かっこ株式会社（以下：Cacco）と株式会社リンク（以下：リンク）は2024年9月9日、カード情報流出事件に関する統計とECに関する不正利用傾向に関する2023年のデータを取りまとめた年次版レポート「キャッシュレスセキュリティレポート2024」を公表した。本記事では一部内容を抜粋して紹介する。

カード不正利用の低額化が進行

2023年はカード情報流出件数が53万件と、2022年と比べて31万件減少。内訳としては、22年は40万件超えの大規模事件があったことに対して、23年は最大でも29万件にとどまった。主な要因は、1万件を超える流出事件数が半分以下に減少したためと考えられる。

◆国内のカード情報流出事件発生状況

※画像元：キャッシュレスセキュリティレポート2024（年次版）（かっこ株式会社 他）

カード不正利用の低額化が進行しており、6万円未満の被害が過去3年間で10％増加。不正手口の巧妙化が進む一方で、事業者における不正対策としての「EMV3-Dセキュア」の導入率は36.1％（※1）にとどまる。要因はコストや優先順位の低さとされている。

また、コード決済における不正手口が発生し、被害者が自ら送金してしまうケースが増加。自らの送金は、補償対象外となるリスクがあるため注意が必要だ。

※1：EC事業者実態調査（Cacco調べ）2023年11月調査

「番号盗用」の9割以上がECサイトでの不正注文

2023年の年間クレジットカード不正利用被害額は、540.9億円と前年比23.9％の増加となった。2018年から増加傾向が続いているが、2021年以降は毎年100億円以上の増加と被害が拡大している。

内訳としては「番号盗用」が504.7億円と全体の93.3％を占めており、その多くはECサイトでの不正注文によるものとなった。

◆クレジットカード不正利用被害額の推移

※画像元：キャッシュレスセキュリティレポート2024（年次版）（かっこ株式会社 他）

2023年はECサイトのアカウント乗っ取りによる不正被害も増加。会員制のECサイトでは消費者の利便性のため、アカウント情報にカード情報を紐づけているケースが多い。そのため、アカウント乗っ取りに成功した攻撃者はカード情報を入手することなく、カードの不正利用が可能となる。

EC事業者は顧客のアカウント情報を守り、不正利用に繋がらないセキュリティ対策を講じる必要があるだろう。

セキュリティ要求が一段と強化される見込み

2023年のキャッシュレス決済比率は39.3％と、前年比3.3％増加し、政府の目標である「2025年に民間最終消費支出に占めるキャッシュレス決済比率40％」を前倒しで達成できる見通しとなっている。

一方、クレジットカードの不正利用は急増しており、2023年には前年をさらに上回る年間540億円と調査開始以来最悪の記録をさらに更新した。また、オンラインバンキングを悪用した不正送金が急増しており、被害額は2022年の5倍を超えている。

2025年3月までに、クレジットカード・セキュリティガイドライン改訂によってEMV3-Dセキュアの導入が必須化される。また、セキュリティ・チェックリストの改定により、対象範囲が拡大。これにより、事業者に対するセキュリティ要求が一段と強化される見込みとなっている。

今後も犯罪行為の分業化などによる被害増加が予想される中、各事業者によるセキュリティ対策の強化が一層重要になってくるだろう。サイトの信頼性を高め、顧客に安心して購買できる環境を提示するためにも、改めて現在の状況を確認し、今後の対応を検討して欲しい。