1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. Kyashがクレジットマスター攻撃による不正利用への注意を呼びかけ

Kyashがクレジットマスター攻撃による不正利用への注意を呼びかけ

セキュリティニュース

投稿日時: 更新日時:

Kyashがクレジットマスター攻撃による不正利用への注意を呼びかけ

2026年6月4日、Kyash株式会社は公式サイトに「【重要】クレジットマスター攻撃による不正利用にご注意ください」と題した注意喚起を掲載しました。最大のリスクはユーザー側の行動に関係なく被害が発生する可能性がある点です。

クレジットマスター攻撃(Credit Master Attack)とは、クレジットカードや国際ブランド付きプリペイドカードの番号に付与されている規則性を悪用し、機械(Bot)を使って大量の番号と有効期限・セキュリティコードの組み合わせを短時間で試行することで、有効なカード情報を不正に割り出して決済に使用する攻撃手法です。

カードを紛失・盗難されていなくても、カード情報が漏洩していなくても被害を受ける可能性があるという特徴を持ちます。日本クレジット協会のデータによれば、クレジットカードの不正利用被害額は2023年に540.9億円と過去最高を更新しており、その93.3%が「番号盗用被害」(クレジットマスター攻撃を含む)によるものとされています。Kyashのような国際ブランド(Visa)対応のプリペイドカードも同様の番号体系を持つため攻撃対象となり得ます。本記事ではクレジットマスター攻撃の仕組み・Kyashの対応・ユーザーが今すぐ実施すべき確認と対策を解説します。

サマリー

  • 2026年6月4日、Kyash株式会社が「クレジットマスター攻撃による不正利用への注意喚起」を公式サイトに掲載
  • クレジットマスター攻撃:カード番号の規則性(Luhnアルゴリズム等)を悪用してBotが大量の番号・有効期限・セキュリティコードの組み合わせを自動試行し、有効なカード情報を割り出す手口
  • カードの紛失・情報漏えいがなくても被害が発生するという特性がユーザー側の対策を困難にする
  • 日本クレジット協会:2023年の不正利用被害総額540.9億円・そのうち93.3%が「番号盗用被害」
  • アクル株式会社の調査:クレジットマスターアタックの被害件数は2021年約3万件→2023年7月末時点で140万件超のペースに急増
  • Kyashユーザーへの推奨対応:①アプリ内の利用履歴を定期的に確認→②身に覚えのない決済があればカードロックを実施してお問い合わせ→③カード情報・アカウント情報・SMS認証コードを第三者と共有しない
  • Kyashは不正行為を確認した場合、アカウント利用制限・取引停止・アクセスログ保全・警察への通報・連携を行う方針

クレジットマスター攻撃とは—カードを盗まなくてもカード番号を割り出せる

クレジットマスター(Credit Master)攻撃が他の不正アクセス手口と異なる点は、被害者のデバイスへの侵入もカードの物理的な盗難も必要としない点です。

番号の規則性を悪用する仕組み:クレジットカードおよび国際ブランド付きプリペイドカードの番号は、世界共通の規則(Luhnアルゴリズム)に基づいて割り当てられています。先頭数桁(IIN:Issuer Identification Number)はカード会社・ブランド・カードの種別を識別するために固定されており、末尾1桁はLuhnアルゴリズムによるチェックデジットです。この規則性を利用することで、攻撃者はシステマティックに有効な可能性のある番号を生成できます。

自動化されたBotによる大量試行:攻撃者は生成した候補番号をBotが複数のECサイトや決済APIに対して高速で送信し、少額決済(多くは1円〜100円程度)を試行します。決済が成功すれば有効なカードと判定し、その後本格的な不正利用に移行します。カードが物理的に存在しない状態(カード番号のみ)でオンライン決済が完結するEC取引の特性を悪用した手口です。

被害の規模と急増:日本では1999年頃から被害が確認されており、近年は急激な増加が続いています。アクル株式会社の調査によれば、被害件数は2021年の約3万件から2023年7月末時点で140万件超のペースへと約47倍に急増しています。日本クレジット協会の集計では、クレジットカードの不正利用被害総額は2023年に540.9億円(2022年比で約100億円増)であり、そのうち番号盗用被害が93.3%を占めています。

プリペイドカードも標的に—Kyashがなぜ注意喚起したのか

クレジットマスター攻撃は従来クレジットカードを主な標的としていましたが、KyashのようなVisa対応の国際ブランド付きプリペイドカードも同様の番号体系を持つため、攻撃対象に含まれます。

プリペイドカードへの攻撃で特に懸念されるのは、クレジットカードの一部が持つ「不正利用被害補償」の仕組みがプリペイドカードでは異なる場合があるという点です。Kyashの場合、利用規約上の補償の範囲・条件について公式サイトのヘルプページで確認する必要があります。

Kyashが注意喚起を発出した背景として、「被害が確認されている」という現在進行形の表現が使われており、すでに一定数のユーザーへの実被害が発生している可能性があります。

Kyashの公式対応方針

Kyashの公式発表(2026年6月4日)によれば、Kyashは不審な決済やアカウント利用の検知・防止に向けた対策を継続的に実施しています。

不正アクセス・不正決済・不正なアカウント利用等が確認された場合の同社の対応方針は以下のとおりです:対象アカウントの利用制限および取引停止、アクセスログ等の記録の保全、警察その他の関係機関への通報・連携。

