セーファーインターネット協会(会長:中山 明 以下、SIA)は、2022年9月1日に、警察庁、経済産業省、かっこ株式会社、ヤフー株式会社、PayPay株式会社、株式会社メルカリと共同でEC事業者やクレジットカード事業者、その他の関連団体と、報道関係者の皆さまを対象に「フィッシング、クレジットカード不正の現状と対策を考える会」を開催しましたのでご報告します。
日本クレジット協会によると、2021年における全国のクレジットカード不正利用被害額は311億円と過去最高を記録しており、フィッシングに関しても2021年の発生件数は526,504件と2020年比で約2.3倍にものぼります。様々なフィッシングや不正決済の被害が広がる中、EC事業者、決済事業者においても、お客様への注意喚起や独自のセキュリティ施策など、対策を強化して一方で、フィッシングサイトや犯行の手口が多様化・巧妙化しており、個社での対策に加え、EC事業者・決済事業者・関係する業界団体といったEC業界全体で連携を強化し、セキュリティ対策に取り組んでいくことが必要不可欠です。
このような背景をうけ、今回は、事業者、関連団体および報道関係者の皆さまを対象に、フィッシング・不正決済の背景と実態、防止対策に関する理解を深めていただくことを目的として開催しました。
基調講演:警察庁 サイバー警察局サイバー企画課課長補佐 清川敏幸氏
警察庁からは、クレジットカード不正利用の手口と警察庁におけるフィッシング対策についてお話をいただきました。
「警察庁が把握しているクレジットカード不正利用の特徴的な手口としては2つある。1つ目はダークウェブから他人のクレジットカード情報を購入したAが不正利用者Bに転売する。Bはクレジットカード情報を使いECサイトで商品を購入して特定の場所へ発送するパターン。2つ目はフィッシングサイトを作成し、不正に取得したクレジットカード情報を自分のアプリに紐づけて商品を不正に購入するパターンである。
警察庁が行っているフィッシングサイト対策として、都道府県警察からフィッシングサイトの情報を受け、ウイルス対策ソフト事業者に情報提供を行っており、セキュリティソフトを入れているユーザーが該当するサイトを見たときに、警告表示がなされる仕組みです」とのこと。
また、清川氏から、メールを送信する事業者が導入することでなりすますしメールが届かなくなる送信ドメイン認証技術である『DMARC』の紹介があり、「警察庁としては事業者にDMARCの導入を働きかけている」と導入を呼びかけました。
基調講演:経済産業省 商務・サービスグループ 商取引監督課 セキュリティ専門官 小西 啓介氏
経済産業省からは、「クレジットカード決済のセキュリティ対策強化に向けた経済産業省の取り組みなど」についてお話をいただきました。
「経済産業省はクレジットカードの不正対策に長年にわたり対策を行っている。クレジットカード関連の規制をする法令には割賦販売法があり、①クレジットカード番号の適切な管理、②不正利用の防止の義務、➂加盟店の調査等の義務、④不正な手段によるカード番号の取得禁止がある。
令和2年の改正では、従来、規制の対象となる事業者は、カード会社と加盟店に加えて、対象範囲を拡大し、決済代行事業者、QRコード事業者、ECモール事業者も対象となる。これらの対象事業者に対してはセキュリティ対策として『PCI DSS』の準拠を求めている。このPCI DSSは2022年3月にversion4.0へのバージョンアップが行われ、オンラインスキミングやフィッシングなどの攻撃手法への対応が規程された。
また割賦販売法での規程ではなく、クレジットカード・セキュリティガイドラインを策定し、EMV-3Dセキュアの導入が推奨されている。
今後のセキュリティ対策の方向性には3つの柱があり、1つ目は漏洩防止の対策として、さらなる制度的措置の必要性の検討や脆弱性対策の強化。2つ目は不正利用の対策としてEMV 3-Dセキュアといった取引認証の原則化や事業者間の共同システム構築、リアルタイム通知の普及などを進める点、3つ目はフィッシング防止の対策として送信ドメイン認証であるDMARCの導入を求める」とお話をいただきました。
かっこ株式会社 O-PLUX事業部 ディビジョンマネジャー 小野瀬まい氏
かっこ株式会社からは「EC事業者における不正被害の実態や対策状況について」お話をいただきました。
