あなたのECサイトは狙われている! 不正注文6つの手口&割賦販売法に対応した対策を徹底解説
チャージバックの増加で、カード会社への返金、加えて商品の未返送で大きな損害が発生している――。ここ数年、クレジットカード決済における「チャージバック」の発生に頭を悩まされるEC企業が増えている。
クレジットカード番号の盗用などによりECサイト関連が被害に遭った金額は判明しているだけで約205億円(2017年)、その額は右肩上がりで増えている。ECサイトを運営する企業に行政が義務付けを求めたセキュリティ対策を踏まえ、不正注文による被害を未然に防ぐEC企業の防衛術をまとめてみた。 写真◎吉田 浩章
改正割賦販売法が求める「多面的、重層的な不正使用対策」とは
皆さん、改正割賦販売法(2018年6月1日付で施行)によって、ECサイトには「多面的、重層的な不正使用対策」の導入が義務付けられたのはご存知ですか? ちゃんと対策をしていますか?
非対面取引であるECを中心としたカード加盟店に対し、リスクや被害発生状況に応じたセキュリティ強化策の導入を求めた改正割賦販売法。2018年6月1日に施行された。この中で記載された難しいお役所言葉の「多面的、重層的な不正使用対策」とは何だろうか?
クレジット取引セキュリティ対策協議会は、セキュリティ対策に関する実務上の指針として「実行計画 -2018-」を2018年3月に発表した。これによると、「多面的、重層的な不正使用対策」とは、「本人認証」「券面認証」「属性・行動分析」「配送先情報」を意味する。
高リスク商材(家電、チケット、デジタルコンテンツ、電子マネー)を扱う加盟店では、4つの基本的な対策(「本人認証」「券面認証」「属性・行動分析」「配送先情報」)のうち1つ以上。「チャージバック」が多発している加盟店には2つ以上を導入するように、「多面的・重層的な不正使用対策」を法律で明確化し、加盟店へ義務付けた。
「多面的・重層的な不正使用対策が義務化された」ことをご存知ではないEC事業者は多いだろう。義務化されたものの、違反企業への罰則規定はないからだ。
ただ、注意すべきことがある。継続的に一定金額を超える不正被害が発生したECサイトは、カードブランドから「リスクの高い加盟店」と判断され、カード決済の手数料率アップ、コンバージョンの悪化につながると言われる3Dセキュアの導入などを決済代行会社から義務付けられる、といった状況に追い込まれる可能性は低くない。「実行計画 -2018-」の概要には次のような補足説明がある。
4方策の内、2方策以上を導入していても不正被害が減少せず、引き続き、「不正顕在化加盟店」と認識される加盟店は、カード会社(アクワイアラー)等より不正利用の発生状況等の情報共有を受け、不正利用防止についての追加的な方策の導入等のため継続的な検討が求められる。 ~「実行計画 -2018-」から引用
EC事業者は不正注文を被る前に、改正割賦販売法、および「実行計画 -2018-」に則した「多面的、重層的な不正使用対策」をECサイトへ導入し、継続的な不正使用対策を行うことが求められているのだ。そのために知っておかなければならないのが、不正注文を行う犯罪者の手口、そして、その対策方法である。
割賦販売法改正の背景から不正注文増加の手口などを知る
2017年のEC関連不正利用による被害金額は236億円
日本クレジット協会が2018年3月31日に発表した調査結果によると、2017年のクレジットカードの不正使用による被害金額は約236億円。そのうち、ECサイトを中心とした非対面取引におけるカードの不正利用が大幅に急増している。
ただ、この数値は表面化した一部の被害に過ぎない。正規のカード保有者が不正利用に気付かなかったり、ECサイト側で不正な注文を見落としているといったケースも考えられる。
「不正利用のターゲットになるのは一部の有名サイトだけでしょ?」。こう思われるEC事業者も多いだろう。決して人ごとではない。不正利用を行う犯罪者集団などは、あの手この手で不正利用しやすいECサイトを狙い、不正注文を企てている。
次の数値は、不正検知サービスなどを提供する、かっこがリアルタイム不正注文検知サービス「O-PLUX」の審査を通じ、未然に不正利用を防いだ金額である。その額は2017年で106億円にものぼる。
こうした不正利用が増えている背景には何があるのか。かっこの青木泰貴氏(ソリューション事業本部 セールスディビジョン セールス&マーケティンググループ グループマネジャー)はこう言う。
大きな問題としては、クレジットカード情報の漏えいがあげられる。2017年は、20社以上で90万件以上のカード情報が漏えいした。悪意の第三者は不正に使えるカード情報なのか否かスクリーニングし、ダークウェブなどで販売している。
