不正検知サービス「O-PLUX」がリニューアル セキュリティガイドライン【6.0版】対応で不正対策を包括的に支援
2024年、クレジットカードの不正利用被害額は過去最悪だった前年をさらに上回り、555億円(※1)を記録した。不正検知サービス「O-PLUX」を提供するかっこ株式会社の小野瀬まい氏によれば、不正利用の手口はますます巧妙化し、マネーロンダリングを含めた組織犯罪も行われているという。
深刻化する不正利用に対して、2025年3月にクレジット取引セキュリティ対策協議会による「クレジットカード・セキュリティガイドライン【6.0版】」も示される中(※2)、それぞれのEC事業者が今、とるべき対策とは? 同ガイドラインに対応し、より包括的に不正利用対策を支援すべく再編された「O-PLUX」の効果とともに、小野瀬氏に話を聞いた。
クレジットカード不正利用の現状、巧妙化する手口
――2024年のクレジットカート不正利用被害額は、これまででもっとも高い555億円となりました。不正利用被害の現状を教えてください。
2025年3月末の原則義務化に向けてEMV 3-Dセキュア導入を進めたEC事業者様も多く、これで不正利用の勢いが収まるかと思いきや、被害額は過去最悪を更新して高止まりしているのが現状です。
EMV 3-Dセキュア認証後に発生した不正利用被害に関しては、EC事業者がチャージバックによる損失を負担することはないので、気が付きにくい事業者様もいらっしゃるかもしれませんが、EMV 3-Dセキュアも万能ではありませんし、実際に不正利用の被害は起き続けています。
――年を追うごとに不正利用の手口も巧妙化しているようです。近年はどのような手口が目立っているのでしょうか?
フィッシングやダークウェブで入手したID・パスワードを用いてECサイトの会員に成りすまし、ログインする事例が増えています。一度ログインされるとアカウントが乗っ取られ、会員サイトの情報が書き換えられてクレジットカードの不正利用などが発生しています。
会員情報とクレジットカード情報を紐づけている場合、不正者はログインから購入までを一度に済ませてしまいます。“闇バイト”が介在する組織的な手口もあり、実際に総額約1億円もの被害が出たケースも報じられています。また、不正購入が行われなかったとしても、不正ログインをされると個人情報漏えい事案となり事業者側の責任を問われかねません。
かっこ株式会社 O-PLUX事業部 ディビジョンマネジャー 小野瀬まい氏
EC事業者は対応必須のガイドライン【6.0版】。対応しなければ大損害も!?
――そうした中、2025年3月には事業者が実施すべき取り組みをまとめた「クレジットカード・セキュリティガイドライン」が改訂され、【6.0版】が示されました。【5.0版】から、どのような点が改訂されたのでしょうか。
カード情報保護対策と不正利用対策のどちらも改訂されました。カード情報保護対策ではこれまでも指針対策とされていた「カード情報の非保持化」に加えて、新たに「脆弱性対策の実施」が追加されました。これによってECサイトやシステムの脆弱性を悪用したカード情報漏えいへの対策が必要になりました。
不正利用対策ではECサイトを守るためには、カード決済前から決済時、決済後を一貫して対策する「線の考え方」に基づいたセキュリティが重要になります。決済時のEMV 3-Dセキュアだけでなく、ログイン時点から注文、配送までをカバーする対策が必要となり、【6.0版】では「不正ログイン対策」も導入が義務化されました。
「クレジットカード・セキュリティガイドライン【6.0版】」EC加盟店における指針対策
――不正者に脆弱性を突かれて個人情報の漏えいが起きてしまった場合、事業者はどのような損害を被るのでしょうか。
セキュリティ対策をおろそかにしたために事故や被害を発生させてしまった場合、サイトの一時的な閉鎖が考えられます。独立行政法人情報処理推進機構の発表(※3)によれば「ECサイトの閉鎖期間における売上高の平均損失額」は1社あたり約5700万円、同じく「事故対応費用の平均額」は1社あたり約2400万円となっています。さらに風評被害の影響で顧客離れが進めば、売上回復までに数年以上の期間を要することになるでしょう。セキュリティを強化することで、この損害が防げると考えれば、対策を講じるほうが「安い」とも言えるのではないでしょうか。
EMV 3-Dセキュアを導入していても不正利用が多く起きてしまう企業様からは、クレジットカードのオーソリ(オーソリゼーション)承認率が下がったという話も伺いました。クレジットカードが使えなければユーザーは離脱してしまい、EC事業者として販売機会を逃すことになってしまいます。
クレジットカードの不正利用が発覚した場合、カードの利用者には料金が返金されます。EMV 3-Dセキュアで認証された取引の場合、EC事業者は補償を受けられますが、カード会社にとっては損害となるので、対策を強化するために不正利用被害の多いショップへの承認を厳しくしているのでしょう。売上を減少させないためにもEMV 3-Dセキュアと不正検知サービスを併用し、セキュリティを高めることが重要といえます。
不正ログイン対策としては、「不審なIPアドレスからのアクセス制限」や「ログイン試行回数制限」などがありますが、これらの効果は限定的です。不正者はIPアドレスを変えてアクセスしてきますし、(不正に入手した)正しいIDとパスワードを使われた場合は、ログイン試行回数制限をかけても簡単に突破されてしまいます。対策として強固なものは「2要素認証による本人確認」ですが、正常ユーザーへの利便性低下や、認証コストの増加が懸念となります。そのため怪しいアクセスに対してのみ認証を行うよう、認証サービスと不正検知サービスを組み合わせて対策を行うことを推奨しています。