「ECサイトにおけるクレジットカード不正利用は2021年過去最高となったが、増加の背景には、3つの要因がある。1つめは個人情報の売買で、漏洩事故やフィッシングなどで流出したカード情報が、ダークウェブ上で売買されている点、2つ目は、ECサイトではクレジットカード番号と有効期限のみで決済できるため、被害が発生している点。3つ目は、購入した商品が転売できるという現金化の多様化である。
また情報漏えいも増加傾向にあり、ECサイトではカード情報を持たない『非保持化』が進んだものの、不正アクセスやペイメントモジュールの改ざん、フィッシングメール通知など、さまざまな手口で情報漏えいが発生している。
かっこ株式会社では2021年12月に、EC事業者に実態調査を実施し546件の回答があった。クレジットカード不正対策義務化を7割が認識していながら、被害負担がEC事業者であることを3人に1人は知らない、という現状が明らかとなった。また約40%の事業者で不正対策に取り組めおらず、その理由としては『被害額が少ない』 『優先順位が低い』という理由であった。
不正利用対策で注目される、EMV 3-Dセキュアについて、EC事業者から寄せられる声の紹介もありました。カゴ落ち低減への期待や、パスワードが漏洩しても突破されないという安心感があるという声があるが、他方で、システム開発費やランニングコストがかさむ、といった懸念も多く寄せられている。
かっこ株式会社の不正注文検知サービス『O-PLUX』では、様々なデータを利用して不正を検知するサービスで、サービスを利用されている2万サイトのネガティブ情報を共有することで対策することができる。」
小野瀬氏は「変化する不正手口を理解したうえで、自社にあった対策を選択していくことが必要である」とお話がありました。
EC事業者による取り組みやフィッシング等に関する最新の不正事例
一般社団法人キャッシュレス推進協議会 福田 好郎氏(事務局長/常務理事)
キャッシュレス推進協議会からは「当協議会におけるセキュリティへの取り組み」についてお話をいただきました。
「一般社団法人キャッシュレス推進協議会は、キャッシュレスの普及に向けて活動している。キャッシュレス決済を利用していない方の声として多いのがサービスのセキュリティへの不安がある点が多いことからセキュリティへの対策を重要視している。
コード決済を狙った不正利用は増加している。手口としては、自身のアカウントに他人のクレジットカード情報を紐づける『なりすまし』や、コード決済のIDとパスワードを盗み、アカウントを乗っ取る形がある。コード決済を間にはさむことでモニタリング検知を逃れようとしたり、またリアル店舗で利用することで足跡を残す可能性を下げようとするのなど手口が巧妙化している。
不正利用に対しては、それぞれの決済事業者が対策進めるが、他の多数の事業者にも同様の不正利用を行うため、個社ごとの情報を共有・連携し業界全体での取り組みが必要とされる。そのため、不正利用情報確認データベース『CLUE』を開発し、被害にあった事業者はその内容をデータベースに登録し、他社間で情報共有、早い段階での不正利用防止を目指しており、この後はコード決済事業者だけでなく、EC事業者やその他のオンラインサービス事業者にも利用できるよう検討している」とご説明いただきました。
福田氏は「不正利用への対策は、事例や対策の情報共有の場を持ち、業界全体あるいは業界の垣根を超えて取り組むべき課題である」とお話がありました。
ヤフー株式会社 コマースインフラ本部安全対策部 部長 藤田 智子氏
ヤフー株式会社からは「ヤフーのコマースサービスにおけるクレジットカード不正利用対策の取り組み」についてお話をいただきました。
「事業の急激な拡大にともない、ショッピング事業(Yahoo!ショッピング、PayPayモール)、リユース事業(ヤフオク!、PayPayフリマ)の不正利用額が、2019年にかけて不正利用も増加していたが、不正検知システムの導入の効果から、2020年以降は抑えられている。カード不正利用に対しては、準備・決済・被害においてさまざまな対策に取り組んでいる。
なかでも特に重要な、決済での対策には、独自に開発した不正検知システムによる判定と人による目視チェックを組み合わせた判定フローを採用している。システムによる判定はルールベースと機械学習を組み合わせ、リアルタイムで判定する。目視チェックは、システムで判断ができない事案について、24時間365日体制で行っている。
