PayPayカード不正利用でSMS認証が来たのはなぜ？「当たり攻撃」やAmazon請求の仕組みを解説

クレジットカード不正利用では、「カード番号流出」「フィッシング詐欺」だけでなく、“当たり攻撃”と呼ばれる手法が話題になることがあります。

特に最近は、SMS認証コードが送られてきたにも関わらず、自分は何も操作していないのに決済が通っていたというケースもあり、不安を感じる人が増えています。

この記事では、PayPayカードなどで起きる不正利用の代表的な仕組みや、「SMS認証が来たのに決済された理由」「Amazon請求との関係」について整理して解説します。

「当たり攻撃」とは何か

カード会社側が説明する「当たり」とは、一般的にカード番号総当たり攻撃を指すことがあります。

これは、不正業者がプログラムを使い、大量のカード番号候補を試す手法です。

一見不可能に見えますが、実際には規則性や既知情報を利用して成功するケースがあります。

特に海外サイトや小規模加盟店では、本人確認が弱い場合もあります。

SMS認証コードが来たのに不正利用された理由

多くの人が疑問に感じるのが、「SMS認証が自分のスマホへ来たのに、なぜ決済されたのか」という点です。

通常、SMS認証（3Dセキュア）は本人しか見れません。

そのため、以下の可能性が考えられます。

• 別経路で認証突破
• 加盟店側仕様
• 認証未使用決済
• 認証タイミング差
• フィッシング

特に重要なのは、「SMSが来た＝その認証コードで決済成功した」とは限らない点です。

実際には、認証要求だけ飛ばしているケースもあります。

SMS認証コードを直接盗まれたとは限らない

質問で特に不安になりやすいのが、「自分のスマホへ届いた数字をどうやって盗んだのか」という点です。

しかし、SMSコード自体が盗まれたとは限りません。

つまり、「カード情報入力→SMS送信までは行ったが、別ルートで決済成立した」可能性もあります。

そのため、SMS受信＝スマホ完全侵害とは限りません。

SMSコードは通常数分で失効する

一般的に、SMS認証コードは数分程度で期限切れになります。

そのため、「4日後に同じコードを使った」という可能性は通常かなり低いです。

むしろ以下のケースが考えやすいです。

• 後日別決済確定
• オーソリ後確定
• 加盟店側売上処理遅延

クレジットカードでは、「支払い受付」と「売上確定」が別タイミングになることがあります。

そのため、5/14認証→後日確定表示でも不自然とは限りません。

Amazonで履歴が見つからない理由

Amazon側で「あなたのアカウントには履歴がない」と言われるケースもあります。

これは、犯人が別Amazonアカウントを使用しているためです。

例えば以下があります。

• 他人アカウント
• 捨てアカウント
• 海外Amazon
• ギフト系購入

そのため、自分の購入履歴に出ないこと自体は珍しくありません。

Amazon側も、本人以外のアカウント詳細は開示できないケースがあります。

最近は「少額テスト決済」が多い

4142円という比較的小額請求も、不正利用ではよく見られます。

これは「カードが生きているか確認するテスト決済」の場合があります。

成功後、高額利用へ進むケースもあります。

そのため、早期停止できたのはかなり重要です。

カード番号流出ではなくても起きる

「流出していないのに不正利用？」と思う人も多いですが、完全流出だけが原因ではありません。

例えば以下があります。

• 総当たり攻撃
• 過去漏えいデータ
• 加盟店側漏えい
• 海外不正利用

最近はAIや自動化ツールにより、カード攻撃も効率化していると言われています。

そのため、個人の管理だけで完全防御できないケースもあります。

不正利用後にやるべきこと

今回のようなケースでは、以下対応が重要です。

1. カード停止
2. 再発行
3. 明細監視
4. SMS確認
5. 関連PW変更

特に同一パスワード使い回しがある場合は変更推奨です。

また、今後も少額請求が来ないかしばらく確認した方が安心です。

まとめ

PayPayカードなどの不正利用では、「当たり攻撃」と呼ばれるカード番号総当たり型の手法が使われるケースがあります。

ただし、SMS認証が届いたからといって、必ずしも認証コードそのものが盗まれたとは限りません。

また、「支払い受付」と「支払完了」は別タイミングで処理されるため、数日後に確定表示されることもあります。

今回のように早期にカード会社へ連絡できている場合は被害拡大防止としてかなり重要で、今後はカード再発行や明細監視を行うことで再発リスクを下げやすくなります。