フィッシング・クレジットカード不正利用をめぐる勉強会を開催 Yahoo!やPayPayなど関連団体が参加
クレジットカードの不正利用が急増している。2021年の被害額は、約311億円で過去最高となった。ECサイトで不正利用が発生した場合、その代金はEC事業者が負担する必要がある。そのため不正利用対策は、EC事業者が取り組むべき重要な課題だ。不正利用対策には、未然防止や早期発見などの対応が求められるが、個社ごとでの対策には限界がある。こうした背景から2022年9月1日「フィッシング、クレジットカード不正の現状と対策を考える会」が開催され、関係省庁や事業者などが参加した。今回は、その模様についてお伝えする。
EC事業者における不正被害の実態や対策状況について
かっこでは、オンラインショッピングでの不正注文や、インターネットバンキングでの不正送金など、オンライン上での不正行為を検知するサービスを提供している。クレジットカード不正利用の現状としては、被害額が年々増加しており、2021年は約311億円と過去最多になった。もしECサイトで不正利用が発生すると、その代金はEC事業者が負担することになる。また発覚したときには、すでに商品を発送してしまっているケースも多い。そのためEC事業者は、商品が盗られたうえ代金が入金されないという、二重の被害にあうことになるのだ。
同社では、こうしたECサイトにおけるクレジットカード不正利用の増加の背景には、3つの要因があると分析する。1つ目に、カードや個人情報の売買がある。漏洩事故やフィッシングなどで流出したカード情報が、ダークウェブ上で売買されているのだ。2つ目は、不正対策の未整備が挙げられる。多くのECサイトでは、カード番号と有効期限のみで決済できる。その脆弱性をつかれ、被害が発生しているという。そして3つ目は、現金化ルートの多様化。ECの普及により、個人間での商品売買や、海外での売買が容易になった。そうした複数の方法の組み合わせによる現金化が可能になり、不正利用が多発しているのだ。
また情報漏えいも増加傾向にある。事故件数は2021年で137件と過去最多となった。ECサイトではカード情報を持たない「非保持化」が進んだものの、不正アクセスやペイメントモジュールの改ざん、フィッシングメール通知など、さまざまな手口で情報漏えいが発生しているのだ。
同社では2021年12月に、EC事業者への実態調査を実施した。それによると、クレジットカード不正対策義務化を7割が認識していながら、被害負担がEC事業者であることを3人に1人は知らない、という現状が明らかとなった。また約40%の事業者で不正対策に取り組めていなかった。セキュリティ対策が後回しにされる現状が浮かび上がった。そんななか、実際に不正被害にあう事業者は、4社に1社となっている。商材によっても不正額は異なるが、その内容は変化している。以前は、家電やPC、ゲーム、アパレルなどの高価なものが多かったが、最近では化粧品や日用品といった低価格の商材も増えており、狙われやすい商材の多様化が進んでいると見られる。
巧妙な不正利用の手口も増えている。例えば、初回限定価格商品を狙ったものがある。同一人物が、複数の人物になりすまして初回限定商品を大量注文し、定価より安く手に入れ、フリマアプリで転売するというものだ。また、フリマアプリを悪用したクレジットカード不正利用の事例もある。フリマアプリで架空の出品を行い、購入者が落札すると、商品発送のため個人情報を不正者に対して送ってしまう。ここで入手した個人情報をもとにECサイトで不正購入し、購入者へ商品を配送する。購入者からすれば、予定通り商品が届いたので、フリマとして買ったものと思い、代金を不正者へ支払ってしまう。このように、不正者は自身の住所や名前がばれることなく、在庫を抱えずに不正利用が行えてしまうのだ。このように時流に合わせて、不正の手口は変化している。
こうした不正利用対策で注目される、EMV 3-Dセキュアについて、EC事業者から寄せられる声も紹介された。カゴ落ち低減への期待や、パスワードが漏洩しても突破されない安全性を評価する一方、システム開発費やランニングコストがかさむ、といった懸念も多く寄せられている。小野瀬氏は「EC事業者が、自社にあった対策を選択することが必要」と提起した。
クレジットカード決済のセキュリティ対策強化への経済産業省の取り組み
