巧妙化する不正の手口

――ECで見られるクレジット決済の不正利用について、最近の傾向を教えてください。

小野瀬まい氏（以下、小野瀬）：総務省の統計データによると、不正アクセスの被害件数は2020年が2806件だったのに対し、23年には6312件、24年も5358件となり、過去5年間で2倍ほどに増加しています。

不正アクセスの手口を見ると、IDやパスワードをフィッシングで盗んだり、ダークウェブで売買されている情報を購入したりして行う方法が、全体の9割以上を占めています。いわゆる“なりすまし”による不正アクセスが増加傾向にあります。

次に、クレジットカードの不正利用被害額を見ると、こちらも高止まりの状況にあります。2024年には、ネットショップの不正利用被害である「番号盗用」の被害額は513億5000万円に上りました。

今年3月末から、原則としてすべてのEC事業者が3Dセキュアを導入することになったわけですが、残念ながらECサイトでの不正利用は沈静化していません。

――被害が拡大している理由は何でしょうか？

小野瀬：手口が巧妙化していることがあります。1つ例を挙げますと、中高生が生成AIを悪用して750万円を不正取得したという事件が発生しました。テレグラムを通じてIDとパスワードを購入し、それを使って大量の不正アクセス・不正ログインを試みたという内容です。自動で大量のIDとパスワードを組み合わせて、不正ログインが可能なものを見つけ出して、不正ログインに成功したとみられています。

このように、生成AIを悪用して不正アクセス・不正ログインを行うためのプログラムを作るなど、深い知識がなくても不正行為が可能となっているのですね。

クレジットカードの不正利用については、フィッシングやダークウェブで、ユーザーのID・パスワードを入手してアカウントを乗っ取り、不正購入するという手口があります。ユーザーになりすまして、ECサイトに不正ログインし、登録されている会員情報を書き換えていくわけです。このアカウントを使って不正に購入することで、クレジットカードの不正利用が発生します。

既存会員、特に優良顧客だと対策が甘くなるため、不正者はそこを狙ってきます。さらに、会員情報にカード情報が紐づいているECサイトの場合は、アカウントを乗っ取れば、カード情報を入手する必要もなく決済できるという点が狙われます。

3Dセキュア導入後に知っておくべきリスク

――経済産業省は今年3月、「クレジットカード・セキュリティガイドライン」を改定しました。その効果をどう見ていますか？

小野瀬：ガイドライン改定により、いろいろな対策が追加されました。カード情報保護対策については、これまで非保持化によってカード情報の漏えいを防止してきましたが、直近では非保持化されていても情報漏えい事故が頻発しています。

これは、決済の場面に不正なコードが仕込まれていて、気づかないうちに不正者にクレジットカード情報が渡っているためであり、サイトの脆弱性が狙われたわけです。このため、ガイドラインには脆弱性対策が新たに追加されました。また、不正利用対策では、3Dセキュアの導入と、適切な不正ログイン対策が盛り込まれました。

このようにガイドライン改定によって、対策が強化されたと思います。ただし、ガイドラインには罰則がなく、特に中小企業でどこまで進展するのか動向を注視しています。

とは言え、ガイドライン改定は被害が沈静化していないという経済産業省からの強いメッセージでもあり、EC事業者はしっかりと対策を立てることが重要です。

――3Dセキュアを導入した結果、決済承認率が低下するケースもあり、EC事業者にとって新たな課題となっているようですね。

小野瀬：不正対策は守りのイメージが強いですよね。実は、不正対策を行うことによって、売上がアップする状況になってきています。その1つとして、決済承認率を上げることで売上を増加させたいという、EC事業者からの要望・問い合わせが当社にも寄せられています。

3Dセキュアを導入すると、クレジットカードの不正利用が発生した場合、カード会社が補償するという形になります。EC事業者は金銭的被害が生じませんので、3Dセキュアを導入すれば対策が完了したと思いがちです。

しかし、カード会社では3Dセキュアの導入後も、不正が多い加盟店に対しては、オーソリゼーション（信用照会）審査を厳しくしていることがわかっています。不正が増加すると、カード会社としても補償金額が増えてしまうので、オーソリゼーション審査を厳しくすることによって対策を強化しているわけです。

