2021年1月7日9:00
不正利用は国際的に見てどういった傾向にあるのか。また、それに対してどういった対応がとられているのか――。海外事情に詳しいMastercardの丸山氏が、グローバルな観点からとらえた不正利用のトレンドと、それに対する国際ブランドとしての対応策について、詳しく解説する。
●Mastercard Director Cyber & Intelligence Solutions (C&I) 丸山秀幸(まるやま ひでゆき)氏
急増した新規利用者に対応しきれずオンラインの利用阻害が続発
Mastercardでセキュリティサービスを担当しております丸山と申します。これまでにも何回か、ペイメントナビのセミナーで国際的な不正のトレンドとセキュリティ対策についてお話をさせていただいておりますが、今回は特にここ数カ月の新しい傾向についてお伝えできればと思っております。
まずはじめに、Fraud Attack Indexという、不正の動向をホワイトペーパーで出しているところが発信している情報から、最近のトピックスをお伝えします。Mastercard内でも共有しておりますが、なかなか面白い資料だと思います。ご興味のある方はインターネットで検索していただければ、ダウンロードすることができます。
コロナ禍で企業のVPNがパンクした話は、新聞やネットニュースでも取り上げられていました。不正利用の動向としてFraud Attack Indexの冒頭にハイライトとして取り上げられていたのも、新規のオンライン利用者の増加にともなう真正阻害の増加ということでした。Netflixなどの動画配信サービスをはじめとして、新規利用者が昨年の1~6月と比較して今年の1~6月では5倍に増えました。一方でこれを受ける側はそこまで準備が間に合わず、セキュリティ対策がどんどん機能してしまうので、新規ユーザーは既存ユーザーに比べて5~7倍の利用阻害が起きていたということです。
利用が増えた業種として、宅配・デリバリーを中心とした飲食が93%、食品が119%、家具・雑貨が172%増加しています。巣ごもり消費をせざるを得なくなったこの時期に断捨離をする人が増えたということも聞きますが、家の中で過ごす時間が増えたのでそのために必要なものの購入が増えたということのようです。
またこの時期、オンラインで購入し店舗でピックアップする、購買形態(BOPIS:Buy Online Pickup In Store)での不正が55%増えました。例えば、国内でもマクドナルドなどはスマホで注文して決済も済ませ、店舗で受け取るということが可能です。
不正犯というのは真剣にお金を稼ぐ、商売にするためにやっていますので、スマホで注文でき店舗で受け取ればいいという、足のつきにくい購買形態に目をつけたのだと思います。IPアドレスや自宅の住所を使わずにできる不正が増えているということです。国内でも多少話題になっていますが、グローバルで見ても顕著な増加を見せています。
また、増えているのが旅行関係の不正です。ホテル(宿泊)、フライト(航空券)、グランドサービス(現地で利用するレンタカーやオプショナルツアーなどのサービス)がそれぞれ、全体量としては40%、52%、52%減少しているのですが、不正は139%、144%、22%増えています。コロナ禍でホテル業界、航空業界が苦労されているのは皆様ご存じの通りですが、不正犯もそこを狙ってきているというところで、不正件数がぐっと増えているということです。業界はダブルパンチを受けているような状況です。
もう1つ、トランザクションのボリューム(41%増)、不正件数(65%増)ともに増えているのが、Cashing it in quickly、つまりクリプトカレンシー(仮想通貨)です。ビットコインがひと頃値下がりしたものがまた戻っているというニュースもありましたが、これもやはり不正犯のターゲットになっています。クリプトカレンシーそのものはカード決済とちょっと離れますが、それがカードと紐づくような商品、例えばプリペイドにチャージできるような商品が日本にもひと頃ありましたが、そういうものが、マネーロンダリングも含めて不正の対象になっています。不正犯にとっては手早くお金が手に入るということで、狙われているようです。
このレポートから紹介するのはここまでですが、ほかにも業種ごとに不正の動向がレポートされています。
日本の不正利用は依然として減らずアカウントテストの被害が増大
次にMastercardがまとめているデータから、最新の国際的なカード不正利用の動向を紹介します。グローバル、日本、US、インド、ブラジルのそれぞれについて不正件数を示しています。日本、インド、ブラジルというのは、世界の中で成績の悪い、不正のターゲットにされている3カ国です。その中でも日本は突出して不正件数が多いです。
グローバルで見ると、カードの不正自体は増えていません。2020年4月ぐらいに多少増えたぐらいです。不正犯がカードから、先ほどお話ししたクリプトカレンシーのようなところに動いているとも思います。グローバルなトレンドと比較すると、日本の数字があまりにも悪いので目立たないのですが、インド、ブラジルも引き続き高く、今年に入ってから増えている傾向にあります。ただインドは、非対面取引については対策をとっているので、多少減っているような感じもします。
日本について言えば、新しいサービスはどうしてもセキュリティが盤石とはいかず、その脆弱性を不正犯が突いてくるので、不正のトレンドになっているのだと思います。皆様もご存じの通り、2019年7月、セブン&アイ・ホールディングスグループが7pay(セブンペイ)を華々しくスタートして、7日間で閉じてしまったということがありました。あれも結局、狙われたのだと思います。あの後、グループの方とお話しする機会もありましたが、やはり売上を最優先で考えると利便性重視になり、セキュリティ対策が後手後手に回るということだと思います。また、PayPayもそうですし、新しい決済手段へのアタックは少なからずあるのだろうと思います。
クレジットカードの国内のトレンドでいうと、アカウントテストの増加が挙げられます。Mastercardではアカウントテストと言っていますが、業界の中にはいろいろな言い方をする方がいます。リスト型アタック、新型アタックなどありますが、16桁のカード番号に紐づく3桁のセキュリティコードの組み合わせで認証をとっているケース、カード決済だけでなく各種カードの登録などでもよくあるのですが、その3桁の番号を取得しようとすれば、1,000回やればどれか1つはヒットするわけです。それを特定の加盟店のマシンからアタックする。これがアカウントテストで、国内で増加しています。
国内でカードを発行しているイシュアにとっては頭の痛いところです。オーソリの件数が相当数に上るので、承認数が下がりますし、拒否率がものすごいことになる。このアカウントテストの増加というのは世界的に見ても同じ傾向がみられますが、日本は特に多いです。拒否はできているのですが、根本的な対策がない。そもそも日本はセキュリティ対策があまいというのが、狙われている理由だと思います。
フィッシングアタックの増加もよく言われていることです。いわゆる情報漏えいに関しても非常に増えています。手口も巧妙になっていますし、不正犯のスキルも上がってきています。
※本記事は2020年11月13日に開催された「ペイメントカー
