不正検知サービスを提供し安全なネット通販のインフラづくりに貢献するかっこ株式会社と、キャッシュレスセキュリティに関するコンサルティングサービスを提供するfjコンサルティング株式会社は、2023年10-12月版の「キャッシュレスセキュリティレポート」を公開した。
ECに関する不正利用調査結果
2023年1-12⽉までのクレジットカード不正利⽤被害額は、2022年の436.7億円から急激に増加し、合計540.9億円で過去最多となっている。 また、増加金額は、前年と⽐較すると104億円で、2年連続で100億円以上の被害増があったことになる。被害の内訳としては、クレジットカード情報だけで決済ができる主にECサイトでの不正利⽤、「番号盗⽤」が全体の93.3%を占める504.7億円という結果だった。
7-9⽉と⽐較し10-12⽉ではクレジットカード不正は0.2%、転売不正は0.5%、不正発⽣率がともに微増した。この理由としては、ブラックフライデーや年末セールの時期であり、商品の購買意欲が⾼まる時期に合わせて転売が増加するため、不正も多く発⽣したと考えられる。
不正注文検知数ランキングでは、7-9⽉版で3位だったチケットが10-12月版では1位となっており、次いでデジタルコンテンツ、ホビー・ゲームという結果だった。また、ふるさと納税は7-9⽉版では初ランクインで11位だったが、今回は9位にランクアップしていた。この要因としては、ふるさと納税の申請期⽇が12⽉末までになるため、特に年末は需要が⾼まっていたことから、そこを不正者は狙ってきたと推測される。
不正利用増加の背景
昨年末より、ECサイトにおけるアカウント乗っ取りによる不正注⽂被害の相談が増加している。⼿⼝としては、まずはダークウェブやフィッシングからECサイトの会員アカウントのIDやパスワードを詐取し、この詐取したIDやパスワードを⽤いて、ECサイトにログインした際に、マイページから⽒名、住所、クレジットカード情報等の会員情報を書き換え、不正注⽂をするという流れで⾏われている。さらに会員情報にクレジットカード情報を紐づけている場合では、不正者はクレジットカード情報を盗む⼿間もなく、容易に不正注⽂が可能となってしまう。ECサイトを運営する事業者は、会員アカウントが乗っ取られることで事業者責任が問われる可能性がある。加えて、個⼈情報漏洩の事案として扱われるため、個⼈情報保護委員会や関連する団体への報告が求められることから、EC事業者は、会員アカウントを守る対策を強化する必要がある。
また、上記のアカウント乗っ取りによる不正購⼊以外にも、EC加盟店におけるEMV 3-Dセキュアの導⼊率が低いことが問題として挙げられる。「クレジットカード・セキュリティガイドライン【5.0版】」では、増加し続けるクレジットカード不正利⽤被害への対策として、全てのEC加盟店に対し2025年3⽉までに「EMV3-Dセキュ ア」の導⼊を求める⽅針が⽰されている。しかし、かっこが2023年11⽉に実施したEC事業者実態調査においては、「EMV3DS」の導⼊率は36.1%にとどまっており、ランニングコストが高いことが多くの事業者にとって導入の妨げになっているようだ。他にも、⾼価格帯の商品や換⾦性の⾼い商品を扱う場合でも、加盟店リスク判定のカスタマイズができない点を懸念する声が多く聞かれた。
このような状況下で、導⼊率をより⾼めるには、運⽤コストと使い勝⼿を改善し、リスクに応じ多⾯的・重層的な対策を実施することが重要になってくるだろう。
