EC店舗を襲う不正の今~セブン銀ATM不正引き出しは対岸の火事ではない。~

稲数 裕之

EC業界において、実は不正注文が大量発生しているってご存知ですか?

”商品を受取っておきながら、代金を支払うつもりがない。”そんな注文が毎日どこかのEC店舗で起きています。1店舗ごとでは、不定期な被害かもしれませんが、同じ人物や組織が複数店舗を巡回して職業的に不正をしています。

この連載では、EC業界を取り巻く不正の全体像、そして不正からEC店舗を守る方法に迫りたいと思います。

ATM不正引き出し。どのような事件だったのか?

 まるでドラマのような犯罪が、5月の日曜日早朝に起こりました。わずか3時間足らずの間に、約19億円もの現金が日本全国のコンビニATMから不正に、しかも一斉に引き出されたのです(※画像1)。

※画像1(事件詳細)

 何者かがクレジットカード情報を盗み、100人以上とも言われる引き出し役の“出し子”を動かしたと考えられていますが、現時点では全容は謎のままです。出し子が逮捕され始めているものの、国際的な犯罪組織が関与している可能性も高く、全容解明は難航することが予想されます。

 実は、この事件から私たちEC業界関係者の学ぶべきことがあります。事件が起きた背景は、EC業界で多発しているクレジットカード犯罪ともつながりがあるからです。理解を深めるためにも、まずはECにおける犯罪から見ていきましょう。

EC店舗を襲う不正の今(カード不正利用被害が増加中)

 下の図は日本におけるクレジットカード不正使用被害額の統計です(※画像2)。赤い棒グラフが急上昇していることが分かります。これはクレジットカードを偽造する必要のない、盗み取った情報だけで実行できるECでの犯罪手口が増加していることを表しています。

※画像2(日本クレジット協会「クレジットカード不正使用被害額調査」より引用)


不正使用が増えている理由を次のページで解説します。

■理由その1(不正が簡単なEC領域へ)

 その理由は、偽造困難なICカード化の進展が寄与していると言われています。偽造カードで不正をする場合、磁気カード情報をスキミング(不正読み取り)などで入手する必要がありますが、ICカード化によりそれが難しくなってきています。

 一方、EC店舗における不正では偽造カードが不要です。フィッシングなどの手法で盗みとったカード番号や有効期限などを入力するだけで決済できてしまいます。

 さらには、ログイン用のメールアドレスとパスワードさえ知ることができれば、不正にログインし、本来の会員が登録しているカード情報で決済できてしまいます。不正が困難な実店舗の領域から、より簡単なEC領域へと不正手口が移り変わること(※画像3)は自然な流れとも言えます。

※画像3(EC、非対面領域へ)

■理由その2(IDとパスワードの使い回し)

 また、あるEC店舗でログインできたメールアドレスとパスワードの組み合わせで、その他のEC店舗に不正ログインできることも珍しくありません。IDとパスワードの使い回しをしている人が多いためです(※画像4)。

※画像4(IDとパスワードの使いまわし例)





対岸の火事ではない(非対面の領域が狙われた)

対岸の火事ではない(非対面の領域が狙われた)※画像5(ATM、非対面領域へ)

 話を戻し、今回のATM不正引き出し事件を別の角度から見てみたいと思います。上の図(※画像5)を見ていただくと分かるように、同じ磁気タイプの偽造クレジットカードであっても、手口が大きく変化しています。偽造した磁気カードを使うことに変わりはないですが、人と顔を合わせる必要のない(=非対面)、ATMへと移動しています。

 ECと同じ非対面でサービスを提供する領域が狙われ、短期で大規模な犯行が成功してしまったことは、他人事ではなく要注意です。非対面領域は不正行為に弱いという事が広く知られてしまったとも言えるからです。今後、模倣犯が出ないとも限りません。


次のページでは、被害店舗の特徴とこの件から学ぶべき3つのことをまとめています。

利便性の高いサービスが狙われた

 さらに詳しく、被害に遭った店舗を見てみましょう(※画像6)。三大コンビニチェーンのうち店舗数トップのセブンイレブンが最も被害に遭っています。中国銀聯発行のクレジットカードのみ対応しているローソンでは被害が起きていません。実は、様々な海外発行カードを使える利便性の高いサービスが集中的に狙われました。お客様にとって使いやすいサービスは、残念ながら不正者にとっても狙いどころとなり得るのです。

※画像6(被害店舗)

私たちEC業界関係者が学ぶべきこと

 この事件から学ぶべきことは3つあると考えます。

①利便性の高いサービスが狙われる。現状のリスクと被害の再確認を!

 例えば、即日配送を提供している場合、犯罪者が好む短時間での犯行が可能です。また、後払い決済を提供している場合は代金未払いリスクが高くなり、対策をしないと被害は増え続けます。

 被害は未回収代金のような直接的なものだけではありません。間接的には、その商品の安価な転売による正規ルートでの販売機会損失、ブランド価値の低下なども想定されます。また、調査や督促のための人件費増大や、同一人物による転売目的のお試し品大量購入など、無駄なマーケティング費用発生といった被害もあります。これらは、あまり意識されていないことがあるようです。

②犯罪のグローバル化により、被害は短期・大規模化。事前準備を!

 「被害は不定期。対策しようと思っているうちに被害が止む」という声をよく聞きます。一方で、今回の事件からも分かるように、犯罪者はわずかな時間で想像を超えた規模の不正を働きます。大規模化していない今だからこそ、今後を見越した準備が必要ではないでしょうか。

③ECを狙った最新手口はいつ起きてもおかしくない。柔軟な対策を!

 現在、空き室を配送先住所として指定して受け取る不正手口がトレンドになっています(詳細は第2回でご紹介します)。それに対し、大手モールの対策強化も進んでいます。対策が進むと、それを回避する新しい手口が生まれます。常に変化する不正手口を想定し、一回作ったらそれで終わりではない、柔軟な変化のできる対策が必要だと考えます。詳細はこの連載中でご紹介予定です。

【第2回】あなたは見抜ける?不正注文の具体例(https://ecnomikata.com/column/9953/


著者

稲数 裕之 (Hiroyuki Inakazu)


かっこ株式会社 不正対策エバンジェリスト

中央大学法学部法律学科卒。ECにおける各種不正対策業務に10数年従事。
これまで大手ネットオークションサービス3社において、実運用から管理、法務、企画まで横断的に担当。その後、外資系ショッピングサイトの不正対策チーム日本拠点立ち上げメンバーとして、運用構築に携わる。
現在、EC・金融向け不正検知サービスを提供するかっこ株式会社にて、企画、運用改善、顧客提案などを担当。


かっこ株式会社:http://cacco.co.jp/