クレカ不正、悪質転売などの不正注文被害に遭ったことがある割合が41.8％に増加

かっこはこのほど、EC事業者の不正被害や対策に関する実態調査を実施し、その結果を公開した。クレジットカード不正や悪質転売などの不正被害にあった事業者は41.8％で、対策意識の向上やEMV3-Dセキュアの導入が進む一方で、被害は増加していることなどがわかった。 【図表】「EC事業者の不正被害・対策」の調査結果 かっこは、オンライン取引における「不正検知サービス」を中核サービスとして位置づけ、不正注文検知サービス「O-PLUX（オープラックス）」、金融機関や会員サイトにおける情報漏洩対策の不正アクセス検知サービス「O-MOTION（オーモーション）」、フィッシング対策サービス等を提供している。 日本クレジット協会の発表によると、2023年度は、クレジットカード番号等の情報を盗まれ不正に使われる「番号盗用被害」が過去最多の504億円となった。2022年から毎年約100億円ずつ被害が増加しており、今後もさらなる被害増加が予測される。こうした状況を受け、2025年3月末までにすべてのEC事業者に対し、クレカ不正利用対策の1つである本人確認「EMV3-Dセキュア」の導入必須化やクレカ不正利用につながる不正アクセス対策等が求められるなど、対策強化の動きもより活発化していくと考えられるとし、かっこはこのほど、EC事業者における不正注文や不正アクセスなどのセキュリティ意識や不正対策の実態について独自調査を実施した。 2021年度からスタートし、今回で4度目となる実態調査は、2024年11月に実施。EC事業者で不正注文対策に関わる担当者を対象に実施し、550件の有効回答を得た。 2025年3月末までに「EMV3-Dセキュア」の導入が義務化されていることを知っているかをたずねたところ、87.6％が「知っている」と回答し、認知度は前年比で約10％増加した結果となった。 2024年に公表された最新の「クレジットカード・セキュリティガイドライン5.0版」で提唱されている不正利用対策の「線の考え方」について知っているかをたずねた問いでは、内容までよく知っている人は65.6％だった。中でも年商10億円以上の事業者は、71.4％が内容までよく知っていることがわかった。 不正ログインの被害にあったことがあるかをたずねたところ、およそ半数が被害を経験していることがわかった。その内24.4％が直近1年以内に被害にあったと回答している。 被害内容についてたずねた問い（複数回答）では、「不正決済、不正購入（クレカ不正利用・後払い未払等）」が67.8％と最も多く、「情報漏洩（属性情報・クレカ情報等）」（39.9％）、「不正送金（暗号資産・NFT等）」（24.3％）が続いた。 不正注文被害（クレジットカード不正、不正転売、後払い未払いなど）にあったことがあるかをたずねたところ、41.8％が「被害にあった」と回答し、2023年の調査時より7.4％増加した。 これまで受けたことがある不正被害の内容をたずねた問い（複数回答）では、「チャージハック（クレジットカード不正利用）」が52.6％でもっとも多く、「後払い未払い」（41.7％）、「悪質転売」（33.0％）が続いた。 直近1年間の不正被害総額をたずねたところ、全体では「年間25－50万円」の被害が23％ともっとも多い結果となった。年商別に見ると、年商10億円以上の事業者は100万円以上の被害が全体の35.5％を占めており、年商10億円未満の事業者の約3倍だった。 不正ログイン対策をしているかをたずねた問い（複数回答）では、「二要素認証等による本人確認」をしている事業者がもっとも多く54.4％、不正なIPアドレスからのアクセス制限を行っている事業者も53.3％と5割を超えた。一方、「対策していない」と回答した事業者はわずか3.8％だった。 クレジットカード不正や悪質転売などの不正注文対策をしているかをたずねたところ、全体の77.8％が「対策している」と回答した。年商10億円以上の事業者に絞ると83.2％が対策しており、前年の調査同様8割を超えた。 不正注文対策として実施している方法をたずねた問い（複数回答）では、「本人認証（EMV3-Dセキュア）」が62.1％ともっとも多く、前年の15.8％から約4倍に急増した。 不正注文対策として、EMV3-Dセキュアと属性行動分析である不正検知システムを併用するケースは37.6％で、前年の調査から9％増加した。 これらの結果を受け、かっこは、EC事業者の意識の向上と課題について、EC事業者の不正注文対策への意識が着実に向上していることが明らかになったとし、特に2025年3月末までに導入が必須化される「EMV3-Dセキュア」について、認知率が87.6％と前年比10％の増加を記録したことを挙げた。不正利用対策の「線の考え方」の認知率が全体で65.6％、年商10億円以上の事業者では71.4％に達している点にも注目し、セキュリティ意識の向上が業界全体で進行している一方で、年商10億円未満の事業者においては必須化された施策の浸透が充分ではない可能性が示唆されるとの見解を示した。 不正被害の実態と増加傾向については、調査結果から、不正被害が深刻な課題として浮かび上がったとした。不正ログインによる被害を経験した事業者は全体の半数におよび、直近1年間に被害を受けた割合も24％と高水準だったこと、不正注文被害を経験した事業者も前年から7.4％上昇して41.8％となったことを挙げ、この傾向は特にクレジットカード不正利用に起因多いとした。 対策の現状と普及率については、不正ログイン対策を行っていない事業者はわずか3.8％で、IPアドレス制限や本人確認を実施している事業者が5割を超える点に注目し、対策実施率が全体的に高いことは業界全体の意識向上を示しているとした。不正注文対策の実施率も77.8％に達している、不正注文対策としてEMV3-Dセキュアを導入している事業者の割合は前年の15.8％から4倍の62.1％に急増しており、今後のさらなる普及が期待されるとしている。 今後の展望については、調査結果、不正被害の増加に対してさらなる対策強化が急務であることが明らかになったとし、特に年商10億円未満の事業者においては、「EMV3-Dセキュア」の導入必須化の浸透が引き続き重要な課題であることがわかったとした。 EC事業者が今後意識していくべきこととしては、提唱されている不正利用対策の「線の考え方」にあるように、「EMV3-Dセキュア」の導入をもって対策が完了したと考えるのではなく、不正の標的にならないよう、複数の対策を組み合わせた重層的なセキュリティ強化を継続して実施することが不可欠だとの見解を示した。実際に「EMV3-Dセキュア」と属性行動分析である不正検知システムの併用は、2023年が28.0％だったのに対し、2024年は37.6％と増加傾向にあり、重層的な対策がより浸透していくことが期待されるとの考えを示した。