Kyashユーザーが今すぐ実施すべき確認と対策

今すぐ:利用履歴の確認

Kyashアプリを開き、「利用履歴」から身に覚えのない取引が記録されていないかを確認してください。特に少額(数円〜数百円程度)の見慣れない加盟店への決済は、有効性確認のためのテスト決済として攻撃者に悪用されている可能性があります。

不審な取引を発見したらカードロックを即時実施

Kyashアプリの「カードのロック」機能を使い、即座にカードを使用できない状態にしてください。ロック後、Kyashのサポート(help.kyash.co)にお問い合わせください。

認証コードの非共有の徹底

Kyashが強調しているのは「カード情報・アカウント情報・SMS等で届く認証コードを第三者に共有しない」という点です。クレジットマスター攻撃に加えて、攻撃者がフィッシングサイトや電話を通じて認証コードを詐取しようとするソーシャルエンジニアリング攻撃との組み合わせも想定されます。Kyash・Visa・金融機関を名乗るいかなる相手にも認証コードを教えないでください。

定期的なチェックの習慣化

クレジットマスター攻撃では攻撃者が少額のテスト決済から始める場合が多く、気づかないうちに被害が累積することがあります。週1回程度の利用履歴の確認を習慣化することを推奨します。

EC事業者・決済システム担当者への注意点

クレジットマスター攻撃はユーザー側のセキュリティ意識では根本的に防げない攻撃であり、ECサイト・決済システムを運営する事業者側の対策が最も重要です。

経済産業省は2025年3月末をめどにEC加盟店への3Dセキュア2.0の実装を求めており、この義務化対応が攻撃の有効性を大幅に低下させます。3Dセキュアが有効化されていないECサイトは引き続きクレジットマスターアタックの試行場所として狙われるリスクが高い状態にあります。

Botによる大量の短時間試行を検知してブロックするレート制限・CAPTCHA・不正検知サービスの導入も重要な対策です。当サイトの関連記事でも報じた証券口座乗っ取り事案と同様に、Bot検知とIP評価を組み合わせた多層的な防御が業界標準となりつつあります。

FAQ

Q. 自分はKyashカードを最近使っていないのに被害を受ける可能性がありますか? A. はい。クレジットマスター攻撃は発行済みのカード番号を機械的に推測するため、カードを使用していなくても攻撃者に有効な番号として割り出され、オンライン決済に悪用される可能性があります。カードを長期間使用していない場合でも定期的な利用履歴の確認が推奨されます。

Q. カードをロックしてから連絡するのですか?連絡してからロックするのですか? A. Kyashの推奨は「身に覚えのない決済や不審な通知を確認された場合は、速やかにカードロックを実施し、お問い合わせをお願いいたします」となっており、まずカードロックを先に行うことが推奨されています。ロックはアプリからすぐにできますが、問い合わせには時間がかかる場合があるため、被害の拡大防止という観点からロックを優先してください。

Q. クレジットマスター攻撃で盗まれた資金は補償されますか? A. Kyashの補償範囲については、Kyash公式ヘルプサイト(help.kyash.co)または利用規約をご確認ください。一般的に、プリペイドカードの不正利用補償はクレジットカードとは条件が異なる場合があります。身に覚えのない請求があった場合はできるだけ早く連絡することで対応の選択肢が広がります。

Q. 3Dセキュアを設定していれば完全に防げますか? A. 3Dセキュア2.0(本人認証)を要求するECサイトでの不正利用に対しては高い防御効果があります。ただし3Dセキュアを実装していないECサイトでの決済、またはフィッシングで認証コードを騙し取られるケースでは保護が及ばない場合もあります。多層的な対策が引き続き必要です。

参考情報

関連記事

WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) 米国 ビザ申請でSNS公開が新たな条件に-学生・研修ビザに影響、審査強化で待機時間も米国 ビザ申請でSNS公開が新たな条件に-学生・研修ビザに影響、審査強化で待機時間も オスカープロモーションが「SNSへの不正アクセスにはあたらない」と声明—尾碕 真花 退所騒動で浮上した「事務所によるSNSへの権限なきログイン」疑惑オスカープロモーションが「SNSへの不正アクセスにはあたらない」と声明—尾碕 真花 退所騒動で浮上した「事務所によるSNSへの権限なきログイン」疑惑 オムニバス・ジャパンのランサムウェア 被害 調査完了-関係者と従業員の個人情報流出の恐れオムニバス・ジャパンのランサムウェア 被害 調査完了-関係者と従業員の個人情報流出の恐れ ビジュアルアーツ、クラウドストレージ認証情報の窃取で最大約1万3,000件超の個人情報漏洩の恐れ-未発売ゲーム「anemoi」の海外流出、マイナンバー・従業員の本人確認書類画像も漏洩かビジュアルアーツ、クラウドストレージへの不正アクセスで最大約1万3,000件超の個人情報漏洩の恐れ-未発売ゲーム「anemoi」の海外流出、マイナンバー・従業員の本人確認書類画像も漏洩か Default Thumbnailマネーフォワード、GitHubへの不正アクセスでビジネスカード 情報370件・ソースコード流出の可能性 ハッカーが日本の富裕層リストを装いゴルフ用品 購入者の個人情報リストを販売ハッカーが日本の富裕層リストを装いゴルフ用品 購入者の個人情報を販売 日本医業経営コンサルタント協会・岩手県支部のメールアカウントが不正アクセスの被害日本医業経営コンサルタント協会・岩手県支部のメールアカウントが不正アクセスの被害 Meta、中国初のフィッシング/SNS型投資 詐欺広告を容認かMeta、中国発のフィッシング/SNS型投資 詐欺広告を容認か