大きな犯罪組織に加え、留学生などで構成される若年層・小規模な犯罪集団も増加。そのため、これまで主流だった高単価の家電ではなく、化粧品やコスメといった比較低単価商材も不正利用のターゲットになってきている。
犯罪集団の手口は大きく6つに分類される
犯罪集団はどのような手口を仕掛けてくるのか。未然に106億円もの不正注文を防いだ、かっこの青木氏に聞いてみると、代表的な手法は6つに分類されるという。
① 空室での受け取り
「空室が増加している都市部で不正利用が多発している」(青木氏)。たとえば、集合住宅で配達物の宛先に号室がなく、連絡先に電話をすると、日本人宛の配達にも関わらず外国人が応答。運び先となった部屋は空室で、不正注文の受取役が潜んでいた……といったケースなどだ。
また、マンションの内見物件、レンタルオフィス、貸しスタジオなどでも不正注文が発生する傾向があるという。
②海外転送サービスを悪用
越境ECの拡大に伴い、増えているのが海外転送サービスの悪用事例。不正取得したカード情報を使い、荷物の送り先を転送サービスの指定住所に指定するというものだ。海外転送サービスの利用者が増えているため、海外からの注文で配送先が倉庫の住所になっているものの、それが不正注文だったと気付かないといったケースも多いという。
③「荷受代行」「荷物転送」のバイト活用
ある消費者の個人情報や身分証明書の画像を悪用、ネット通販で携帯電話などを契約し転売するといった事象も増えているという。
犯罪集団は、ある消費者に「自分名義で携帯電話に申し込みをしてほしい。届いた荷物は指定する場所に送ること」といった「荷受代行」「荷物転送」のバイトを依頼。その消費者の元に契約されたとSIMカードや携帯電話の端末の入った荷物が届き、それをあらかじめ指定された住所に送付……指定住所に届いたことが確認されると報酬が消費者の銀行口座などに支払われるという仕組みだ。
④購入情報をずらし、ブラックリストをかいくぐるケース
住所情報の表記ゆれを悪用するケースも多い。正規化処理をしなければ、犯罪集団が注文した住所情報がネガティブリストと一致しないといった事象が発生する。住所情報の非正規化、表記ゆれを活用し、不正注文を繰り返す犯罪集団の第三者は多い。
⑤繁忙期を悪用
ECの業務、売れ筋商品、季節変動などを事前に把握し、深夜・土日祝日、繁忙期などのスキを狙うという手口だ。繁忙期では社内チェックが完全には行き届かず、目視審査を通り抜けてしまうケースもある。24時間365日体制による目視審査がベストだが、その実現はコスト面などから難しいと言わざるを得ない。
⑥狙いやすいサイトを物色するケース
「不正対策を施しているECサイトには、犯罪集団は寄りついてこない。対策を施していれば他のセキュリティが甘いサイトに移っていく」(青木氏)。犯罪集団は、さまざまなECサイトを物色し、セキュリティが甘いところを突いているという。
ECサイトが事前に不正注文を防ぐにはどうすればいいのか?
求められる「多面的・重層的」な具体的対策
ECでの買い物が当たり前になり、犯罪集団は“金になる甘い”ECサイトをターゲットに不正注文を繰り返す今、「当社には関係ない話」では済まされない状況と言える。法律からの要請、不正注文が増加している今こそ、不正注文対策に目を向けていきたい。そこで今回、かっこが提供する不正検知サービス「O-PLUX」を紹介しよう。
「O-PLUX」は、改正割賦販売法、ならびに「実行計画 -2018-」で「多面的・重層的な対策」として記載されている「属性・行動分析」「配送先情報」をカバーする不正検知サービス。大手ECサイトから月商数億円レベルのECサイトまで利用されている。
3Dセキュアやセキュリティコードに関しては、リスト型攻撃(Webサイトなどから入手したユーザーIDとパスワードのリストを使って不正ログインを試行する攻撃手法)で突破されたケースも少なくない。また、コンバージョンの悪化、つまりカゴ落ちの増加を招いてしまうといった懸念の声は多い。
一方の「属性・行動分析」は、過去の取引情報などによるリスク評価によって不正取引を判定するもので、「配送先情報」は過去の不正注文の配送先住所などをデータベース化し、不正が疑われるか否かを判断する材料に使う。「属性・行動分析」「配送先情報」を用いた不正注文対策は、改正割賦販売法で要請されている「多面的・重層的な対策」に、容易に、そして手軽に対応できるものであると言える。
「O-PLUX」の「属性・行動分析」「配送先情報」を用いた分析は、①情報に矛盾がないか(過去の注文情報との不一致)②情報に不審な点がないか(不審情報との一致)③過去の不正と一致していないか(「O-PLUX」に蓄積されたネガティブ情報)――という3つの観点を組み合わせて、注文内容を自動で審査する。
