1枚のUSDT仮想カードでChatGPT Plusの支払い、Steamのゲーム購入、航空券の予約、さらにニッチなツールサイトでの少額消費をまとめてこなしているなら、「このカード、『カード情報を保存する』にチェックを入れるべきか」という判断は毎日のように発生する。Card-on-File(COF)は時間を節約できる一方、毎回手入力は手間がかかるが安心感がある。しかし実際のシナリオはこの二択より遥かに複雑だ。
このガイドは2種類の読者を想定している:サブスク型ユーザー(月3〜10件の自動引き落とし)とスポット消費ユーザー(たまに越境購入する人)。読み終えると、5つのよくあるシナリオでどれを保存すべきか、毎回手入力すべきか、使い捨て仮想カード番号(disposable virtual card)に切り替えるべきかを判断でき、USDTカード特有の注意点も把握できる。
まず理解する:Card-on-Fileで実際に何が保存されるのか
加盟店が「カードを保存」すると、サーバーには通常以下の情報が渡る:
- 完全なPAN(16桁カード番号)
- 有効期限
- カード名義人氏名
- CVV(規約準拠の加盟店は保存すべきでないが、実際の流出事例は多くの業者が保存していたことを示す)
準拠した加盟店はPCI-DSS標準に基づくトークナイゼーションを経由し、元のPANではなく不可逆トークンを保存する。しかし「準拠している加盟店」と「準拠していると自称する加盟店」の間には相当な距離がある。2023〜2025年に発生した複数のSaaS流出事件では、被害者のカード番号が最終的にカーディングフォーラムに流れており、いずれも加盟店側のCard-on-Fileデータベースが原因だった。
USDT仮想カードにここでの特別な免除はない。MPCardであれBybit Cardであれ、発行会社はVisa/Mastercardの標準ネットワークを利用しており、加盟店側の保存ロジックは一般的な物理カードとまったく同じだ。違いはただ一点:USDTカードの残高は通常低め(5万USDTを全額チャージするようなことはしない)なので、万一不正利用されても損失の上限をコントロールしやすい。
シナリオ1:AIサブスク(ChatGPT Plus / Claude Pro / Cursor Pro)
推奨:保存する
ChatGPT Plus=月$20、Claude Pro=月$20、Cursor Pro=月$20、いずれも月次自動更新だ。この種の加盟店には3つの特徴がある:
- 大手SaaSでPCI-DSSレベルが高く、OpenAIの決済はStripe経由で処理される
- 月額が少額なので、万一流出して不正利用されても1件あたりのリスクは限定的
- 保存しないと毎月手動入力が必要になり、3DS認証が頻繁に発火して不正検知の誤判定が増える
カード手数料の目安:MPCard Asia Eliteは1件あたり0.60%で、$20の消費=$0.12のカード手数料(公式)。毎回手入力+失敗時の再試行にかかる時間コストはこの手数料を大幅に上回る。
詳細はChatGPT PlusシナリオページおよびCursor Proシナリオページの成功率メモを参照。
シナリオ2:越境EC大手プラットフォーム(Amazon / eBay / AliExpress)
推奨:保存する、ただし取引通知をオンにする
この種のプラットフォームへの保存は安全性として許容範囲だが、問題はむしろ「カード番号流出」より「アカウント乗っ取り」から来ることが多い。攻撃者はたいていプラットフォームアカウント+弱パスワードを入手し、保存済みカードで自分の住所に注文する。
防御の重点はカードではなく:
- アカウントに2FAを設定する
- 配送先住所の変更はメール二次確認を必須にする
- USDTカードの1件ごとのSMS/Appプッシュ通知をオンにする
MPChatの1件ごとのリアルタイムプッシュがここで非常に重要だ。Amazonで不審な注文が入った5秒以内にカードを凍結でき、従来の銀行のT+1照合より遥かに有効だ。
シナリオ3:航空券・ホテル(Booking / Agoda / 航空会社公式サイト)
推奨:毎回手入力、または使い捨て仮想カード番号を使う
ホテル・航空券はCard-on-Fileのリスクが最も高いシナリオの一つだ。理由:
