キヨハラサトル 2022/3/8 8:00
[Sponsored]

新型コロナウイルス感染症の影響で、EC事業に乗り出す企業が増えている。それと並行するように増加しているのがECサイトにおける不正注文だ。ダークウェブといった闇サイトなどから入手したクレジットカード情報を使い、ECサイトで不正注文した商品を換金して稼ぐのが不正者の狙いだ。最近では高額商品だけでなく日用品など幅広い商品が狙われているという。そうしたなか、かっこは不正注文を検知できるサービス「不正チェッカー」を、月額4000円と安価に利用できるようにした。不正注文が増加する今、このサービスに注目が集まっている。

https://frauddetection.cacco.co.jp/fusei-checker/
<PR>月額4000円であなたのECサイトの不正注文を検知できる「不正チェッカー」の詳細は画像をクリック

コロナ禍で増えるクレジットカードの不正利用

コロナ禍でリアル店舗を持つ事業者がECにシフトするケースなど、ECサイトでビジネスを行う事業者が増加。それに伴い、不正にクレジットカード情報を手に入れてECサイトで商品を購入する不正者も増えてきています。

こう指摘するのは、かっこ O-PLUX事業部 Divマネージャーの小野瀬まい氏。実際、日本クレジット協会が発表している「クレジットカード不正使用被害額調査」を見ても、コロナ禍においてクレジットカードの不正利用被害額は増えていることがわかる。

小野瀬氏によると、不正注文を行う不正者は、従来であれば高額な家電やゲームソフトを狙うケースが多かったが、最近では日用品などどんな商材でも狙っているという。

かっこ 不正注文対策 不正チェッカー クレジットカードの不正利用被害額は過去最高を更新する見通し
2021年1~9月のクレジットカードの不正利用被害額は前年同期比43%増。2021年は過去最高を更新する見通しで、比較的安価な商材でも被害が拡大している

ECサイトの不正注文は盗まれたクレジットカード情報が使われるが、そもそもの問題としてカード情報の流出に歯止めがかかっていない状況がある。カード情報の漏えいやフィッシングメールなどで気づかぬうちにカード情報が抜きとられ、それが闇サイトで売買される。

カード番号と有効期限さえわかればECサイトで決済できてしまうという脆弱(ぜいじゃく)性を突き、不正者は闇サイトなどからクレジットカード情報を入手し、商品を購入するわけだ。

かっこ 不正注文対策 不正チェッカー クレジットカードの流出状況と手口
クレジットカードの流出状況と手口について

小野瀬氏は「不正者は足取りが知られることを嫌がるので、身元が割れにくいような場所を商品の受け取り場所に指定し、荷物を受け取って逃げてしまうという手口を使います」と説明。具体的にはマンションの空き室に受け子のような人間が待機し、荷物を受け取るとその場からすぐに立ち去るという。

かっこ O-PLUX事業部 Divマネージャーの小野瀬まい氏
かっこ O-PLUX事業部 Divマネージャーの小野瀬まい氏

また、最近ではフリマサイトやオークションサイトが普及しており、転売が容易になっている。そうした点も不正の増加を助長しているとみることができるようだ。

EC事業者側からすると、クレジットカードの情報漏えいや転売を防ぐのは難しく、注文データを見ただけでは、配送先が空き室かどうかわからない。そのため「自分たちのECサイトのセキュリティを上げて、不正者に狙われても不正ができない環境を作っていくしかない」(小野瀬氏)と言う。

かっこ 不正注文対策 不正チェッカー ECサイトでクレジットカードの不正利用が起こる仕組み
ECサイトでクレジットカードの不正利用が起こる仕組み

商品を取られ、売り上げも立たない

不正者がECサイトで商品を購入する際の手口を細かく見ていこう。

まず、流出したカード情報を不正に入手し、それを使ってECサイトで買い物をする。その際、有効なクレジットカードを使っているため、オーソリ(オーソリゼーション、信用承認)は問題なく通る。EC事業者が不正注文と気づかずに商品を出荷し、後日、本来のカードの持ち主に請求を行ったタイミングで不正利用が発覚する

カード保有者はカード会社に意義を申し立てると、EC事業者に対してチャージバック通知が届き、売り上げが取り消される。チャージバックとは、本来であれば事業者側に入ってくるはずの売り上げを取り消してユーザーに返金する仕組みを指す。

かっこ 不正注文対策 不正チェッカー 不正注文からチャージバックが発生する流れ
不正注文からチャージバックが発生する流れ

ここで注意すべきなのは、ECの場合はクレジットカードが不正利用されると、代金はEC事業者が負担しなければならないという点だ。

事業者側からすると、不正注文が発覚した時には既に商品を出荷しているため、商品は戻ってこず、売り上げも立たない。つまり2重の被害が発生してしまうことになる。結果、ECサイトの運営に大きな被害が出てしまう。