データは、「電話番号疎通」「一時滞在先住所」「転送サービス住所」「空き室情報」「デバイス情報」に加え、約1万2000サイトと共有するネガティブリストなどを活用。さまざまなデータを活用し、目視審査に関する業務を自動化できる。
だが、「O-PLUX」のような不正検知サービスは、EC業界に浸透しているとは言い難い。「大手ECサイトを含め、目視による審査をしているところが多い」(青木氏)という状況で、不正注文対策に関してはさらに意識が低いという。それはなぜか? その1つには導入メリットが明確に伝わっていないことがあげられる。
導入メリット
- 目視検査は属人的な業務になってしまうが、ツール活用は目視検査の属人化を防ぐ
- 目視といった手作業をほぼ自動化できる
- 審査スピード、および審査精度のアップにつながる
- 目視検査にかけていた人件費を削減できる
- 本人認証に頼らないセキュリティ対策でカゴ落ち削減による売上UPへ貢献できる
不正検知サービスを導入するメリットは他にもある。それは日々進化する手口への素早い対応だ。
攻撃者の手口は日進月歩。新しい手口が出てきたときも、「O-PLUX」の検知レビューで、導入企業にその情報を展開している。導入企業同士で新しい情報を共有できるのは大きなメリットだ。新しい手口や傾向を自社だけで把握するのは難しい。不正注文ではないものを不正と判断してしまう可能性もある。さまざまな企業と情報を共有できるメリットは大きい。
こう話すのはソリューション事業本部 オペレーション ディビジョン リーダーの中生緑氏。導入企業からは「不正注文には波がある。いつ不正攻撃をしかけてくるかわからない。ビクビクするよりも、システムで事前に防ぐという体制を整備することで、業務に集中することができている」といった声も寄せられているという。
【事例】「ドスパラ」は不正注文の人力審査作業はほぼ0人
パソコン通販サイト「ドスパラ」を運営するサードウェーブでは、数年前からECサイトでの不正注文対策に力を入れてきた。
カードブランドが提供する本人認証の仕組(3Dセキュア)を使用しながら、かっこの不正検知サービス「O-PLUX」を導入。「クレジット取引セキュリティ対策協議会」が求める「多面的・重層的な対策」をいち早く取り入れ、不正注文を抑止している。
不正注文対策に取り組む際、まず導入したのが「3Dセキュア」。「導入によって画面移動が増えてカゴ落ちにつながる懸念もあったが、当社は高額商品を扱っていることもあり、万一不正があった際への備えとして必要と考えた」とサードウェーブの担当者は言う。
ただ、3Dセキュアの導入だけでは不正注文を防げなかった。「3Dセキュアをすり抜ける不正が継続し、改善されなければクレジットカード決済の料率変更などもあり得る、と決済代行会社からの連絡を受け、意識が変わった」(サードウェーブ)。
まずは、注文情報の目視チェックを実施。狙われやすい商品といった不正検知へのノウハウは蓄積されたものの、注文数が膨大なため目視チェックのための作業量も一気に増えた。
気になった注文だけを軽くみても、1~2時間すぐにたってしまい、目視で見抜けないような不正も少なくなかった。社内でチェックをしてみて、対策の精度向上・自動化が必要だと感じた。(サードウェーブ担当者)
審査に時間をかけられない理由もあった。「ドスパラ」では消費者の注文は、当日に出荷を完了させていることが多い。いわゆるスピード配送を求めるユーザーの期待を裏切ることはできないのだ。
ドスパラは次の目的を実現できるセキュリティサービスを検索。最適と判断したのが、かっこが提供する不正検知サービス「O-PLUX」だった。
- 「多面的・重層的」な対策を施したい
- 注文審査を自動化したい
- 注文審査のスピードアップを図りたい
- 審査の精度をあげたい
過去の不正を含めた注文情報で審査した結果、社内の目視審査をすり抜けた不正も発見できるなど精度も高く、API接続により注文ごとに自動で審査が行われるため、発送までのフローを含めた運用負荷も大きく軽減できると感じた。コスト面では、人力で行っている対策にかけている費用と比較し、トータルコストを抑えられると判断した。(サードウェーブ担当者)
導入の経緯をこう振り返るドスパラの担当者は、「O-PLUX」からの審査結果レスポンスにかかる時間が平均約0.5秒だったことに驚きを隠さない。「ECにおいてはスピードが大切。お客さまの購買行動には影響がなさそうだったので安心した」。そのため、スピード配送は従前と同様に維持できている。
人力での目視チェックはほぼ不要になり、NG判定分の注文情報のみ目視でチェックしている。1日5分ほどの人力作業に削減できたという。