小野瀬　（一社）日本クレジット協会によると、2022年のクレジットカード不正利用による被害額は436億7000万円となり、過去最高を記録しました。前年比32.3％増で、約100億円も増加しています。

　特に、非対面取引（ECサイト）での不正利用が右肩上がりで増えています。当社の調査では、狙われた商材の1位が「デジタルコンテンツ」、2位が「ホビー・ゲーム」、3位が「旅行」。9位には「家電・PC・タブレット」がランクインしました。

国のクレジットカード・セキュリティガイドラインで高リスク商材取扱店に指定された「デジタルコンテンツ」「家電」「旅行」は高額商材ですが、実は「健康食品・医薬品」「コスメ・ヘアケア」「食品・飲料・酒類」といった低価格商材も上位に入り、ここ1～2年で相談が増えています。狙われやすい商材の低価格化が進んでいると言えます。

　小野瀬　どちらもあると思います。高額で人気のある商材が狙われ続けていますが、セキュリティが強化され、突破しにくくなりました。そこで、低価格の人気スニーカーや、セキュリティが緩いコスメや健康食品もフリマサイトで転売されています。低価格商材は狙われないという考え方は危険です。

　小野瀬　情報漏えいの発生やフィッシングの増加に加え、最近ではクレジットマスター（有効性確認）が増えていることも増加の背景にあります。これは、クレジットカード番号を機械的に割り出すという手口です。

　カード番号には規則性があるため、有効なものを割り出すことができます。その番号に有効期限とセキュリティコードを組み合わせて、ECサイトの決済画面や会員登録画面に総当たりで入力し、機械的に抽出するというものです。以前からある手口ですが、最近はECサイトで増えています。

　小野瀬　国は対策として、脆弱性診断やEMV3Dセキュアの導入などを求めています。国の「クレジットカード決済システムのセキュリティ対策強化検討会」の報告書では、EMV3Dセキュアを導入すれば十分というわけではなく、ほかの手段を含めた重層的な対策が必要と提言しました。EC事業者やカード会社との会話でも、EMV3Dセキュアの導入などで一定の効果は出ているものの、不正のすり抜けが起こってしまっているとも聞きます。

　手口が巧妙化している事例に、日本のIPアドレス経由による不正注文の増加があります。日本のIPアドレスの割合は2018年が89.5％でしたが、22年には95.3％に増加。海外からのIPアドレスだと不正の可能性が高く、ブロックされるため、あえて日本のIPアドレス経由によって注文する傾向が見られます。

　小野瀬　当社が行ったアンケートの結果、不正注文対策を実施している事業者は77.5％に上りました。2021年の50％から大幅に増加しています。対策の内容については、「3Dセキュア」が全体の62.9％を占めました。

　一方、対策をしていない事業者にその理由を聞いたところ、「どんな対策が良いか不明」「優先順位が低い」「被害が少ない」がトップ3でした。さまざまな対策がある中で、自社にとってどの対策が最適なのかがわからない、という事業者が多いことがわかりました。

　前述したように、国はEMV3Dセキュアの導入などを義務づけましたが、導入後も不正が止まらないケースも多く、各社では対策に頭を痛めているようです。

　小野瀬　当社が提供している不正注文の検知システム「O-PLUX」は、不正利用対策の4方策のうち、「属性行動分析：不正検知システム」と「配送先情報：不審住所データ」の2つをカバーできます。

　特に外部データベースの活用や加盟店の不正情報を共有する共有ネガティブ機能によってEMV3Dセキュアを補完しながら対策強化が可能です。このほど、「O-PLUX」の新機能として、「名寄せ処理」を拡充しました。これは、表記の異なる同一の住所や姓名を正規化処理して活用するという機能です。通常ならば「中山」＝「なかやま」とフリガナを記入しますが、外国人の場合は「チュウザン」などのフリガナを入力することがあり、このような氏名とフリガナが一致しないケースを見つけ出すことができます。このようにローカライズされた不正検知機能を随時アップデートすることでEMV3Dセキュアでは対策が難しい手口への対応が可能となっています。

　また、「O-PLUX」を導入している加盟店は狙われにくい、という抑止効果も報告されています。

 

　小野瀬　国の政策により、2025年3月までにEMV3Dセキュアの導入を進めることになっていますが、不正者はあらゆる手を使って突破を試みますので、重層的な対策が求められています。これに対応するため、当社はEC事業者をはじめ、カード会社とも連携して取り組みを進めていく方針です。