにしないことが重要です。
カード会社の担当者と一緒に、または停止後に会員サイトで直近の利用明細を確認します。身に覚えのない利用をすべてリストアップし、日付・金額・加盟店名を記録しておきましょう。カード会社の調査に必要な情報です。
カード会社から求められた場合は、最寄りの警察署に被害届を提出します。被害届の受理番号が補償手続きに必要になるケースがあります。カード会社の指示に従って手続きを進めてください。
補償される条件・されない条件
不正利用の補償を受けるには、カード会社が「第三者による不正利用」と認定することが条件です。以下の表で補償の有無を確認してください。
| ケース | 補償 | 補足 |
|---|---|---|
| 第三者によるカード番号の不正利用 | ○ 補償あり | カード会社の調査・認定が必要 |
| フィッシング詐欺による情報流出後の不正利用 | ○ 補償あり | 過失の程度による |
| 家族・同居人・代理人による利用 | × 対象外 | 第三者と認められない |
| 本人の故意・重大な過失による場合 | × 対象外 | カード情報の軽率な管理等 |
| 届け出の遅れ(補償期間超過分) | × 対象外 | 60〜90日前より古い被害 |
| 調査に非協力的な場合 | × 対象外 | カード会社の調査への非協力 |
よくある質問
番号盗用(カード番号・有効期限・セキュリティコードの流出)が2025年の被害の93.1%を占めます。主な原因はフィッシング詐欺(偽サイトへの誘導)とECサイトからの情報漏洩です。物理的なカードを盗まれなくても被害が発生する点が最大の特徴です。
①券面にカード番号が印字されている(ナンバーレス非対応)②3Dセキュア2.0への登録が未完了③利用通知・不正モニタリングがない——この3条件が重なると相対的にリスクが高くなります。「特定ブランドが危険」ではなく、セキュリティ機能の有無がリスクを左右します。
すぐにカード会社に電話し利用停止手続きを行ってください。その後、利用明細で被害範囲を確認し、必要に応じて警察に被害届を提出します。不正利用と認定されれば全額補償が受けられます。届け出が遅れると補償対象外になる期間が発生するため、発見したらすぐに連絡することが重要です。
まとめ:不正利用から身を守る5つのポイント
- ✓3Dセキュア2.0をカード会社のアプリ・会員サイトで今すぐ登録する
- ✓利用通知をオンにして不正利用を即時検知できる状態にする
- ✓ナンバーレスカードへの切り替えでのぞき見・スキミングリスクを低減する
- ✓不審なメール・SMSのURLは絶対に開かず公式アプリから確認する
- ✓不正利用を発見したらすぐカード会社に連絡・利用停止の手続きをする
カードの価格やポイントをもっとお得に管理したいなら
プライシーアプリなら、Amazonや楽天など複数ECの価格推移を一括チェック。値下がり・クーポン発生時にプッシュ通知でお知らせします。
プライシーアプリを見るiOS・Android対応 / 無料
