2022年9月13日12:30
EMV 3Dセキュアは期待の一方でコスト面など課題も 「属性・行動分析」や「配送先情報」対策も重要に
2022年9月1日に一般社団法人セーファーインターネット協会が開催した「フィッシング、クレジットカード不正の現状と対策を考える会」ではかっこ O-PLUX事業部 ディビジョンマネジャー小野瀬 まい氏がEC 事業者における不正被害の実態や対策状況について紹介した。
クレジットカード不正利用増加の要因は?
個人情報の漏洩が増加
かっこは、フィッシングやサイバー攻撃などで漏洩した個人情報、クレジットカード情報を使ったオンラインショッピングでの不正注文、インターネットバンキングでの不正送金などの不正行為を検知するセキュリティサービスを提供している。
具体的には、クレジットカードの不正利用や、悪質転売を検知する不正注文検地サービス「O-PLUX(オープラックス)」、金融機関などで採用されている他人のIDやパスワードを盗んで アクセスしてくるものを検知する「O-motion(オーモーション)」を提供している。
なぜクレジットカードの不正利用が増加しているのか? クレジットカードがネットショップで不正利用されると、代金はEC事業者が負担する。クレジットカードの不正利用が発覚したタイミングでは、すでに商品は加盟店から発送されており、売り上げも入ってこない。また、商品も取られてしまい二重の負担が発生する。クレジットカードの被害額は2021年は過去最多を記録しており、今年1~3月で94億円となっているように、被害が止んでいない状況だ。
クレジットカードの不正利用が増える要因として、かっこは、大きく3つ要因があるとした。
1つ目が「売買されるカード・個人情報」だ。フィッシングサイトで盗まれたカード情報が、ダークウェブで売買されており、カード情報を盗んだ不正者以外にも、カード情報が行き渡る状態になっている。 2つめは、ECサイトの場合、カード番号と有効期限さえ分かっていれば、決済できてしまう仕組みのため、その脆弱性を突かれて、不正行為が行われている。3つめは、個人間の売買、国内で不正購入をして海外で転売する行為だ。これらが組み合わさって不正注文が増えている。
2021年の東京商工リサーチ調査によると、個人情報の漏洩は、2021年は137社から報告があり、漏洩した個人情報としては、過去最多の574万人分となった。 これらの個人情報にはクレジットカード番号が含まれており、クレジットカードのみに限ると2021年が約25万件、71サイトからの漏洩の報告が上がっている。2022年上期に関しては、66万件、約21サイトとなっている。カード情報をEC加盟店が持たない非保持化が浸透したが、不正アクセス、ペイメントモジュールの改ざん、個人へのフィッシングメールの通知など、さまざまな手口を用いて、カード情報の漏洩は続いている。
クレカ不正対策の義務化を7割が認知
不正手口が巧妙化
かっこでは、EC事業に携わる546名からEC事業の実態についてのアンケートを行った。その結果、改正割賦販売法で、クレジットカードの不正対策が義務化されていることを知っているかの問いに関して、約7割が認識していた。その一方で、被害者がEC事業者であるということを、3人中1人が知らない結果となっている。これは、自らが被害者になってから、気づくということだ。また、EC事業者の対策状況として、クレジットカードの不正や悪質転売など、不正対策をしているかという問いに対し、約40%の事業者が不正対策をしていない結果となった。その理由として、「被害が少ない」「優先順位が低い」「どんな対策が良いか不明」ということで、「被害がないと、売り上げ確保に注力されて、なかなかセキュリティの方は後回しになっていくというところが分かるかと思います」と小野瀬氏は説明する。
近年は不正の手口も巧妙化し、ECサイトが扱う商材でも狙われやすさが変わってきている。例えば、同社の「O-PLUX」が検知した金額を集計したところ、高額な家電、ホビーゲーム、アパレルなどが例年上位に入っているが、7位、11位に入っている日用品、コスメなどの低単価なものでも、不正被害というのが出てきており、狙われる商材も増えている。
さらに、不正注文被害にあったことがあるのは4社に1社となった。また、被害はクレジットカード不正が7割を占めた。