ECサイトでクレジットカードが不正利用されると、代金がEC事業者の負担になることについて、かっこが行ったアンケート調査では35%が「知らない」と回答している。

かっこ 不正注文対策 不正チェッカー EC事業者への不正注文に関する調査アンケート
「EC事業者への不正注文に関する調査アンケート」(調査期間:2021年12月17日~12月22日、回答者数:546名、かっこ調べ)より

対面での取引では、クレジットカードが不正利用された場合、カード会社が補填(ほてん)しますが、非対面のECサイトにおける取引では、本人確認の義務はEC事業者側にあります。そのためクレジットカードが不正利用された場合はEC事業者側が負担するルールになっています。(小野瀬氏)

かっこ O-PLUX事業部 Divマネージャーの小野瀬まい氏

ECサイトで本人認証として認められているのが、カード会社が提供しているセキュリティサービスの「3Dセキュア」だ。この「3Dセキュア」を採用していて、それを通過したものの、不正注文となった場合はカード会社の負担となる。逆を言えば、「3Dセキュア」を通さない限り、カード会社が不正注文と確定すれば、EC事業者がチャージバックに対応しなければいけなくなる。

「3Dセキュア」は決済画面において、各カードブランドでカード会員が独自のIDとパスワードを設定し、決済完了前にIDとパスワードを入力する必要がある。この認証フローの煩雑さでカゴ落ちが発生してしまうことがEC事業者の懸念事項になっている

4社に1社が不正注文の被害に遭っている

被害が拡大している不正注文だが、かっこの独自アンケート調査でその実態が明らかになってきた。

被害の件数と内訳

不正注文の発生状況としては、4社に1社が被害に遭っている。また、被害の内訳で一番多かったのが、「クレジットカード不正」だ。

自分のECサイトは狙われないだろうと思っていても、4社に1社は被害が出てしまっているので、自分ごととして対策を考える必要があります。(小野瀬氏)

かっこ 不正注文対策 不正チェッカー 被害の件数と内訳
「EC事業者への不正注文に関する調査アンケート」(調査期間:2021年12月17日~12月22日、回答者数:546名、かっこ調べ)より

不正の手口は多岐にわたる

不正者が行う不正注文の手口も多岐にわたり、巧妙化していることがアンケートでわかった。最も多いのは同一人物が複数人になりすます手口で、次に多いのが架空の電話番号を使用するケースだ。

かっこ 不正注文対策 不正チェッカー 多岐にわたる不正の手口
「EC事業者への不正注文に関する調査アンケート」(調査期間:2021年12月17日~12月22日、回答者数:546名、かっこ調べ)より

最新の手口とは?

不正注文の最新の手口として、フリマアプリを悪用したものがある。たとえば、リピート通販のサイトで初回だけ安く購入できる仕組みを悪用し、「1回限り」や「初回限定」の価格で同一人物が複数回購入する。それをフリマアプリなどで転売するといった手口が最近多発しているようだ。

かっこ 不正注文対策 不正チェッカー フリマアプリを悪用した最新の不正注文の手口
フリマアプリを悪用した最新の不正注文の手口

法律で義務づけられるも対策する事業者は半分

2018年6月1日付で施行された改正割賦販売法では、行政はECサイトのリスクや被害発生状況に応じて「多面的・重層的な対策」の導入を事業者側に義務づけている。この「多面的・重層的な対策」とは、次の4つだ。

  • 本人認証(3Dセキュア)
  • 券面認証(セキュリティコード)
  • 属性・行動分析(不正検知システム)
  • 配送先情報

ガイドラインでは、デジタルコンテンツ(オンラインゲームを含む)、家電、電子マネー、チケット、宿泊予約サービスといった高リスク商材を扱う事業者は、上記4つのうち1つ以上導入することを求めている

さらに不正利用被害が多発し、継続的に一定金額以上の不正利用が発生しているクレジットカード加盟店を指す「不正顕在化加盟店」と認識された事業者は、4つのうち2つ以上の導入が求められている

上記4つのなかで、「本人認証」については先述のとおり「3Dセキュア」がある。事前に登録しておいた「本人認証パスワード」を決済時に入力する方法だが、パスワードを忘れると購買をやめてしまう「カゴ落ち」のリスクが指摘されている。

事業者によっては、カゴ落ちによる機会損失を嫌って、「3Dセキュア」の採用をためらうケースもある。なかには、チャージバックによる損失は、「3Dセキュア」での販売機会損失に比べて損失の規模が低いと判断する事業者もいるという。

