ECで活躍するクレジットカードの不正検知システム
クレジットカードはオンライン決済において欠かせない支払い方法の一種で、クレカ払いの使えないショップでは購買率が著しく低下するともいわれるほどです。
ですがクレジットカードは便利な反面、一度外部からの攻撃にさらされてしまい、情報が漏洩してしまうと取り返しのつかないことになってしまうことも少なくありません。情報を盗まれるだけでなく、不正に利用されてしまうことで金銭的な被害を被れば、泣き寝入りしなければならないというケースもあるためです。
クレジットカードの不正利用を防ぐためには消費者がその取り扱いに十分注意しなければならないということもありますが、ECサイトのようにクレジットカード決済を取り扱うショップにおいても不正使用を防止するための施策に取り組む必要があるでしょう。
たとえ自社で運営しているECサイトがクリーンであるとしても、消費者にそのことが伝わらなければ意味はなく、サイトの信頼性そのものも販売促進に大きな意味を持つようになってきているためです。
今回はクレジットカードに関する犯罪を防止するための施策である、不正検知サービスについてご紹介します。
【目次】
2014年の被害額が114億円、2015年が120億9,000万円、2016年が142億円と毎年上昇し、2017年にはこれらの数字を大きく上回るものとなっています。これらの数字は皮肉にもECサイトの普及率の上昇とともに増加していると推測でき、デジタルデータでのやり取りが行いやすいインターネットで決済の幅が増えたことにより、犯罪の機会も増加していると考えられます。
偽造カードによる不正使用も25億円分発生していますが、これは海外で使用されるケースが比較的多いということです。カード情報を手に入れてカードを不正に発行し、セキュリティ対策が遅れやすい海外で利用するというケースが想定できます。
クレジットカード会社からはサイバー犯罪に関する注意喚起が消費者やECサイト運営者らにも行われるとともに、クレジットカードのIC化も急いでいます。偽造カードによる被害はICチップを導入することで大きく抑えることができるとされていますが、今の所のIC化率は7割程度にとどまっており、改善の余地があると考えられています。
IC化はクレジットカードの偽造を防ぐために行われますが、それでは最も被害額の大きい番号盗難被害はどのように発生し、そしてどう防ぐことが求められているのでしょうか。
ただカード情報の抜き取りは、悪意ある第三者の巧みな誘導によって行われるだけでなく、セキュリティレベルの低いサイトなどからも誰に気づかれることもなく情報が漏えいさせられてしまうということもあるため、一概に消費者の責任ということは言えないのです。
ヤマトフィナンシャル株式会社が公開しているリストを参考に、クレジットカード情報漏えいのポピュラーなケースをいくつかご紹介します。
大手ECサイトや金融機関を装って送信され、かつ誘導した先のサイトも精巧にできたフェイクであることも多いため、多少インターネットに慣れているユーザーでも引っかかってしまうこともあります。
自社ECサイトを偽ったメールや情報が送信されているという報告を受けた場合、直ちに注意喚起を顧客向けに行う必要があるでしょう。
これまでのネットショッピング詐欺を見分ける方法として、日本語表記がおかしかったり、売られている商品が安いという点に注意すべきとされていましたが、実際韓国や中国発の健全なECサイトでも日本語が少しおかしかったり、そもそもその安さが魅力でECサイトを利用するユーザーが大半を占めています。
このような悪質なネットショップと混同されることなく、自社サイトの信頼性を高めるためにもローカライズの徹底、そして所在を明らかにするなどの施策を導入するべきでしょう。
むしろ小さな規模のネットショップの方がセキュリティ対策は甘いことが多いため、積極的に狙われてしまうこともあります。
後ほど紹介するカードの不正利用検知システムと合わせて、データベースのセキュリティ対策も強化しておく必要があるでしょう。
身に覚えのない高額商品の購入が行われていないかなど、カード会社も気づかないような巧妙な手口で不正利用が行われるケースもあるため、消費者としては明細確認を習慣づけることが肝心です。
ECサイト運営者も、特定の顧客がいきなり高額商品をいくつも購入したような決済が見られた場合には警戒を行なっておくべきでしょう。通常では考えられないような量の商品の購入などには、少し警戒する意識を持っておくことが重要です。仮にそれが不正利用によって行われた決済であった場合、購入された商品がそのまま損失になってしまう可能性もあるためです。
まず一番の被害者はカード情報が盗まれた消費者ですから、彼らを守る制度であるチャージバックが適用されます。チャージバック制度は決済代行会社経由で不正利用によって生まれた売り上げを取り消し、被害者への返金が行われるシステムですが、EC側で商品の発送を行ってしまっていると実質無料で商品の発送を行ってしまうことになります。
