クレカ被害436億円、不正注文巧妙化…EC事業者の不正対策、3Dセキュアだけでは不十分!
規模の大小を問わず、多くのEC事業者が「クレジットカードの不正利用」や「不正注文」対策に直面している。2022年のクレジットカード不正利用被害額は、過去最高の436億円に上り、不正転売の手口も年々巧妙化。しかし不正対策をしようとしても、まずは最新の不正注文の傾向を知る必要があるわけだが、この領域はまさにいたちごっこ。EC事業者が単独で対応できるはずもない。そこでかっこ株式会社 O-PLUX事業部 ディビジョンマネジャー 小野瀬まい氏に、最新の傾向と対策について、話を聞いた。
クレカ不正利用被害額は436億円、低価格商材もターゲットに
──クレジットカード不正利用の現状について教えてください。
日本クレジット協会の調査によると、2022年の不正利用被害額は過去最高の436億円に上っています。当社の不正検知システム「O-PLUX」の審査データを見ても、クレジットカード不正発生率は2021年の1.2%から1.6%に増えており、1.3倍の増加となりました。最近のクレジットカード不正利用の特徴として、単価の低い商材も狙われていることが挙げられます。
家電や旅行商品、デジタルコンテンツなど、従来から「高リスク」とされていた商材は相変わらず狙われています。近年は、これらに加えて単価数千円の化粧品、健康食品なども狙われるようになってきました。O-PLUXのデータに基づく不正検知数ランキングでも、5位に「健康食品・医薬品」、6位に「コスメ・ヘアケア」が入っています。
不正注文の価格帯の推移を見ても、2020年に比べ2022年は「0~10,000円(2020年:17%⇒2022年:24%)」「20,000~50,000円(2020年:43%、2022年:51%)」といった、比較的低価格の被害の割合が増えています。
こうした背景に、フリマアプリ等の普及で、さまざまな商材が換金しやすくなったことが挙げられます。「価格の低い商材を扱っているから大丈夫だろう」と考えてしまいがちですが、もはや扱っている商材に関係なく、不正注文対策が急務となっています。
──2022年に一気に不正額が急増した要因は何でしょうか?
日本は欧米に比べ、クレジットカード不正対策が遅れていると言われています。あくまでも推測ですが、不正者も日本ならまだ不正がしやすいと考えて、日本が集中的に狙われている可能性があります。クレジットカード不正の場合、海外の犯罪組織からもターゲットにされてしまうのです。
転売・クレジットカードマスター被害も増加
──最近は転売目的の不正注文も増えていますよね。
はい。O-PLUXの不正発生率データを見ると、2021年と比較して、悪質転売の発生率は1.4%から2.5%と、1.7倍に増えています。健康食品や化粧品を展開するEC事業者は、クレジットカード不正だけでなく、転売被害にも悩まされていますね。
家具のような大きな商材は、従来は転売の被害に遭いにくかったのですが、最近はフリマアプリを悪用することで、在庫を持たずに転売ができるようになっているので、O-PLUXの不正検知数ランキングでは、家具が11位にランクインしています。
──最近は「クレジットマスター」の被害も増えているそうですね。どのような手口なのでしょうか?
クレジットカード番号の規則性を利用して、他人のクレジットカード番号を不正に割り出す行為を「クレジットマスター」と呼びます。botで総当たり攻撃をして、有効なカード番号や有効期限の組み合わせを割り出すのですが、その際にECサイトの会員登録画面や決済画面が悪用されているのです。
クレジットマスターの被害に遭うと、無駄なオーソリゼーション費用が発生してしまいますし、大量のアクセスがくるため、サイトに負荷がかかってサーバーがダウンすることもあります。さらに、自社のECサイトで有効な組み合わせが割り出されてしまうと、カードの本来の持ち主からクレームが入る、あるいは会社やブランドのイメージダウンにつながる恐れもあります。
3Dセキュアだけでは不十分、取るべき対策は?
──不正の状況を踏まえると、現状のEC事業者の対策は十分と言えるのでしょうか?
当社の調査では、「不正注文対策をしている」と回答したEC事業者は、2021年は50.9%でしたが、2022年は77.5%に増加しています。不正対策の意識は高まってきていますが、20%強の事業者はいまだ対策をしていません。
2025年3月末までにEMV3Dセキュア(3Dセキュア2.0)の導入が必須化されましたが、3Dセキュアも万能ではないので、3Dセキュアを入れたからといって安心はできません。3Dセキュアを導入したECサイトでクレジットカード不正が起きてもEC事業者がチャージバックされることはありませんが、カード会社は不正が多い加盟店に対して、オーソリゼーションの承認率を下げるようになります。そうすると、本人利用なのにクレジットカードが使えないというケースが多発し、かご落ち率が高まります。
そのような事態を防ぐためにも、3Dセキュアだけでなく、当社のO-PLUXのような不正検知システムを併用されるといいでしょう。
──かっこのO-PLUXはどのような不正検知システムなのでしょうか。概要をお聞かせください。
O-PLUXは対策できる不正注文の手口が幅広いのが特長で、クレジットカード不正利用、不正転売、後払い未払いのすべてに対策できる唯一の不正検知システムです。特定の手口に特化した不正検知システムもありますが、対策後に不正傾向が変わってくることもあるので、O-PLUXであればそうした変化にも対応できます。
──O-PLUXではさまざまな外部データも活用していますよね。
日本発の自社開発サービスなので、国内の不正に特化したさまざまな機能を追加しています。例えば、空き室の住所が不正注文に使われることが多かったので、不動産会社と連携して、空き室のデータを活用して不正検知ができる機能を追加しました。でたらめな住所を入力する不正者もいるので、外部データをもとに荷物が届かないでたらめな住所を判定できる機能も設けています。
住所の「名寄せ」ができるのもO-PLUXの強みです。住所の表記を変えることで別の住所に見せかけて、何度も初回限定価格で注文するなどの不正手口がありますが、O-PLUXは名寄せをした上で外部データと突合するので、高精度な不正検知が可能です。2022年の不正検知実績では、不正の96%を未然に防ぐことができました。
また、O-PLUX導入事業者に特に喜ばれている機能として、導入企業間で不正情報を共有できる「共有ネガティブ情報」があります。すでに2万サイト以上でご利用いただいているので、かなりのデータが溜まってきています。
月額4000円から利用できる「不正チェッカー」も
──不正検知システムの導入は、中小事業者にとってコスト面でハードルが高いのではないでしょうか?
O-PLUXのほかに、月額4000円から利用できる「不正チェッカー」というサービスも提供しているので、最近は中小事業者の利用も増えています。
不正チェッカーはいわばO-PLUXの廉価版で、外部データの活用は必要最小限に抑えつつも、審査のやり方自体はO-PLUXと同じなので、コストを抑えながら有効な不正対策ができます。
被害が出てやっと対策する事業者も多いですが、クレジットカード不正は発覚するのが2~3カ月後なので、気づかないうちに被害額が膨れ上がることも珍しくありません。また、転売被害は、注文情報を精査しないとなかなか気付かないものです。いま目に見えている被害がないからといって安心せず、早めの対策を検討していただきたいですね。