さらに2022年8月17日から、EMV3-Dセキュアを導入した。すべての決済情報をEMV3-Dセキュアに回すのではなく、目視により行っていた不正懸念のある決済のみを回すことで、業務工数削減が図れ、また、商品の発送が保留されるユーザーを待たせるといった状況も改善できた。
また準備の段階では、ID悪用対策として新規ID取得時に携帯番号を必須することでIDの大量取得がしづらくなるという取り組みが多な我、被害が発生したときの補償制度も導入している。」とご説明いただきました。
最後に藤田氏は「これらの対策により、不正利用をさせない売場づくり、および検知システムの向上を取り組んでいく」とお話がありました。
PayPay株式会社 法務リスク管理本部金融犯罪対策室 マネージャー 水嶋 康一朗氏
PayPay株式会社からは「PayPay(コード決済)におけるセキュリティ対策」についてお話をいただきました。
「PayPayのサービスは対面の支払い時に利用されるイメージがあるが、オンラインでも利用されている。PayPayを不正に利用する方法には大きく2パターンある。1つ目はフィッシングによるアカウントの乗っ取りで、不正者がフィッシングで認証情報を盗み、被害者から乗っ取ったアカウントで不正購入を行う。フィッシングには、フィッシングメールの他、偽のSNS広告からフィッシングサイトに誘導して認証情報を盗むケースも出てきている。2つ目は不正者がフィッシングサイトからクレジットカードの情報を取得し、自分のアカウントに紐付け、不正購入するパターン。
同社では『事前防止措置』、『積極的な対応』、『ユーザーケアと調査・分析』という3つのポリシーにより不正利用の対策を行っている。
『事前防止措置』としては、オンライン決済で加盟店のサイトやアプリからPayPayで支払う際は本人確認を漏れなく実施するようになっている。またクレジットカードによる支払の上限金額は、認証状況によりわけておりEMV 3-Dセキュアや利用実績などを基にした独自基準による上限金額を設けている。
『積極的な対応』では、システムと専門スタッフによる目視(24時間365日体制)により不正を積極的に見つる体制を構築している。
『ユーザーケアと調査・分析』では万が一、不正が発生した場合に対応すべく、24時間体制で電話でのサポートを受け付けている。また被害者や加盟店への補償制度も実施している」とお話をいただきました。
株式会社メルカリ 執行役員 VP of Trust and Safety Japan Region 篠原孝明氏
株式会社メルカリからは「メルカリでの不正利用の実態と対策」についてお話をいただきました。
「メルカリでは2021年末から不正利用が増加していたが、対策の強化により、2022年7月以降は大幅に減少傾向にある。
不正利用は、フィッシングとクレジットカードの不正利用の2つがある。最近のメルカリを装うフィッシングサイトは、本物と見分けがつきづらくなっており、利用者には送信元メールアドレスを確認するなどの対応が求められる。
不正利用に対しては、『未然防止』と『早期対策』という2軸で対策を推進している。1つ目の『未然防止』としては、EMV3-Dセキュアを導入することで、カゴ落ちを減少させながら、不正利用を防ぐことができ有用である。またフィッシング対策としては、普段利用していない端末からアクセスがあった際のSMS認証を追加し、送信さる文面には送信理由を明記することで、利用者が第三者の不正利用に気づきやすくしている。
EMV-3Dセキュア導入の成果としては、決済の離脱率は2%前後に抑えられており、カゴ落ちの影響を少なくできている。他方、不正利用の金額は実装前にくらべて1/10程度まで減少させることに成功している。
今後はアカウント作成時や不正ログインといった、最初の部分についての対策を強化していく」とご説明いただきました。
最後に篠原氏は「事業者と不正者の間でいたちごっこになりつつある。官民が連携し、対策と効果を共有することで、未然に不正利用に対応することが求められる」とお話がありました。
-
「フィッシング、クレジットカード不正の現状と対策を考える会」 開催報告 (PDF, 901KB)
