2025年4月2日8:00
かっこが2024年11月に実施したEC事業者への実態調査の結果をもとに、巧妙化する最新の不正手口と、「線の考え方」を踏まえた不正対策の最前線を紹介します。(2025年2月27日開催「ペイメント・セキュリティフォーラム2025」より)
かっこ株式会社 O-PLUX事業部 小林 太平氏
不正検知をはじめ
3つのサービスを柱に事業を展開
かっこはSaaS型アルゴリズム提供事業を展開して、2025年に15期目を迎える会社です。2020年に東京証券取引所グロース市場に上場いたしました。
具体的には3つのサービスを柱に事業を展開しています。1つは、ECで発生する不正注文や不正ログインを検知する不正検知サービス。2つ目は、事業者への決済コンサルティングサービス。主に後払いサービスを提供する事業者の裏側で、与信処理を支援しています。3つ目はデータサイエンスサービスで、EC決済事業者に日々集まる決済データをもとに、不正傾向の分析を行っています。
弊社では2024年11月にEC事業者への実態調査を行いました。本日はこの調査結果から、現状の不正被害と対策状況をご紹介いたします。この調査はネット方式により実施し、550件の有効回答を得ました。回答者の事業規模では年商10億円未満の事業者が50.4%、10億円以上が49.5%とほぼ半数ずつになっています。
EC事業者の4割が不正注文を経験
4分の1が年間被害額100万円以上
調査結果によると、EMV 3-Dセキュアが2025年3月までに導入が義務化されていることを「知っている」事業者が87.6%で、2023年度調査の76.5%からほぼ10%増えました。EC事業者の意識が着実に向上していることがうかがえます。
2024年に公表された「クレジットカード・セキュリティガイドライン5.0版」で不正利用対策の「線の考え方」が提示されました。おさらいさせていただくと、カード決済前、決済時、決済後、それぞれのタイミングで対策をしていきましょう、断面ごとではなく、決済前から後までの一連の流れで対策をとっていきましょう、ということです。この「線の考え方」を知っているか、という問いに対しては、「内容までよく知っている」が全体では65.6%。年商10億円以上の事業者では71.4%ですが、年商10億円未満の事業者では59.9%と6割に届かず、意識の浸透はまだ十分ではないという結果になりました。
次は、不正ログインの被害についてです。約半数が被害を受けており、直近1年間に被害を受けた事業者が24.4%に上っています。被害の内容では、「不正決済・不正購入」を筆頭に、「情報漏洩」などが続いています。
クレジットカード不正、不正転売、未払いなど、不正注文被害については、「被害にあった」が41.8%で、2033年度から7.4%増加しています。最も多いのは、チャージバック(クレジットカード不正利用)で52.6%となっています。
直近1年間の不正被害の総額を聞いたところ、「25万~50万円未満」が23.0%で最も多くなっています。これを年商10億円未満と10億円以上の事業者で比較してみると、10億円以上では100万円以上が35.5%で、10億円未満の事業者の約3倍に上っていました。売上が大きいほど不正者に狙われやすいのは当然とも言えますが、それが数字で明らかになった結果となりました。
約8割が不正利用対策を実施
対策の筆頭は3Dセキュアの実施
続いて、不正利用対策の状況についてです。不正ログインについて対策をしているかという問いに対して、大半の事業者は何らかの対策をとっています。具体的には「二要素認証等による本人確認」が54.4%、「不審なIPアドレスからのアクセス制限」が53.3%と半数以上が実施しています。「対策していない」との回答は3.8%でした。
クレジットカード不正や悪質転売などの不正注文対策をしているかどうかについては、77.8%が「対策をしている」と回答。特に年商10億円以上の事業者では83.2%と、8割を超える事業者が何らかの対策をとっています。実施している対策については、EMV 3-Dセキュアがトップ。2023年度と比べて、15.8%から62.1%へ、約4倍に伸びています。今年の3月の義務化を前に駆け込みで実装した事業者が多かったのではないかと見ています。
EMV 3-Dセキュアと属性行動分析の不正検知システムを併用しているか否かについて聞いた問いでは、併用している事業者が2023年は28.0%だったのに対して、2024年は37.6%と、約10%伸びています。EMV 3-Dセキュアのみと答えた事業者は逆に、72.0%から62.4%へと約10%減少しました。
EC事業者においては、決済前から後までの「線の考え方」、そして、EMV 3-Dセキュアだけでなく複数のツールを使った対策をとることが重要になってくるものと考えています。
巧妙化する不正利用の手口
アカウント乗っ取りが代表例
クレジットカード不正利用の手口は、日々巧妙化しています。弊社はカード観点ではなく、アカウント観点で不正を監視していますが、不正利用の手口のひとつにアカウント乗っ取りによる不正購入があります。
不正者はまず、フィッシングやダークウェブでIDやパスワードを盗みます。これを使ってBOTによる総当たり攻撃を行い、ログインに成功できたら、会員登録情報を書き換えて、クレジットカード決済や後払い決済を実行します。不正者は既存会員のアカウントを狙います。会員登録情報にクレジットカード番号が紐づけられているECサイトはまだ多いので、不正者はPANを盗む必要なく不正購入をすることができます。ECサイトへの不正アクセスが原因であることから事業者にも責任が問われますし、個人情報漏洩の事案に該当しますので、個人情報保護委員会や各種団体への報告が求められるなど、事業者においてはさまざまな工数が発生します。
もうひとつの例が、闇バイト関連による不正購入の広がりです。不正者の組織はフィッシングやダークウェブで他人のカード情報を入手します。指示役はSNSなどで闇バイトの募集をかけて、実行役を集め、不正をはたらきます。ここには2種類の不正が混在しています。ひとつは、フリマのオークションサイトに商品を架空出品して、それを買うという、売り手も買い手も不正者というパターンです。これはフリマのオークションサイトの立替金を詐取する手口です。もうひとつは、一般に出品されているものを、盗んだカードで購入するというパターンです。最終的には実行役が売上金を暗号資産にして、指示役に渡すという構図です。少しでも足が付かないように、役割を細分化して、さまざまな情報をロンダリングしている様子が見て取れます。
■お問い合わせ先
かっこ株式会社(Cacco Inc.)
〒107-0051
東京都港区元赤坂1-5-31 新井ビル4F
TEL : 03-6447-4534( 代表 )
https://cacco.co.jp/
https://frauddetection.cacco.co.jp/
お問い合わせ https://frauddetection.cacco.co.jp/contact/