このような事態にならないために、チャージバック保険というものも存在しますが、不正検知システムは保険も兼ねて導入されることもあるありがたいサービスです。
不正検知システムはその名の通り、より強固な不正利用に対するセキュリティを提供するサービスで、不正判定を高い精度で行ってくれる頼りになる機能です。
そのパフォーマンスの高さに加え、比較的低コストで導入が行いやすいのもこういったサービスの特徴です。3Dセキュアなどの検知システムを導入しておくことで、万が一チャージバックが発生した場合でもその責任をセキュリティ会社に転嫁することができるため、直接的な損失を抑えることが可能になります。
3Dセキュアサービスは無料で受けられることもあり、導入も難しくないため積極的に取り入れておきたい機能です。
ただデメリットとしては購入者に個人情報の入力をさらに要求することになるため、離脱率の増加が懸念される点は覚えておきましょう。
ソニーが提携する大手カード会社16社とダイレクト接続を行い、入力された決済情報とカード会社側で保管されているデータを照合し、間違いがないかを確認してくれるというシステムです。
このシステムの中でも3Dセキュアと同様本人確認のステップを購入の際に踏むことになりますが、本人属性に基づく質問を答えるだけで済むため、パスワードが思い出せず購入の機会を奪ってしまう心配も少ないというのもメリットといえるでしょう。
セキュリティ対策の強化はコストがかかるとともに、ユーザビリティの低下をも招いてしまいかねないため、導入に踏み切れない運営者の方も多いかもしれません。しかしながらサイバー犯罪の発生により消費者だけでなく、自社までも被害を被ってしまうリスクを考えると、早いうちから導入を検討しておくことが望ましいでしょう。
不正なカード支払いだけでなく、代引き受取拒否などのトラブルにも対応してくれる、頼りになるサービスです。
また、本サービスを提供しているかっこ株式会社が運営する不正検知・セキュリティを考えるメディア | ~Web不正検知やセキュリティに関わる最新情報、ノウハウを配信~は、不正検知ソフト販売会社ならではの、不正検知・セキュリティ周りの深い話やノウハウ情報が掲載されているのでEC担当者の方は必読です。
システム運用負荷を抑え、効率的な結果をもたらしてくれるでしょう。
月額3,000円と安価な利用料金で、高いパフォーマンスを発揮してくれることが期待できます。
>>トークン決済とECサイトパッケージの連携についてのお問合せはこちらから
ですがクレジットカードは便利な反面、一度外部からの攻撃にさらされてしまい、情報が漏洩してしまうと取り返しのつかないことになってしまうことも少なくありません。情報を盗まれるだけでなく、不正に利用されてしまうことで金銭的な被害を被れば、泣き寝入りしなければならないというケースもあるためです。
クレジットカードの不正利用を防ぐためには消費者がその取り扱いに十分注意しなければならないということもありますが、ECサイトのようにクレジットカード決済を取り扱うショップにおいても不正使用を防止するための施策に取り組む必要があるでしょう。
たとえ自社で運営しているECサイトがクリーンであるとしても、消費者にそのことが伝わらなければ意味はなく、サイトの信頼性そのものも販売促進に大きな意味を持つようになってきているためです。
今回はクレジットカードに関する犯罪を防止するための施策である、不正検知サービスについてご紹介します。
【目次】
クレジットカード不正使用の現状
マスメディアなどで取り上げられる機会は落ち着いたサイバー犯罪ですが、決して犯罪率や被害額が低下しているわけではありません。むしろクレジットカードの不正使用に関しては、被害額が増加の一途をたどっているのが現状です。
クレカ被害は200億円に達する可能性も
日本クレジット協会が発表したデータによりますと、2017年に発生したクレジットカードの不正利用による被害総額は、1月から9月の間で176億8,000万円にのぼっており、ここ数年で大きく増加している傾向にあるということです。2014年の被害額が114億円、2015年が120億9,000万円、2016年が142億円と毎年上昇し、2017年にはこれらの数字を大きく上回るものとなっています。これらの数字は皮肉にもECサイトの普及率の上昇とともに増加していると推測でき、デジタルデータでのやり取りが行いやすいインターネットで決済の幅が増えたことにより、犯罪の機会も増加していると考えられます。
参考:https://www.j-credit.or.jp/download/news20180330b.pdf
番号の盗用が不正利用を促している
クレジットカードの不正利用にもいくつかの種類がありますが、最も大きな被害をもたらしているのが番号の盗用です。2017年の被害総額のうち、実にその7割にあたる130億3,000万円の不正利用が番号の盗用によって発生しており、これはカード本体がなくともカード情報さえ手に入れば可能なオンラインショップならではの手口とも言えます。偽造カードによる不正使用も25億円分発生していますが、これは海外で使用されるケースが比較的多いということです。カード情報を手に入れてカードを不正に発行し、セキュリティ対策が遅れやすい海外で利用するというケースが想定できます。