経済産業省では、フィッシングやクレジットカードの不正利用に対する規制を管轄している。クレジットカード規制に対する法律として、割賦販売法がある。ここでは、クレジットカード番号を取り扱う事業者に対し、漏洩対策を義務付け、不正取得を禁止している。従来、規制の対象となる事業者は、カード会社と加盟店だった。しかし令和2年の改正からその対象範囲を、決済代行やQRコード事業者、ECモール事業者、ECシステム提供者へと拡大した。こうした対象事業者に対して、セキュリティ対策として「PCI DSS」の準拠を求めている。2022年3月にはアップデートが行われ、オンラインスキミングやフィッシングなどへの対応が盛り込まれた。またセキュリティ対策の指針として、クレジットカード・セキュリティガイドラインを策定している。
今後のセキュリティ対策の方向性としては、大きく3つある。1つ目は漏洩防止の対策。さらなる制度的措置の検討や脆弱性対策の強化を求めていく。2023年春には、「ECサイト向けセキュリティ対策ガイドライン」が公開される予定だ。2つ目は不正利用の対策。取引認証の原則化や共同システムの構築、リアルタイム通知の普及などを進める。なかでもEMV 3-Dセキュアは、EC加盟店における不正利用防止のための、カード利用者の取引認証となっており、導入を呼びかけている。3つ目はフィッシング防止の対策。これまで周知啓発は積極的に行ってきたが、それに加え送信ドメイン認証DMARCの導入を求めている。
また経済産業省では、セキュリティのあり方として、新たに「セキュリティの在り方検討会」を開催している。この会議を通して、セキュリティへの細かな議論を進めていく予定だ。
警察庁におけるフィッシング対策
警察庁では、セキュリティベンダーに対して、フィッシングサイトなどの情報提供を行っている。各都道府県警察に寄せられる相談や被害届に加え、関連団体から提供されるフィッシング被害に関する情報を警察庁で集約し、セキュリティベンダーへ提供している。これにより、そのセキュリティソフトを入れているユーザーが、該当するサイトを見たときに、警告表示がなされる仕組みとなっている。
フィッシングサイトでの被害件数の増加に対応するため、警察庁では新たに、フィッシングサイトに特化した情報収集を開始した。取り扱うフィッシングURL数は、開始から半年ほど経つ間に急上昇している。最近、特徴的なフィッシングサイトの事例としては、カード会社を装ったメールが届くケースがある。メールを開くとURLがあり、そこからカード情報を入力するページにアクセスしてしまう。
こうした現状に対し、警察庁では関連事業者に対して、送信ドメイン認証「DMARC」の導入を推奨している。事業者側がこれを導入することで、なりすましメールをメーラーが検知できるようになる。これにより、自動的になりすましメールを迷惑メールフォルダへ隔離できるという仕組みだ。
EC事業者による取り組みやフィッシング等に関する最新の不正事例
一般社団法人キャッシュレス推進協議会では、キャッシュレスの普及に向けて活動している。そうしたなか利用者からは寄せられるのは、キャッシュレス決済サービスのセキュリティへの不安だ。実際に、コード決済を狙った不正利用は増加している。コード決済は実店舗での決済にも用いられ、さまざまな資金源と紐付けできることから、不正利用に狙われやすい、という。例えば「なりすまし」では、コード決済を挟むことで、モニタリング検知を逃れようとする。また、コード決済アカウントの「のっとり」では、リアル店舗を利用することで、足跡が残らないようにする、など手口が巧妙化しているのだ。
不正利用に対しては、それぞれの決済事業者が対策に乗り出している。しかし、不正者は他の多数の事業者でも不正利用を仕掛けるため、個社ごとの対応には限界がある。そこで同協議会では、不正利用情報確認データベース「CLUE」を開発している。CLUEでは、被害にあった事業者がその内容をデータベースに登録し、他社間で情報共有、早い段階での不正利用防止を目指す。コード決済事業者だけでなく、EC事業者の利用も検討している。福田氏は「不正利用への対策として、事例や対策の情報共有の場が重要です。業界全体で、あるいは業界の垣根を超えて取り組むべき課題だ」と語った。
Yahoo!での不正利用の現状と対策
同社では、コマースサービスおよびリユースサービスでの不正利用額が、2019年にかけて増加していた。しかし不正検知システムの導入の効果から、それ以降は抑えられている。不正利用に対しては、さまざまな対策に取り組んでいる。