認証サービスと不正検知サービスの共用「リスクベース認証」
新生「O-PLUX」は網羅的なセキュリティがサイトをスピーディーに保護
――そうした不正利用を検知するサービスとして御社は「O-PLUX」を提供していますが、4月に大きなリニューアルを実施されました。新しくなった「O-PLUX」について、その概要を教えてください。
これまでは不正アクセス検知サービスの「O-MOTION」がログインや会員登録などでの不正を検知し、「O-PLUX」が決済以降の不正検知を担うかたちで提供していました。その2つを統合して「O-PLUX Account Protection」「O-PLUX Payment Protection」として再編し、EC事業者の皆さまに一貫してご利用いただけるようになったのが今回のリニューアルです。
「Account Protection」がカード決済前を、「Payment Protection」が決済時から決済後をカバーし、「線の考え方」でサイトを保護します。これまで「O-MOTION」をご利用いただいていた方は引き続きご利用いただけますし、新しい「O-PLUX」の「Account Protection」と「Payment Protection」は、どちらかのみでもご利用可能です。
画像提供:かっこ株式会社
目玉となるのはネガティブデータの共有です。「O-PLUX」は累計11万サイト以上の導入実績があり、多様な商材、ブランドを横断して日々不正に関する情報が集まっています。その大量のデータから見えてくる傾向や手口を分析した結果を、常に機能に反映してご提供しています。
検知精度の高さもポイントです。「Account Protection」ではデバイスフィンガープリントを用いた特許も取得している技術によって、端末を識別して本人か否かを判別します。複数の端末からアクセスしていないか、人間ではありえない挙動で操作していないかなどもチェックしており、金融機関からも採用されています。
――他サービスと比べた場合の、「O-PLUX」ならではの強みを教えてください。
日本特有の不正傾向に対応している「O-PLUX」は、海外発の不正検知サービスではどうしても手薄になりがちな検知を実現しています。「O-PLUX」は外部のデータとも連携しており、「空室であるはずの住所が届け先になっている」「架空の住所を指定して持ち戻りを起こさせ、不正者のもとに商品を送らせる」「住所の表記を変えてブラックリストをすり抜ける」といった手口にも対応できます。
また、特定の不正に対するセキュリティサービスも多い中、「O-PLUX」はさまざまな不正に対する対策を網羅的にカバーしていることも強みと言えます。審査は約0.5秒で終わりますし、導入してサイトが“重く”なったというご指摘をいただいたこともなく、ユーザビリティとセキュリティを両立しています。
不正の手口はどんどん変わります。専任コンサルタントがデータサイエンスを駆使して不正検知を細かくチューニングし、機械学習も用いながら新たな手口に対してスピーディーに対応します。
――検知技術に人の手によるチューニングも加わるということですね。では新しくなった「O-PLUX」導入を検討する場合の、料金面について教えていただけますか。
ご利用料金は月額で、審査件数に応じた従量課金制となっています。導入前に精度や運用の具合を試していただけるトライアル利用も可能です。また、リニューアルを記念したキャンペーンを実施していて、「Account Protection」は初期費用が10%オフに、「Payment Protection」とセットで同時契約いただける場合は初期費用をそれぞれ20%オフで提供しています(期間限定 ※4)。
「守り」は進化し続けるプロに任せ、自社は「攻め」に注力
――不正利用対策は、継続的なアップデートと強化が求められるということですね。では、まさに今、EC事業者が警戒しておくべき“兆し”や、押さえておくべき最新動向についてぜひ教えてください。
「クレジットカード・セキュリティガイドライン【6.0版】」以降は、PSP(Payment Service Provider。決済代行業者)やアクワイアラからガイドラインの実行が確認されるようになります。セキュリティがしっかりできていない会社には是正勧告が出たり、最悪の場合にはカード会社から契約を解除されたりするかもしれません。
不正者の手口は巧妙化し、その頻度は増しています。生成AIを使ってフィッシングメールの文言も自然になってきていますし、ダークウェブ上ではクレジットマスター用のツールも不正に取り引きされています。
こうした情勢の中、1つの対策だけでは、新しい手口に対応できません。“守り”の部分は弊社のような専門家にお任せいただき、EC事業者様は売上づくりに注力していただきたいと思っています。
※1:クレジットカード不正利用被害の発生状況 (一般社団法人日本クレジット協会) ※2:クレジットカード・セキュリティガイドライン【6.0版】 (クレジット取引セキュリティ対策協議会) ※3:ECサイト構築・運用セキュリティガイドライン (独立行政法人情報処理推進機構) ※4:【キャンペーン内容】①「O-PLUX Account Protection」の初期費用を10%オフで提供/②「O-PLUX Payment Protection」と「O-PLUX Account Protection」の同時契約で初期費用をいずれも20%オフで提供。2025年12月26日までの契約者が対象となる