クレジットカード会社からはサイバー犯罪に関する注意喚起が消費者やECサイト運営者らにも行われるとともに、クレジットカードのIC化も急いでいます。偽造カードによる被害はICチップを導入することで大きく抑えることができるとされていますが、今の所のIC化率は7割程度にとどまっており、改善の余地があると考えられています。
IC化はクレジットカードの偽造を防ぐために行われますが、それでは最も被害額の大きい番号盗難被害はどのように発生し、そしてどう防ぐことが求められているのでしょうか。
クレジットカード不正利用が発生する原因
まずクレジットカード情報がどのようにして第三者へと漏洩してしまうのか見ていきましょう。今日ではECサイトを導入する際のショッピングカート機能や、クレジットカード会社が提供する堅牢な決済プロセスによって、そこから情報の抜き取りが行われてしまうケースはかなり少ないと言えます。ただカード情報の抜き取りは、悪意ある第三者の巧みな誘導によって行われるだけでなく、セキュリティレベルの低いサイトなどからも誰に気づかれることもなく情報が漏えいさせられてしまうということもあるため、一概に消費者の責任ということは言えないのです。
ヤマトフィナンシャル株式会社が公開しているリストを参考に、クレジットカード情報漏えいのポピュラーなケースをいくつかご紹介します。
参考:https://www.yamatofinancial.jp/learning/04.html
フィッシング詐欺
カードの有効期限切れやキャンペーンへの当選の連絡をメールで行い、偽のサイトへと誘導し、カード情報を入力させるフィッシング詐欺は今最も横行している情報抜き取り手段の一つです。大手ECサイトや金融機関を装って送信され、かつ誘導した先のサイトも精巧にできたフェイクであることも多いため、多少インターネットに慣れているユーザーでも引っかかってしまうこともあります。
自社ECサイトを偽ったメールや情報が送信されているという報告を受けた場合、直ちに注意喚起を顧客向けに行う必要があるでしょう。
ネットショッピング詐欺
架空のショッピングサイトへ誘導し、決済をさせる手段も少なからず存在します。もちろん商品も架空のため決済を行なっても注文したものが届くことはないのですが、越境ECが盛んに行われるようになってきた今日では気をつけておきたい詐欺の一つです。これまでのネットショッピング詐欺を見分ける方法として、日本語表記がおかしかったり、売られている商品が安いという点に注意すべきとされていましたが、実際韓国や中国発の健全なECサイトでも日本語が少しおかしかったり、そもそもその安さが魅力でECサイトを利用するユーザーが大半を占めています。
このような悪質なネットショップと混同されることなく、自社サイトの信頼性を高めるためにもローカライズの徹底、そして所在を明らかにするなどの施策を導入するべきでしょう。
EC事業者からの情報漏えい
ECサイトのシステムへ不正にアクセスし、個人情報のみを抜き取っていくサイバー犯罪はかなり身近に存在すると考えておいて間違い無いでしょう。特に金銭の取引が発生するECサイトはカード情報や住所・電話番号など希少価値の高い情報を多く有しているため狙われやすく、大規模サイトであればもちろんのこと、中小レベルのECサイトであってもターゲットとなってしまいます。むしろ小さな規模のネットショップの方がセキュリティ対策は甘いことが多いため、積極的に狙われてしまうこともあります。
後ほど紹介するカードの不正利用検知システムと合わせて、データベースのセキュリティ対策も強化しておく必要があるでしょう。
不正利用が発覚した場合のEC側の対応
このような手口によって不正に入手したクレジットカード情報を用い、不正利用が行われた場合にはどのような対策をとる必要があるのでしょうか。まずは早期発見が重要に
何はともあれ、まずは自分のカード情報が漏れており、不正利用が行われていないか明細などを定期的にチェックし、情報漏えいを素早く見つけることが重要になります。身に覚えのない高額商品の購入が行われていないかなど、カード会社も気づかないような巧妙な手口で不正利用が行われるケースもあるため、消費者としては明細確認を習慣づけることが肝心です。
ECサイト運営者も、特定の顧客がいきなり高額商品をいくつも購入したような決済が見られた場合には警戒を行なっておくべきでしょう。通常では考えられないような量の商品の購入などには、少し警戒する意識を持っておくことが重要です。仮にそれが不正利用によって行われた決済であった場合、購入された商品がそのまま損失になってしまう可能性もあるためです。
不正利用が起こった時は