ちなみに、かっこのアンケート調査によると、不正注文への対策を実施している企業は51%だという。

対策をしていない理由の上位3位は、上から「被害が少ない」「優先順位が低い」「どんな対策が良いか不明」となっている。

3番目の「どんな対策が良いか不明」という回答について、小野瀬氏は「当社のような不正検知を専門にやっているところにご相談いただくと、事業者さんの今の不正状況に合わせたご提案ができるので、1度ご相談いただきたい」と話す。

かっこ 不正注文対策 不正チェッカー 不正注文への対策状況
「EC事業者への不正注文に関する調査アンケート」(調査期間:2021年12月17日~12月22日、回答者数:546名、かっこ調べ)より

月4000円からの不正注文検知サービス「不正チェッカー」

不正注文の被害が後を絶たないなか、かっこは2021年10月、安価で利用できる不正注文検知サービス「不正チェッカー」の提供を始めた。

これは同社の不正注文検知サービス「O-PLUX(オープラックス)」の一部機能を切り出したもので、月額4000円から利用できる。かっこの調査によると、月額4000円から利用できるサービスは業界最安値だという。

不正チェッカーを使うことでカバーできる対策としては、先述した「多面的・重層的な対策」の4つのうち「属性・行動分析(不正検知システム)」と「配送先情報」が該当する。つまり月額4000円で、改正割賦販売法で定められた4つの対策のうち2つに対応できるというわけだ。

料金体系は初期費用が5万円、月額は1000件分の審査で4000円。1000件より多くなると1件あたり4円の費用が発生する。

かっこ 不正注文対策 不正チェッカー 料金体系
「不正チェッカー」の料金体系

かっこでは「O-PLUX」を通じて、2万サイトから不正情報を集めており、実際にチャージバックが起こった住所や電話番号をデータベースとして蓄積。それを「不正チェッカー」でも使うことができるほか、不正傾向に合わせ、不動産の空き室情報など外部データベースとも連携。

さらにデバイス情報で海外からのアクセスかどうか、短期間に大量購入していないかなど、多面的に不正の可能性を見極めており、高い精度が期待できる。

また、「O-PLUX」と同じ不正検知エンジンを使っており、データサイエンスを用いながら高速に精査。審査にかかる時間はわずか0.5~1秒程度だ。

いろいろなデータベースを使って不正を検知するので、巧妙化した不正も見つけられる機能を搭載しています。目視によるチェックに比べて運用面での負荷も少ないです。(小野瀬氏)

「不正チェッカー」では、不正の可能性が低い「OK」と、不正の可能性が高い「NG」の2パターンで評価し、「NG」の場合はその理由もわかるようになっている。

たとえば、購入者情報の住所が、他社が持つ不正情報と一致していたため不正の可能性が高いと示す。事業者はその情報をもとに「怪しい注文だからキャンセルした方が良い」といった判断ができる。

かっこ 不正注文対策 不正チェッカー 多面的に不正を見極める
「不正チェッカー」では多面的に不正を見極める

「不正チェッカー」でチェックする際には、「一定金額以上」「狙われやすい商材だけ」といったように、特定の商品群だけを抽出してチェックすることも可能だ。

導入にかかる期間は最短2週間で、APIやCSV連携など事業者のニーズに応じた連携方法が選択できるのも魅力。初めて不正対策を行う事業者にとっても簡単で使いやすいサービス設計になっている。

この「不正チェッカー」の導入にあたっては、かっこに電話やメールで問い合わせて契約する流れになっている。

価格と実績から「不正チェッカー」を選択

「不正チェッカー」について、小野瀬氏は「不正が増えてきており、いつ自分のサイトが狙われてもおかしくないような状況。4000円で手軽に導入できるサービスなので、サイトが狙われても被害が出ないよう、多くの事業者さんに使っていただきたい」と説明する。

実際に「不正チェッカー」を導入したとある事業者は、2021年に初めてチャージバッグの被害に遭い、そこから立て続けに被害が続いていたという。この企業は不正注文の増加を受け、本格的に対策を検討した結果、予算的に無理なく利用できるサービスとして選んだのが「不正チェッカー」だったようだ。

加えて、不正注文検知サービスで導入実績ナンバー1の「O-PLUX」をもとに作られたサービスであることも導入を後押ししたという。つまり価格と実績から「不正チェッカー」を選択したというわけだ。

かっこ 不正注文対策 不正チェッカー 不正チェッカーの特徴
「不正チェッカー」の特徴

「不正チェッカー」は不正検知を安価で手軽に行いたいというEC事業者に適しているサービスだが、さらに機能を追加して不正検知の精度を強化したのが上位版の「O-PLUX」だ。

まずは「不正チェッカー」で最低限の不正を見つけ、より精度を高めたい場合に「O-PLUX」を使う。そんな具合に、事業者側の状況やニーズに合わせてサービス内容を選ぶことも有効だろう。

[Sponsored]
この記事が役に立ったらシェア!

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
ecbeing.
[スポンサー]