EC事業者を取り巻く詐欺・不正利用の実態と対策
11月30日、「EC安心安全カンファレンス2016~EC事業者を取り巻く詐欺・不正利用の実態と対策~」と題し、一般社団法人セーファーインターネット協会がセミナーを開催した。警察庁生活安全局 情報技術犯罪対策課 課長補佐 上村 一則氏のあいさつに始まり、クレカ詐欺のカラクリや不正注文被害の事例紹介、また、EC事業運営のために注意すべき法律問題について講演があった。ここではかっこ株式会社 不正対策エバンジェリスト 稲数 裕之氏による「ECクレカ詐欺のカラクリ。最低限知っておきたい護身術」をご紹介する。
最終被害者は ”EC店舗の運営者” 対策は早急に
なぜEC事業者向けにこうした不正対策セミナーが開催されているかといえば、クレジットカードの不正利用によって最終的に被害を受けることになるのは、EC店舗の運営者であるためだ。不正利用が発生する原因と対策をしっかり押さえ、被害に遭わないよう対策を講じていただきたい。
稲数氏はまず、EC業界が不正注文の危機にさらされている現状を訴えた。他人のクレジットカードを無断利用する不正注文が増加したのは、2013年以降のこと。EC事業者は増加傾向にあるのに対し、実店舗では減少傾向にあるのが特徴だという。その理由は実店舗で利用されるクレジットカードが”磁気カード”から”ICカード”へ移り変わっていることによる。通常、実店舗で不正利用されるカードは偽造されたものが多いが、ICカードは磁気カードに比べ偽造が難しいのだ。そのため実店舗での不正利用は減少。一方、”番号盗用”によって不正注文が行われるECは比較的簡単で、結果、ECでの不正注文が増加しているのだ。
現状、EC業界に起こる不正利用が抱える3つの課題を紹介する。
まず1つ目の課題は、店舗の不正対策レベルが二極化していることだ。ショッピングモールや大手独自ドメインサイトでは、積極的に不正利用対策が進められ、悪事を働きにくい環境になっている。その一方、中小規模の店舗の中には、まだまだ対策が甘い店舗があり、犯罪組織にとっては非常に都合の良い環境になってしまっているのだ。
2つ目の課題は、越境ECにより防御力が低下していることだ。越境ECが一般的になる前は、国内のユーザーのみを対象にしたECサイトが多く、海外のカード使用不可、海外のIPアドレスからの購入不可、転送会社の利用不可などといった規制をかけやすかった。しかし、越境ECによりこうした規制を取りやめるECサイトが増加し、海外の犯罪組織が入りやすくなってしまったのだ。
3つ目の課題は、EC犯罪の低年齢化だ。インターネットの利用がより身近になり、ゲーム感覚で闇サイトから情報収集をし、不正利用に手を染める10代のユーザーが増えてしまっている。こうしたユーザーについては非対面というECの特性上、罪の意識を持たずに手を染めている可能性もあり、対策が急務である。
不正利用の原因と対策
では、こうした不正利用はなぜ起こるのだろうか?原因は大きく3つある。
1つ目は、ECサイトでクレジットカードを使用する際、簡単なチェックで使用できることにある。そもそも、カード利用時の本人確認義務は加盟店側にある。ECサイト上での本人確認は「3Dセキュアの暗証番号確認」によって行われるが、その手間故に、売上の低下を招き普及していないのが現状だ。現状、一般的なのは、カードが有効か否か、利用上限に達していないか、誤入力がないかなどにとどまり、実質本人確認は行われていないのだ。場合によっては、メールアドレスとパスワードのみで利用可能な場合もあり、これらが不正利用が増加する原因の1つとなっている。
2つ目は、スマホではアクセス先のURLを確認しにくく、偽サイトに入力するリスクが高まっていることが挙げられる。一度、偽サイトに入力してしまうと、個人情報が流出し様々な店舗でも不正に利用されてしまう可能性があるのだ。
3つ目は、空き部屋や民泊、駅の宅配ロッカーなどで商品を受け取るケースが増加していることがある。これらを利用すれば、住所等を知らせずに商品の受け取りができ、犯罪に利用されやすくなっているのだ。
現状と原因を把握したところで、対策方法をまとめる。稲数さんは「知る」「集計する」「選ぶ」の3つのステップで対策を行ってほしいと話す。
【知る】不正の背景を知る
なぜ、どのように不正利用が行われているのか、情報を収集し、関係者全員で知ることが最初のステップになる。
【集計する】被害を正確に知る
状況を把握したら、自店舗での不正注文に関する被害情報を整理するのが次のステップだ。1件当たりの被害額が小さいとつい見逃してしまいがちだが、直接被害→間接被害→目視審査コスト→転売被害と追いかけていくと、実際は相当な被害額になっていることも多い。一度冷静に被害状況を確認してほしい。
【選ぶ】自社に合った対策を選ぶ
最後に講じるべき対策を選び、実行する。稲数氏は対策例として以下の7つを挙げる。
1、人による検知
2、ブラックリスト強化
3、海外カードの禁止
4.チャージバック補償
5.セキュリティコード
6、3Dセキュア
7、不正検知システム
7つの対策法の特徴やメリット・デメリットを表にまとめた。以下よりダウンロードしご活用いただきたい。
あなたのサイトを守る7つの対策法まとめダウンロードはこちらから
それぞれ、メリット・デメリットがあるため、自社にとって最適な方法を選択してほしい。
EC事業の運営においては「売上拡大」を目指すのはもちろんのこと、「不正対策の改善」もセットで行ってほしい。
もっと知りたい方は→ コラム 「EC店舗を襲う不正の今」
今回登壇された かっこ株式会社 不正対策エバンジェリスト 稲数 裕之氏にはコラム「EC店舗を襲う不正の今(全5回)」として不正対策について執筆いただいている。セミナーで語られた内容が詰まっているので、ぜひ併せてご覧いただきたい。
コラム 第1回 EC店舗を襲う不正の今~セブン銀ATM不正引き出しは対岸の火事ではない。~