2023年は被害総額が過去最大、低単価な商材も標的に

ーーはじめに、2023年の「クレジットカード不正利用」の状況について教えてください。

小野瀬まい氏（以下、小野瀬）：日本クレジット協会の調査によると、2023年のクレジットカード不正利用被害額は、過去最高の540.9億円となりました。「EMV3-Dセキュア」の導入が必須になっているにも関わらず、被害額は増えているということは、対策が十分ではない状態だといえます。

ーーどのような商品のジャンルが狙われやすいのでしょうか？

小野瀬：弊社の不正検知サービスによって検知した「不正利用が多かった商品ジャンル」をランキングにしました。

トップのデジタルコンテンツからホビー・ゲーム、そしてチケット商材などは、高リスク商材と呼ばれており、毎年不正利用が多いジャンルです。

ただ、特徴的なのは、低単価なコスメ・ヘアケア、健康食品や食品といったジャンルも上位にきていることです。

「低価格の商品を扱っているから狙われない」と考えている方も多いかもしれませんが、今は商材に関わらず、不正に巻き込まれるリスクがあるということを年頭に置いておかなければなりません。

3社に1社が不正被害に、セキュリティ意識は中小企業と大企業で差

ーー被害総額が過去最高となる中、EC事業者の意識は変化しているのでしょうか？

小野瀬：弊社では毎年、EC事業者を対象に「意識・対策状況・被害状況」などについての実態調査を実施しています。2023年の回答数は549件で、回答した企業の年商規模は10億円未満が50％、10億円以上が50％と大手事業者と中小事業者の割合は半々でした。

調査では「改正割賦販売法において、クレジットカードの不正利用対策が義務化されていることを知っていますか」といった質問に対して、7割以上の方は「知っている」と回答がありました。

「知っている」という回答は昨年の調査より、7％ほど上昇していたため、セキュリティの意識自体は高まっているといえます。

ただ、EMV3-Dセキュア導入の必須化を知っている事業者は、全体で76.5％にとどまりました。年商10億円未満は平均を下回る数値となっており、大手と中小でセキュリティに対する意識の差があることがわかりました。

ーーなぜ年商規模で、意識の差が生まれるのでしょうか？

小野瀬：成長途中の事業者さまですと、売上を上げる施策に予算を割くことが多く、セキュリティ対策の部分が後回しになってしまうからだと思います。

ただ、今回の調査では34.4%ほどの事業者が被害にあっていると回答しているので「まだ売上がないECだから被害にあわない」というわけではありません。どのようなECでも被害にあう可能性はあります。

ーーどれだけ売上を積み上げていても、被害にあってしまったら大きな損失を生みます。

小野瀬：はい。弊社も安価で不正を検知できるプロダクトを提供していますが、そういった安価なものでもいいので、必要最低限の対策はすべきだと思います。

手口が巧妙化し、アカウント乗っ取りが横行

ーー次に、不正利用の手口について最新の状況を教えてください。

小野瀬：不正利用の手口は年々巧妙化しており、2023年に増加した手口としては「アカウント乗っ取りからの不正注文」といったものがあります。

これまでの「クレジットカード不正利用」というと、不正者が自身でアカウントを作成し、決済のタイミングで、不正に取得したクレジットカード情報を利用するという手口でした。

しかし、アカウント乗っ取りの場合は、フィッシングサイトやダークウェブから取得したアカウントIDやパスワードを利用、またはbotによる総当たり攻撃を仕掛けて、既存ユーザーのアカウントにログイン。そして、会員情報を書き換えて不正注文をするといったものです。

ーー不正者からするとアカウントを乗っ取るというひと手間が増えています。

小野瀬：弊社の推測ではあるのですが、過去に購入履歴がある既存会員のアカウントを利用することで、不正検知から逃れたり、足がつきにくいといった理由があると考えています。

また、アカウントにクレジットカード情報が紐づいているECサイトであれば、クレジットカード情報を入手せずとも決済ができてしまうといった理由もあります。

ーーこのようなアカウント乗っ取りによる不正注文が起こった場合、EC事業にはどのような影響があるのでしょうか。

小野瀬：まず、アカウントの乗っ取りが判明した時点で、安心安全に買い物ができないECと見られてしまい、ブランドイメージの低下につながります。また、個人情報の漏洩事案として、各種団体への報告義務など大きなリソースが必要になります。

また、アカウントへのログインのために総当たり攻撃が行われれば、サーバーに多大な負荷がかかり、サーバーがダウンするといったことにもつながります。

不正利用の対策は“点”ではなく“線”で考える

ーー巧妙になる手口に対し、EC事業者はどのような対策が必要になるのでしょうか？

小野瀬：アカウント乗っ取りのような手口が増えている今、決済時のみのセキュリティ対策だけでは不十分になっています。

経済産業省が出している「クレジットカード・セキュリティガイドライン【5.0版】」でも、セキュリティ対策を“点”で考えるのではなく、“線”で考える重要性について提唱されています。例えば、アカウント乗っ取りは決済前の対策になりますし、導入が義務化されている「EMV3-Dセキュア」は決済時の対策です。