万が一カードの不正利用が行われ、システム上では何も検知されなかった際には、落ち着いてしかるべき対処を取る必要があります。まず一番の被害者はカード情報が盗まれた消費者ですから、彼らを守る制度であるチャージバックが適用されます。チャージバック制度は決済代行会社経由で不正利用によって生まれた売り上げを取り消し、被害者への返金が行われるシステムですが、EC側で商品の発送を行ってしまっていると実質無料で商品の発送を行ってしまうことになります。
このような事態にならないために、チャージバック保険というものも存在しますが、不正検知システムは保険も兼ねて導入されることもあるありがたいサービスです。
不正検知システムでEC側でも対応を
クレジットカードや決済サービスにはあらかじめ高いセキュリティが設けられていますが、この網の目をかいくぐる犯罪やチャージバックによる損失を防ぐため、近年では各企業から不正検知サービスの提供も行われています。
不正検知システムはその名の通り、より強固な不正利用に対するセキュリティを提供するサービスで、不正判定を高い精度で行ってくれる頼りになる機能です。
そのパフォーマンスの高さに加え、比較的低コストで導入が行いやすいのもこういったサービスの特徴です。3Dセキュアなどの検知システムを導入しておくことで、万が一チャージバックが発生した場合でもその責任をセキュリティ会社に転嫁することができるため、直接的な損失を抑えることが可能になります。
不正検知システムの仕組み
現行の不正検知システムは主に2種類の方法によって行われます。3Dセキュア
一つは3Dセキュアと呼ばれる方法で、購入者に対してクレジットカード情報だけでなくIDやパーソナルメッセージの回答を要求することで信頼性を高めるというものです。3Dセキュアサービスは無料で受けられることもあり、導入も難しくないため積極的に取り入れておきたい機能です。
ただデメリットとしては購入者に個人情報の入力をさらに要求することになるため、離脱率の増加が懸念される点は覚えておきましょう。
認証アシストサービス
不正検知エンジンは各サービスによってその性能は異なりますが、ソニーペイメントサービスが採用しているのは認証アシストサービスです。ソニーが提携する大手カード会社16社とダイレクト接続を行い、入力された決済情報とカード会社側で保管されているデータを照合し、間違いがないかを確認してくれるというシステムです。
このシステムの中でも3Dセキュアと同様本人確認のステップを購入の際に踏むことになりますが、本人属性に基づく質問を答えるだけで済むため、パスワードが思い出せず購入の機会を奪ってしまう心配も少ないというのもメリットといえるでしょう。
セキュリティ対策の強化はコストがかかるとともに、ユーザビリティの低下をも招いてしまいかねないため、導入に踏み切れない運営者の方も多いかもしれません。しかしながらサイバー犯罪の発生により消費者だけでなく、自社までも被害を被ってしまうリスクを考えると、早いうちから導入を検討しておくことが望ましいでしょう。
自社サイトで活用したい不正検知サービス
最後にECサイトでよく利用されている不正検知サービスもいくつかご紹介します。O-PLUX
国内ナンバーワンのリアルタイム不正検知サービスがモットーのO-PLUXは、年間補償額600万円まで対応してくれる安心パックが魅力です。不正なカード支払いだけでなく、代引き受取拒否などのトラブルにも対応してくれる、頼りになるサービスです。
また、本サービスを提供しているかっこ株式会社が運営する不正検知・セキュリティを考えるメディア | ~Web不正検知やセキュリティに関わる最新情報、ノウハウを配信~は、不正検知ソフト販売会社ならではの、不正検知・セキュリティ周りの深い話やノウハウ情報が掲載されているのでEC担当者の方は必読です。
https://cacco.co.jp/products/o-plux
IFINDS
ASP型でカードの不正検知システムを提供するIFINDSは、初期投資を抑えてセキュリティレベルを向上させたい運営者向けのサービスです。システム運用負荷を抑え、効率的な結果をもたらしてくれるでしょう。
https://www.iwi.co.jp/product/detail/ifinds.html
Epsilon
GMOの提供するEpsilon(エプシロン)もチャージバックを未然に防ぐために開発された不正検知システムです。月額3,000円と安価な利用料金で、高いパフォーマンスを発揮してくれることが期待できます。
https://www.epsilon.jp/service/option/fraud_detection.html
PR:Orange ECならトークン決済に対応しています
加盟店が独自にPCI DSSに準拠しようとすると、審査や導入コスト、ランニングコストなど、非常にハードルが高いものになります。 既にPCI DSSに準拠している決済代行サービス会社のサービスを利用する方がコストも労力も軽減します。 Orange ECでは、トークン決済が可能になる「セキュリティ強化パッケージ」をご提案しています。 ぜひお問合せください。
>>トークン決済とECサイトパッケージの連携についてのお問合せはこちらから