- OTA(オンライン旅行代理店)の仮予約金額は全額になることが多く、流出後の不正利用は1件数百〜数千ドル規模になりうる
- 一部の小規模航空会社や地域OTAのPCIレベルが低い
- 取消・変更手続きが長く、不正利用後の異議申し立てと回収はSaaSより難しい
理想的な方法:使い捨てカード番号。MPCard・RedotPay・Bitget Wallet Cardなど「1回使い切り仮想カード番号を生成」できる発行会社のカードで、ホテル・航空券予約専用のサブカードを発行し、予約完了後に即廃棄する。Bookingも公式に3DS認証対応カードの優先使用を推奨しており、考え方は同じだ。
シナリオ4:ニッチなツールサイト・グレーゾーンサブスク(VPN・プロキシ・独立系開発者SaaS)
推奨:毎回手入力、絶対に保存しない
事故が最も多いカテゴリだ。特徴:
- チームが3〜5人で専任セキュリティ担当がいない
- 決済統合がStripe/Adyenのような準拠ゲートウェイを使わずPANを直接取得している可能性がある
- 事故が起きても追責できない(チームが別の法域にいる、あるいは突然消える)
月$5のVPNでも、保存するということは16桁のカード番号がHTTPS証書すら正しく設定されていないかもしれないVPS上に眠ることを意味する。
「小規模加盟店からの流出」についてはexchange-hackリスクページの説明も参照。ロジックは同じだ。
シナリオ5:海外プラットフォームへの法的登録(Apple ID / Google Playの地域切り替え)
推奨:保存する、ただし専用カードを用意する
Apple/Googleのようなプラットフォームはアカウントの「アンカー」としてその地域のカードの紐付けを求め、頻繁な解除はリスク検知によるロックを引き起こす。推奨:
- 専用のUSDTカード(たとえばアジア太平洋BINのMPCard Asia Elite)をこの用途だけに紐付ける
- 少額だけチャージし、メインの消費カードとして使わない
- 日本コンプライアンスガイド・香港コンプライアンスガイドの「カードBINの一致性」の項目と合わせて活用する
Do / Don’t 早見表
やるべきこと:
- USDTカード1枚には1〜2ヶ月分の消費額だけをチャージし、貯蓄口座として使わない
- 1件ごとの取引プッシュ通知をオンにし、異常を検知したら1分以内にカードを凍結する
- 大手SaaSは保存、小規模加盟店は手入力、ホテル・航空券はサブカードを使う
- 発行会社のアプリで定期的に「加盟店認証リスト」を確認し、不要になった保存を削除する
やってはいけないこと:
- 1枚のカードに10以上の加盟店を保存しない。流出時のリスク面積がそのまま拡大する
- 小規模加盟店で「カードを保存する」際に「提携パートナーとの共有に同意する」にチェックを入れない
- サブスクとグレーゾーンサイトに同じカードを使わない。リスク検知に引っかかると両方のサービスを同時に失う
- 「CVVは保存しません」という声明を信じない。あなたには確認する方法がない
よくあるミスと回避方法
ミス1:USDTカードをメインカードとして全加盟店に保存する。 USDTカードの強みは「軽量で使い捨てしやすい」ことにある。従来のクレジットカードのように使うと、発行会社リスクが逆に拡大する(issuer-bankruptcy参照)。正しいアプローチ:「用途専用カード」と位置づけ、シナリオに応じてカードを使い分ける。
ミス2:毎回手入力すれば安全だと思い込む。 手入力でも加盟店の決済ページを経由する。加盟店のページに悪意のあるJSが注入されていた場合(Magecart攻撃)、入力した文字がリアルタイムで盗まれる。本当の防御は「加盟店の信頼性+カード残高の上限設定+3DS認証」であり、入力方法ではない。
カード選びの提案
シナリオごとに異なるカードを使うのが理想だが、複数枚の管理には学習コストがかかる。1枚だけ使うなら、MPCard Asia Eliteはアジア太平洋SaaSの保存シナリオで安定しており、1件あたり0.60%・月費$0(公式)。ホテル・航空券などリスクの高いシナリオには使い捨てカード番号生成に対応した別のカードを組み合わせる。
より体系的な比較は2026 USDTカード Top 5と最安手数料ランキングを参照。