フィッシング経由で1.7万件のクレカ情報が不正売買、警察庁、集中取締りで20人を検挙

警察庁は2025年3月26日、全国15の警察と連携して実施したサイバー犯罪の集中取締りの結果、クレジットカード情報を不正に購入・使用していた20人を検挙したと発表しました。
検挙者の中には、SNS「X（旧Twitter）」で売買の投稿を閲覧し、フィッシングで窃取されたカード情報を取得・使用していた人物が含まれており、不正に流通していたカード情報は少なくとも1万7,000件に上るとみられています。

フィッシングで窃取されたカード情報がSNSで売買

今回の摘発は、2024年9月から半年にわたる集中捜査の成果であり、検挙されたのは10代から50代までの男女20人です。そのうち10人は、他人のクレジットカード情報を「X」で売買していた投稿にアクセスし、約400枚分の情報を取得していた疑いが持たれています。

売買されていたカード情報には、カード番号、名義人、有効期限といった決済に必要な情報が含まれており、1枚あたり約5,000円で販売されていたと報告されています。

また、残る10人は暗号資産口座の提供など、売買を支援する役割を担っていたとされています。警察は全国38か所を家宅捜索し、1万7,000件以上のカード情報が不正に取引されていた形跡を確認しました。

被害額は過去最悪──企業も標的になりうる時代に

日本クレジット協会の発表によれば、2024年の1年間で発生したクレジットカード不正利用被害額は約555億円にのぼり、過去最悪となりました。
個人情報だけでなく、企業の役員や決済担当者のカード情報が狙われるケースも増えており、もはや「自分は関係ない」とは言えない状況です。

またECサイトや業務システムを介したフィッシング被害の“踏み台化”も懸念されており、法人側の管理体制や教育体制も問われる時代になっています。

情報システム部門が取るべき対策とは

今回の事案は、単なる個人被害に留まらず、企業も加害者側になるリスクがあることを示しています。情報システム部門としては、次のような点に注目して対応を進めることが重要です。

定期的なアップデート

• 自社で利用しているECサイトの定期的なアップデート。
• ログの取得

社内のフィッシング訓練と注意喚起の徹底

• ECサイト運営者のサポート窓口を標的としたフィッシングメールや標的型攻撃メール、SNSを経由する「標的型の偽装メッセージ」への対応力を底上げ

• 組織全体のセキュリティリテラシーの向上

• 特に経理・購買・営業など、カード利用の多い部門への重点教育

「なりすまし」対策としての技術的施策

• SPF / DKIM / DMARCの適切な設定と定期的な検証

• 社内送信を偽装したメールの検知やフィルタリング設定の強化

EC事業者側のチェックポイント

• クレカ情報を扱う場合はPCI DSSの要件に即した保護に対応しているか

• 入力フォームがフィッシングに転用されない設計（iframe対策・CSP設定など）

カード情報の売買は氷山の一角──攻撃の“末端”をどう防ぐか

今回検挙されたのは、あくまで不正購入・使用を行った利用者側が中心です。
実際にフィッシングを仕掛け、カード情報を大量に流出させている“上流”の攻撃者は、いまだ特定されていません。

これは、不正に入手された情報が地下マーケットで“商品”として広く流通している現実を示しています。情報システム部門にとっては、「いつどこで漏れた情報が、どんな形で再利用されるか分からない」ことを前提としたリスク管理が求められます。

まとめ

今回の一連の検挙から見えてくるのは、「情報は盗まれたあと、どこかで必ず悪用される」というサイバー犯罪のリアルです。
攻撃手法が巧妙化・分業化される中で、企業や組織として技術・運用・教育の三位一体の対策が欠かせません。

今後も、カード情報や認証情報の流出に起因する事件は継続して発生する可能性があります。
まずは足元のセキュリティ強化から、一歩ずつ備えていきましょう。

参照

クレカ情報不正購入し利用か 男女20人を検挙 警察庁など