不正注文検知サービスなどを手がけるかっこはこのほど、EC事業者の不正被害や対策に関する実態調査の結果を公表した。
クレジットカード番号などを盗まれて不正に使われる「番号盗用被害」が年々増加しており、日本クレジット協会の発表によると2024年度は過去最多の513億5000万円に上った。
キャッシュレス決済の普及や与信枠拡大などを背景に、カードの不正利用被害額は増加傾向が続いていることを受け、昨年にはカード不正利用対策の実務指針である「クレジットカード・セキュリティガイドライン(6.0版)」が改訂され、本人認証「EMV3-Dセキュア」の導入必須化に加え、不正ログイン対策やぜい弱性対策の強化が求められるなど、EC事業者にとってセキュリティ要件が一層厳格化している。
こうした状況を踏まえて、かっこはEC事業者における不正注文や不正ログインの被害状況ならびに不正対策の実施状況を把握する目的で、昨年11月に不正注文対策にかかわるEC事業者の担当者を対象にネット方式の独自アンケート調査を実施し、553件の有効回答を得た。
同調査において、「最新のクレジットカード・セキュリティガイドライン6.0版で、EC事業者がとるべき対策としてクレジットマスターや不正ログインなども追加され、『線の考え方』が推奨されていることを知っているか」を聞くと、「内容までよく知っている」と回答した人は前回調査の24年と比べて4.1%減の61.5%、「名前は知っている」が同3.2%増の30.7%となり、認知度としては高止まりしている。
また、「もっとも懸念する不正リスクは何か」については、「クレジットカードの不正利用」が28.2%と最多で、「アカウント乗っ取り(ID・パスワード流出による不正ログイン)」が25.3%、「生成AIを悪用した詐欺(偽サイト・なりすましなど)」が14.8%、「情報漏えい」が9.2%などとなった。
「実施している不正ログイン対策」(複数回答)を聞くと、「不審なIPアドレスからのアクセス制限」が49.4%、「会員登録時の個人情報確認(氏名・住所・電話番号・メールアドレスなど)」が45.8%、「ログイン施行回数の制限強化(アカウントパスワードクラッキングの対応)」が44.3%、「多要素認証などによる本人確認」が42.7%と上位4項目が4割以上となった。
「クレジットカード不正や悪質転売などの不正注文対策をしているか」については、「対策している」と答えた事業者は69.6%で、年商10億円以上の事業者は78.3%、年商10億円未満の事業者は60.9%で、企業規模が大きい方が対策を実施している割合が高い。
「実施している不正注文対策」を聞くと、トップは本人認証(EMV3—Dセキュア)」が65.2%となり、前回同様にトップとなったが、システム開発などの導入コストや負荷を理由に「今後もEMV3—Dセキュアは採用しない」とする事業者も一定数存在する。
一方、「不正ログインの被害にあったことがあるか」を聞くと、「経験あり」が56.2%で、とくに年商10億円以上の事業者は64.2%となり、企業規模が大きいほど被害が発生しやすい傾向が見られた。
「不正ログインの発覚経路」(複数回答)については、「通常とは異なる挙動(アクセス数やログイン失敗の急増など)を社内で検知」が52.1%と最多で、「顧客からの問い合わせ・被害報告で気づいた」が46.0%、「社内システムのモニタリング・ログ解析で検知」が36.0%、「不正検知サービスやセキュリティツールからのアラート」が32.8%と続いた(図表を参照)。
また、「カード不正利用や悪質転売などの不正注文被害にあったことがあるか」を聞いた結果、「経験あり」は全体の38.0%で前回調査の41.8からわずかに減少した。年商10億円以上の事業者は45.1%、年商10億円未満の事業者は30.8%となり、年商で大きな差がついた。
不正注文検知サービスなどを手がけるかっこはこのほど、EC事業者の不正被害や対策に関する実態調査の結果を公表した。
キャッシュレス決済の普及や与信枠拡大などを背景に、カードの不正利用被害額は増加傾向が続いていることを受け、昨年にはカード不正利用対策の実務指針である「クレジットカード・セキュリティガイドライン(6.0版)」が改訂され、本人認証「EMV3-Dセキュア」の導入必須化に加え、不正ログイン対策やぜい弱性対策の強化が求められるなど、EC事業者にとってセキュリティ要件が一層厳格化している。
こうした状況を踏まえて、かっこはEC事業者における不正注文や不正ログインの被害状況ならびに不正対策の実施状況を把握する目的で、昨年11月に不正注文対策にかかわるEC事業者の担当者を対象にネット方式の独自アンケート調査を実施し、553件の有効回答を得た。
同調査において、「最新のクレジットカード・セキュリティガイドライン6.0版で、EC事業者がとるべき対策としてクレジットマスターや不正ログインなども追加され、『線の考え方』が推奨されていることを知っているか」を聞くと、「内容までよく知っている」と回答した人は前回調査の24年と比べて4.1%減の61.5%、「名前は知っている」が同3.2%増の30.7%となり、認知度としては高止まりしている。
また、「もっとも懸念する不正リスクは何か」については、「クレジットカードの不正利用」が28.2%と最多で、「アカウント乗っ取り(ID・パスワード流出による不正ログイン)」が25.3%、「生成AIを悪用した詐欺(偽サイト・なりすましなど)」が14.8%、「情報漏えい」が9.2%などとなった。
「実施している不正ログイン対策」(複数回答)を聞くと、「不審なIPアドレスからのアクセス制限」が49.4%、「会員登録時の個人情報確認(氏名・住所・電話番号・メールアドレスなど)」が45.8%、「ログイン施行回数の制限強化(アカウントパスワードクラッキングの対応)」が44.3%、「多要素認証などによる本人確認」が42.7%と上位4項目が4割以上となった。
「クレジットカード不正や悪質転売などの不正注文対策をしているか」については、「対策している」と答えた事業者は69.6%で、年商10億円以上の事業者は78.3%、年商10億円未満の事業者は60.9%で、企業規模が大きい方が対策を実施している割合が高い。
「実施している不正注文対策」を聞くと、トップは本人認証(EMV3—Dセキュア)」が65.2%となり、前回同様にトップとなったが、システム開発などの導入コストや負荷を理由に「今後もEMV3—Dセキュアは採用しない」とする事業者も一定数存在する。
一方、「不正ログインの被害にあったことがあるか」を聞くと、「経験あり」が56.2%で、とくに年商10億円以上の事業者は64.2%となり、企業規模が大きいほど被害が発生しやすい傾向が見られた。
「不正ログインの発覚経路」(複数回答)については、「通常とは異なる挙動(アクセス数やログイン失敗の急増など)を社内で検知」が52.1%と最多で、「顧客からの問い合わせ・被害報告で気づいた」が46.0%、「社内システムのモニタリング・ログ解析で検知」が36.0%、「不正検知サービスやセキュリティツールからのアラート」が32.8%と続いた(図表を参照)。
また、「カード不正利用や悪質転売などの不正注文被害にあったことがあるか」を聞いた結果、「経験あり」は全体の38.0%で前回調査の41.8からわずかに減少した。年商10億円以上の事業者は45.1%、年商10億円未満の事業者は30.8%となり、年商で大きな差がついた。