かっこはフィッシングから不正アクセス・不正注文・不正購入を包括的に防ぐEC企業向けサービスを提供している。巧妙化しているECの不正行為に対する同社の取り組みについて、O-PLUX事業部の小野瀬まい事業部長に聞いた。
――2023年度のクレジットカードの不正利用内容が発表された。
過去最高の500億円を突破し、540億円に増えた。2021年から見ると毎年100億円ずつ増えている。「EMV 3-Dセキュア」が必須になったものの、被害金額が減っていない状況にある。
当社のサービスを利用している企業で、不正の多い商品やサービスを見ると、「クレジットカート・セキュリティガイドライン」で、高リスク商材として指定されているデジタルコンテンツや家電などが上位で変わらず、コスメや健康食品など比較的に低単価の商材も上位に入ってきた。
これまでは不正がそれほど多くなかった食品も目立ってきた。これは、日本のウイスキーなどの酒類が転売目的で購入されている影響がある。酒のECサイトを運営する企業では、軒並みチャージバックが増える傾向にある。全体の13番目だが、「ふるさと納税」の返礼品も目立ってきた。
――アカウントを乗っ取る形の不正も2023年秋頃から件数が増えている。
これまでの不正注文はゲスト購入や、不正者がアカウントを作成して不正注文するという手口だった。最近では、既存のアカウントに対して、フィッシングやダークウェブで得たIDやパスワードを使ってなりすましログインやボットによる総攻撃でアカウントを乗っ取る手口が増えている。不正注文する際は、情報を書き換えて決済する流れになる。こうした対策として、決済前の不正アクセス対策が重要になってくる。
不正者がこうした手間をかけてくる理由は、既存アカウントを使うことで足がつきにくく、また既存会員の場合は新規会員よりも対策が甘くなる傾向があると推測される。会員情報にクレジットカード情報を紐づけていることが多いが、この場合は不正者にとってカード情報の入手は必要ない。
不正購入されることで、そのECサイトはセキュリティが甘いという認識が広がるほか、場合によっては個人情報が漏洩するためイメージの悪化につながってしまう。いずれにしても事業者としての責任は重く、ブランド棄損になる。
こうした事例では、大手企業からの相談が多い。決済時の対策だけではなく、オーソリゼーションの大量アタック(クレジットマスター)を防ぐために決済前の対策も必要になっている。最新のクレジットカード・セキュリティガイドライン5.0版でもEMV3-Dセキュア導入のみではなく、決済前・決済時・決済後それぞれのタイミングで対策することが重要との考えが示された。今後はきちんとセキュリティ対策をしているECサイトがユーザーから選ばれる時代になってくるだろう。
「EMV3-Dセキュア」の導入が進んでいるが、導入しても不正が多い場合はカード会社のオーソリ審査が厳しくなってしまう。その結果、承認率が低下してしまい通常のユーザーもそのECサイトでクレジットカード決済ができなくなる可能性が出てくる。
不正検知システムを導入することでセキュリティ対策をしているECサイトと認識してもらえば、決済会社の承認率の向上に貢献できる。
――かっこでは、どのようなサービスを提供しているのか?
不正注文検知サービス「O-PLUX」「不正チェッカー」のほか、不正アクセス検知サービス「O-MOTION」、フィッシングをワンストップで対策できるパッケージサービス「鉄壁PACK for フィッシング」、など、網羅的に対応が可能だ。EC企業は、当社のサービスを利用していただくことで、セキュリティに対する意識を高め、健全な成長につなげてもらいたい。
■かっこの不正検知サービスhttps://frauddetection.cacco.co.jp/
