【重要】楽天カードから緊急のご連絡

2026.4.15

【重要】楽天カードから緊急のご連絡

朝イチでそんなメールが届いた。
正直、まず疑った。「フィッシングかな？」と。

でも送信元ドメインや楽天e-NAVI側を確認して、「これは本物だ」と判断。
すぐにカード裏の番号に電話してみた。

自分のカードが、知らないところで使われていた

オペレーターの話をまとめると、こういう流れだった。

まず、アメリカのAmazonで、少額で2度ほど決済が試されている
そのあと、EU圏のどこかで本格的な利用が走った
楽天側の不正検知が反応して、カードを止めたうえで「【重要】ご利用確認」のメールが飛んできた

いわゆる「カードテスト」→「本番利用」の典型パターンらしい。
オペレーターの口ぶりも、完全に“見慣れた事案”という感じだった。

誠眼鏡のECサイトでも、同じことが起きていたのかもしれない

話を聞きながら、ふと自分の店のことを思い出した。

うちの「誠眼鏡」のオンラインショップでも、ここ数年、不正っぽいカード利用は何度かあった。

以前多かったのは、「不正カードで注文 → そのまま商品も戻ってこない」パターン
最近あったのは、ちょっと違うケースだった。

「不正カードでの注文 → ブラックリストに該当なし → 発送 → 送り先不明で戻ってくる」というもの。

そのときは、「一体これは何だったんだろう」と首をかしげていた。
でも楽天カードの話を聞いて、少しつながった気がした。

もしかして、あれも“カードが生きているかどうか”をチェックするためだけの注文だったのか。

カードテストの不正利用は、小額決済や実害が出にくいECサイトを使って、有効なカード番号かどうかを一気にスキャンする手口が多いとされている。

その候補のひとつとして、うちのサイトも使われた可能性がある、ということになる。

「カード被害」と「ショップ側の違和感」は表裏一体

カード会社側から見ると、

いつもと違う国・違うパターンで使われた
少額のテスト → その後一気に別の場所で利用

という動きだけで、「これは怪しい」と判断して止めにいく。

一方でショップ側から見ると、

送り先が怪しい
配送しても受取人不明で戻ってくる
なんとなく違和感のある注文が増える

という形で“兆候”が出る。

今回、自分が「被害者側（カードホルダー）」と「EC事業者側」の両方を経験して、
この二つが裏表になっているのを、すごく実感した。

これからやること：カード管理と店のセキュリティ

楽天カード側では、すぐにカード停止と再発行手続きに進んでくれた。

こちらとしては、

利用明細と「利用お知らせメール」をこまめにチェックする
オンライン決済に使うカードをある程度分ける
不審なメールは必ず公式ドメインとアプリ側から確認する

一方、誠眼鏡のEC側では、

不自然な配送先・大量注文をフィルタリングするルールを強化する
決済まわりで、3Dセキュアや追加認証の導入を検討する
「戻ってきた荷物」をただのコストで終わらせず、パターンとして蓄積していく

そういう対処が必要だと感じた。

カードの世界も、ECの世界も、「不正利用」と「守る側の努力」は常にいたちごっこだ。

今回の楽天カードの件で、その現実を自分の身と店の両方から味わうことになった。

これを機に、自分のカード管理と店のセキュリティをもう一段アップデートしておこうと思う。

ーーーー

“Urgent Notice from Rakuten Card” — What I Learned from a Fraud Case

“[Important] Urgent Notice from Rakuten Card.”

That was the subject line of the email I received first thing in the morning.

My first reaction was suspicion.
“Is this phishing?”

But after checking the sender’s domain and confirming through Rakuten e-NAVI, I realized it was legitimate.
I immediately called the number on the back of my card.

It turned out my card had been used without my knowledge.

According to the operator, the sequence looked like this:

First, two small transactions were attempted on Amazon in the United States.
Then, a larger transaction was made somewhere in the EU.
Rakuten’s fraud detection system flagged the activity, blocked the card, and sent the alert email.

This is apparently a typical pattern:
“card testing” followed by “actual use.”

The operator spoke about it as if it were something they see all the time.

While listening, I suddenly thought about something that had been happening on my own store.

On the e-commerce site for Makoto Optical, we’ve had several suspicious card transactions over the past few years.

In the past, the pattern was simple:
fraudulent cards were used, and the products never came back.

But recently, I saw something slightly different.

Orders would come in using questionable cards.
They wouldn’t be flagged by our blacklist.
We would ship the item.
And then it would be returned as undeliverable.

At the time, I remember thinking,
“What was that all about?”

But after hearing the explanation from Rakuten, something started to connect.

Maybe those weren’t attempts to steal products at all.

Maybe they were simply testing whether the card was still valid.

Card testing often uses small transactions or lower-risk e-commerce sites to scan large numbers of cards and identify which ones are active.

If that’s the case,
my site may have been used as part of that process.

From the card company’s perspective, the signals are clear:

Unusual location
Unusual pattern
Small test transactions followed by larger ones

That alone is enough to trigger a block.

From the merchant’s side, the signs look different:

Suspicious shipping addresses
Packages returned as undeliverable
A subtle increase in strange orders

This time, I experienced both sides—
as a cardholder and as an e-commerce operator.

And it made me realize how closely these two perspectives are connected.

Rakuten quickly stopped the card and arranged for a replacement.

On my end, I need to be more careful about a few things:

Regularly checking transaction history and alert emails
Separating cards used for online payments
Always verifying suspicious emails through official channels

And for the store itself:

Strengthening filters for unusual shipping addresses and order patterns
Considering additional authentication measures such as 3D Secure
Treating returned shipments not just as losses, but as data to learn from

In both the card industry and e-commerce,
fraud and prevention are always in a kind of cat-and-mouse cycle.

This time, I experienced that reality from both sides.

The issue itself will likely be resolved once the replacement arrives.

But what stayed with me was not just the fraud,
but how it happens—
and how it is detected.

It changed the way I see things, even if only slightly.