ーー「EMV3-Dセキュア」の導入のみで安心してはいけないと。

小野瀬：そうですね。EMV3-Dセキュアの導入は義務化されて、導入する事業者も増えていると思うのですが、万能なものではありません。

むしろ導入後に不正利用が多いと、カード会社のオーソリゼーション（信用承認）の承認率が下がり、正規に注文したいユーザーのクレジットカードが使えないという事態が発生します。そうなるとカゴ落ちにつながり、売上にも大きな損失が生じます。

例えば、「カメラのキタムラ」の株式会社キタムラさまは「EMV3-Dセキュア」にプラスして弊社の不正検知サービス「O-PLUX」を導入いただいています。

カメラは不正に狙われやすい商材なのですが、以前は不正注文を人力でチェックされていたそうです。しかし、年々巧妙化する手口によって限界がきたため、サービスの導入に至ったとのことでした。

株式会社キタムラさまからは、グローバルなセキュリティである「EMV3-Dセキュア」では対策できない、国内に特化した部分を「O-PLUX」によってカバーできていると評価をいただいています。

このように、EMV3-Dセキュアは万能ではないという点を踏まえて、決済前から決済後までの流れを“線”で考える対策が、これからのEC事業者には求められるものです。

▽リンク（株式会社キタムラ様　導入事例）

不正注文の手口が巧妙化し、3Dセキュア＋目視での検知も限界に。検知精度の高い「O-PLUX」の導入で、目視チェックの課題を解消！

不正対策をワンストップで可能にするかっこのサービス

ーーかっこのサービスでも“線”での対策は可能なのでしょうか？

小野瀬：はい。弊社の強みは、フィッシング対策から不正アクセス・不正注文検知まで、ワンストップでサポートができるという点です。

導入実績No.1の不正検知サービス「O-PLUX」をはじめとして、例えば、フィッシング対策であれば「鉄壁PACK for フィッシング」、昨年から増加したアカウント乗っ取りは、不正アクセスを検知する「O-MOTION」といったようにさまざまな対策を行うことが可能です。

ワンストップで弊社サービスをご活用いただくことで、余計なコストがかかることを抑え、管理も容易になります。

かっこ不正検知サービス：https://frauddetection.cacco.co.jp/

不正検知サービス「O-PLUX」が選ばれる理由

ーー「O-PLUX」は4年連続で導入実績No.1を獲得しています。なぜ選ばれているのでしょうか？

小野瀬：さきほど、株式会社キタムラさまの事例でも少し触れたのですが、理由の1つとしては「国内の不正対策に特化している」ことです。

ーー具体的にはどのように特化しているのでしょうか？

小野瀬：わかりやすいところでいうと、例えば「空室情報との照合」があります。不正利用のケースの1つに空き室に荷物を送り、待機している受け子が荷物を受け取って逃げるという手口があります。

そこで、株式会社LIFULLさまが提供する「LIFULL HOME'S」のデータベースと連携し、リアルタイムに注文者の住所が空き室になっていないかなどを照合し、不正を検知します。

また日本ならではのところでいうと、「名寄せ処理」もあります。注文者の名前の「漢字」と「読み」に違和感がないかといったものをチェックするものです。

例えば、外国人が日本人になりすましている場合、日本人だったら「中山（なかやま）」と読むところを「中山（ちゅうざん）」と入力していることがあります。非常に地味な部分ではあるのですが、外国の犯罪組織などにはかなり有効な手法なのです。

あとは、「O-PLUX」の利用企業さま間で行う「ネガティブ情報の共有」があります。

具体的には、A社で不正利用が起きた住所と、同じ住所でB社に注文が来た場合、それが不正注文じゃないかとチェックすることができる仕組みをつくっています。

まだ、さまざまな細かい部分はありますが、これらの仕組みによって、国内に特化したサービスを実現しています。

「O-PLUX」の詳細：https://frauddetection.cacco.co.jp/o-plux/

ーー中小の事業者も利用可能なのでしょうか？

小野瀬：高精度かつ個別にカスタマイズ可能なものが「O-PLUX」ですが、まだセキュリティ対策に大きな予算を割けないという中小事業者さまには、月額4000円から利用可能な「不正チェッカー」というサービスを用意しています。

まずは、ノーガードの状態から脱却し、必要最低限の対策としてご活用いただければと思います。

業界の垣根を超えた連携で、不正撲滅を目指す

ーー最近はさまざまな連携を進めておられますね。

小野瀬：そうですね。まず、不正検知の環境をすぐに構築したいというご要望も多いことから、カートシステムとの連携を進めています。

直近では「EC-CUBE」のプラグインを提供したり、「楽楽リピート」と連携し、1からシステムを開発するのではなく、誰でも簡単に不正検知の環境を整えられるようにしています。

また冒頭でお話ししたように、日々巧妙化している手口に対して、われわれ一社でできることには限界があります。今後は業界の垣根を超えて、さまざまな連携が必須になってくると考えています。

昨年9月には、カード会社向けの不正検知サービスを提供している株式会社インテリジェントウェイブさまと協業を発表しました。

EC事業者側とカード会社側の、双方の最新情報を連携、共有をすることで、不正撲滅を目指しています。今後も国内の企業だからこそできる連携や取り組みは、引き続き強化してまいります。