かっことｆｊコンサルティングは、キャッシュレス社会の安心安全を目指し日々研究しており、クレジットカード情報流出事件に関する統計とECに関する不正利用傾向に関するレポートを四半期ごとに共同でとりまとめている。本記事ではその最新版となる「2024年1-3月版」の一部内容を抜粋して紹介する。

カード情報流出事件の概況（2024年1-3月）

◆情報流出事件数：7件（前年比：43.7％）
◆情報流出件数：23680件（前年比：13.6％）

情報流出事件7件のうち1件は、Booking.comの管理画面の不正ログインを起点として送信された、フィッシングメールに関する事件である。4000件以上の個人情報がフィッシングサイトに入力され、その中の3件にカード情報が含まれていたことが公表された。

※画像元：「キャッシュレスセキュリティレポート」2024年1-3月版（かっこ株式会社、ｆｊコンサルティング株式会社）

ECにおける不正利用の概況（2024年1-3月）

◆クレジットカード不正利用被害額合計：121.4億円（前年比：99.6％）
◆クレジットカード偽造被害：0.7億円（前年比：87.5％）
◆クレジットカード番号盗用：112.4億円（前年比：98.9％）
◆クレジットカード不正利用の発生率：1.7％（前年比：94.4％）
◆転売不正注文の発生率：7.4％（前年比：194.7％）

2024年1～3月の不正利用被害額は121.4億円と、昨年同期とおおよそ同額という結果に。2023年の年間被害額は540億円を突破しており、このペースで進むと昨年同様の被害となる恐れがあるだろう。

2025年3月を期限とした「EMV 3-Dセキュア」対応の義務化を通じて、番号盗用による不正利用被害額の減少が期待される。

※画像元：「キャッシュレスセキュリティレポート」2024年1-3月版（かっこ株式会社、ｆｊコンサルティング株式会社）

中でも転売不正率の上昇が著しく、2023年10〜12月数値と比較しても0.5ポイント増加。不正利用者が複数サイトで繰り返し注文を試行していることが推測できるだろう。

商材別では従来同様、コスメやヘアケアといった定期購入の初回限定価格を設けている商品が、転売不正被害に狙われやすい傾向がうかがえる結果となった。

※画像元：「キャッシュレスセキュリティレポート」2024年1-3月版（かっこ株式会社、ｆｊコンサルティング株式会社）

サイトリニューアル時のバックアップに注意

本調査期間のトピックとしては「旧サイトのバックアップ保存の重要性」が指摘された。

2024年2月にカード情報の流出を公表した美容家電販売サイトは、2023年4月のサイトリニューアルから2カ月後にカード会社から不正利用に関する連絡を受けたという。調査の結果、2021年4月から、旧サイトを閉鎖した2023年4月までの期間、旧サイトからカード情報が流出していた痕跡が発見されたという。

本ケースでは旧サイト閉鎖後もバックアップが保存されていたことから、攻撃の手口や被害状況の把握に繋がった。こうした事例から、サイトリニューアル後も、旧サイトのバックアップを一定期間保存しておくことが重要といえるはずだ。その際には、外部接続のない安全な環境に保管することが必須となる。

また、サイトリニューアル時には旧サイトを閉鎖するまで、セキュリティパッチの適用などを確実に行う必要がある。ショップの信頼性確保と顧客の安全を守るためにも、こうした事例を参考に今後の対策を検討したい。

かっこは今後も、不正手口に関する分析と研究を重ねるとともに、安心・安全なオンライン取引・ネット通販の環境づくりに貢献する。事業者側も日々巧妙化する不正手口への対策として、常に最新の情報に触れておくことが重要となるはずだ。