そうすると、不正が多いECサイトでは決済承認率が下がるため、ユーザーはクレジットカード決済で購入することが困難となります。

何度試してもクレジットカード決済が通らないために、そのサイトでは買い物をしなくなり、EC事業者にとって販売機会の損失となります。その結果、売上減少につながっていきます。

EC事業者で、クレジットカード決済での売上が下がってきている場合や、ユーザーから「サイトでカード決済ができない」といった苦情が増えている場合には、注意が必要ですね。不正が多いために、カード会社に決済承認率を下げられている可能性があるからです。

しかし、そうした部分は、決済データを可視化しないと確認できません。可視化して詳しく見ていくと、カード会社のオーソリゼーション審査で拒否されていることがわかり、決済承認率を改善しないと売上が伸びない構造になっていることに気づきます。

かっこ株式会社 O-PLUX事業部長 小野瀬まい氏

決済承認率を改善して売上アップ

――売上が低下する要因として、ほかにどのようなことがありますか？

小野瀬：実は、3Dセキュアの導入後もカゴ落ちは発生し、売上が減少しているというケースがあります。ユーザーにとっては、パスワード入力などは手間がかかります。3Dセキュアでパスワード入力を求められたものの、パスワードがわからないとか、または面倒くさがって離脱してしまうことがあります。

ガイドラインは、3Dセキュアの運用パターンを規定しています。（1）加盟店のリスク判断で3Dセキュアによる認証を行う、（2）カード番号登録時に3Dセキュアによる認証を行う、（3）決済の都度、3Dセキュアによる認証を行う――の3パターンが示されています。

EC事業者からすると、ユーザー体験を損なわないようにし、カゴ落ちを防止するためには、3Dセキュアをなるべくかけたくないということになりますよね。つまり、（1）または（2）のパターンを選択することになります。

そのためには、しっかりとした不正対策の実施が要件となります。最近では大手企業を中心に、3Dセキュアの運用パターンの（1）または（2）を適用したいという、要望が増えています。

――その対策として、EC事業者は何をすべきでしょうか？

小野瀬：具体的な対策として、不正検知サービスを導入し、カード会社のオーソリゼーション審査の前に不正取引を止めることがあります。これによって取引が健全化され、カード会社が決済承認率を上げるという流れになります。

先ほどの3Dセキュアの運用パターン（1）や（2）を適用するためには、いくつかの要件が求められ、その1つに、不正検知サービスを導入して対策を強化することも挙げられています。

これらを踏まえて当社では、不正検知サービスを導入して不正行為を減らすことで、決済承認率を向上させるという取り組みを提案しています。実際に弊社サービスを導入し、不正を減らしたことで決済承認率を改善し、売上があがった事例があります。

――3Dセキュアの導入だけでは不十分ということですね。

小野瀬：3Dセキュアは万能ではないので、不正行為がすり抜けて発生してしまいます。その結果、決済承認率が下がるのですが、そのことを知らないEC事業者も多いのではないでしょうか。

不正検知サービスなどのセキュリティサービスは守りのイメージが強いのですが、売上を拡大するためにも必要なことをお伝えしたいですね。

不正検知サービスを容易に導入できる環境に

――貴社が提供する不正検知サービスの特長は？

小野瀬：当社は、「O-PLUX」という不正検知サービスを提供しています。特長の1つ目として、クレジットカード・セキュリティガイドラインに準拠した対策が可能な点があります。決済前から決済後までのすべての場面で対策ができることから、ガイドラインに即した対応となります。

2つ目は導入実績。現在、累計12万サイト以上でご利用いただいています。東京商工リサーチの調査により、国内の不正検知サービスで導入実績No.1となりました。12万サイトから集まる不正情報を共有化する仕組みも構築し、巧妙化する手口に対して、データを分析しながら追加機能の開発などによって対応しています。

EC事業者にとっては、セキュリティ対策に時間もコストもかかり、簡単に導入できないという悩みがあります。そこで、当社はさまざまなECカートシステムと標準連携を進め、EC事業者が容易に導入できる環境を整備しています。これが3つ目の特長です。

トライアル利用も可能です。競合サービスの場合、トライアル利用はできませんが、当社では本導入の前にお試し運用ができます。

また、決済承認率が不明な場合は、当社にご相談いただければサポートします。

――ありがとうございました。