なかでも特に重要な、決済での対策には、システムによる判定と専門審査チームによるチェックという二重対策を行っている。検知システムは、同社が独自開発したもので、ルールベースと機械学習を組み合わせ、それぞれの弱みを補強し合うものとなっている。このシステムが、リアルタイムで判定していく。人間による専門審査チームは、システムで判断ができない事案について、目視チェックをしており、24時間体制で監視している。2022年8月からはこれらに加え、EMV3-Dセキュアを導入し、従来よりも精度を強化しながら、工数を最小限に抑えた監視体制を構築している。
また決済以外にも、IDの悪用への対策強化や、被害が発生したときの補償制度も導入している。これらの対策により、不正利用をさせない売場づくり、および検知システムの構築に、引き続き取り組んでいくという。
PayPayでの不正利用の現状と対策
PayPayを悪用した事例には大きく2つのタイプがある。1つはフィッシングによるアカウントの乗っ取りだ。不正者がフィッシングでアカウント情報を盗み、被害者からのっとったアカウントで決済を利用する。フィッシングには、従来のメールに加えて、偽のSNS広告が利用されるケースも出てきており、利用者は注意が求められる。もう1つは、不正取得したクレジットカードの悪用。不正者がフィッシングサイトからクレジットカードの情報を取得し、自分のアカウントに紐付け、不正購入するというものだ。
こうした状況を踏まえ、同社では事前防止措置、積極的な対応、ユーザーケアと調査・分析という3つのポリシーに基づき、セキュリティ対策を行っている。「事前防止措置」では、犯罪のターゲットになりにくいサービスを目指す。EC決済においては、いずれのルートでも必ず本人確認を介在するフローを採用。またクレジットカードによる支払の上限金額は、本人認証の段階に応じて設定している。さらに、EMV 3-Dセキュアに加え、利用実績などを基にした独自基準を設け、犯罪を未然に防ぐサービスとなるような対策に取り組んでいる。
「積極的な対応」では、不正を積極的に見つけに行く体制を構築している。不正パターンをターゲティングしたシステム制御と、専門スタッフによるモニタリングにより、機械と人間の二重体制で、24時間監視を行う。また万が一、不正が発生した場合に対応すべく、24時間体制で電話でのサポートを受け付けている。また被害者や加盟店への補償制度も導入している。さらに、不正事案の定性的・定量的な調査と分析をスピーディーに行い、対策に反映させることで、セキュリティを強化しているという。
メルカリでの不正利用の現状と対策
メルカリではミッション達成のために、安心安全な利用環境の構築を最重要課題に掲げており、2022年7月には、不正利用に対応する組織横断の部門を新設した。同社では、2021年末から不正利用が増加していたが、対策の強化により、2022年7月以降は減少傾向にあるという。
同社での不正利用は、フィッシングとクレジットカードの不正利用の2つがある。とくに、最近のフィッシングサイトは、本物と見分けがつきづらくなっており、利用者には発送元のメールアドレスを確認するなどの対応が求められる。不正利用に対しては、未然防止と早期対策による対応を講じている。未然防止としては、EMV3-Dセキュアを導入することで、カゴ落ちを減少させながら、不正利用を防ぐ。またフィッシング対策としては、SMS認証を追加し、送信文面には送信された理由を明記することで、利用者が第三者の操作に気づきやすくしている。
今後の対策としては、未然防止を重視し、アカウント作成時や不正ログインなどでの対策を強化していくという。篠原氏は「事業者と不正者の間でいたちごっこになりつつある。官民が連携し、対策と効果を共有することで、未然に不正利用に対応することが求められる」と指摘した。
最後に会を主催した、一般社団法人セーファーインターネット協会事務局長が挨拶し「こうした場が、対策推進のきっかけとなるよう、今後も継続して、注意喚起や啓発活動をしていきたい」と語った。EC市場の拡大や決済手段の多様化により、フィッシングやクレジットカードの不正利用の手口は、年々巧妙になっている。各社が見解を示したとおり、事業者や業界の垣根を超えた、事例や対策の共有が求められる。