「フィッシング・クレジットカード不正の現状と対策に関する勉強会」が、一般社団法人セーファインターネット協会の主催で、9月1日にオンライン配信で開催された。
近年、増加傾向にあるフィッシング・不正決済を業界横断で抑制するための実態把握と対策の連携を目的とする本勉強会。
今回はそこで実施された警察庁や経済産業省の担当者による基調講演の内容と、EC事業者におけるフィッシング・クレジットカード不正の現状と取り組みについて紹介する。
EMV3-Dセキュアの原則化を目指す
フィッシングサイトや犯行の手口が多様化・巧妙化でさまざまなフィッシングや不正決済の被害が広がっている。2021年における全国のクレジットカード不正利用被害額は330億円と過去最高を記録し、フィッシングに関しても2021年の発生件数は52万6504件と2020年比で約2.3倍に。
EC事業者、決済事業者はユーザーへの注意喚起や独自のセキュリティ施策などの個社での対策強化に加え、EC業界全体で連携し、セキュリティ対策に取り組んでいくことが必要不可欠となっているという。
警察庁サイバー警察局サイバー企画課課長補佐・清川敏幸氏はクレジットカードの不正利用の手口などを紹介。都道府県警察から報告される情報をもとに、情報分析を行っている警察庁のフィッシングに対する取り組みについて語った。
「私たちの部署で行っているフィッシング対策としては、セキュリティベンダーさんへの情報提供があります。ウイルス対策ソフトの利用者がフィッシングサイトの閲覧をブロックしたり、警告表示を出したりする仕組みはかねてよりありましたが、今年4月からフィッシングサイトの情報を集める取り組みを全国に通知し、フィッシングURL取扱数は最大で月に2~3万に急増しました」
最近のフィッシングサイトの特徴としては、カード会社を騙ったメールが届くパターンが目立つそうで要注意とのことだ。
「メールを送る側・事業者様が対応することで、なりすましメールが利用者様へ届かなくなる仕組みもあります。「DMARC」という送信ドメイン認証で総務省も推奨しており、警察庁としても官民提携しながら、事業者様に導入を働きかけていきたいと思っています」
2つ目の基調講演は経済産業省・商取引監督課の小西啓介氏。商取引監督課はクレジットカードの規制をしている規制当局で、同氏はセキュリティ専門官としてサイバー事案や、カード番号の漏洩事案などを担当する。 「クレジットカードは2000年代、スキミングによる偽造カードが社会問題になりました。当時300億円以上の被害があり、ICカード化の推進など長年取り組みが功を奏して減少してきましたが、それに取って代わるかたちでECサイトでの不正利用が急増しています」
令和2年の割賦販売法改正では複雑化しているカード事業者を規定するため、決済代行業者、QRコードの事業者、ECモールの事業者なども規制対象に。それらの事業者にPCI DSSの準拠を求めている。
「PCI DSSはクレジットカードのセキュリティに関する規定で、今年3月に9年ぶりのバージョンアップし、これから移行が始まります。「EMV3-Dセキュア」という本人認証の仕組みの推奨など、オンラインスキミングやフィッシングに対しての対応を規定しています」
「EMV3-Dセキュア」はワンタイムパスワードやデバイスでの認証などシンプルかつ安全に本人認証が行えるセキュリティ機能。個人情報などの漏洩防止に関するさらなる制度的な措置の必要性の検討や、カード会社が共同する不正検知システムの議論も進めているという。
「クレジットカード使用時のリアルタイム通知や、「DMARC」などの対策も普及させていきたいと思っています。個人情報などの漏洩防止の観点では、法的義務とは別にガイドラインの策定をしているところで、EC加盟店にEMV3-Dセキュアの原則化をしていきたい考えです」
EC事業者が被害実態や対策状況を共有
ヤフーの藤田智子氏は、「ショッピング事業の急速に成長に伴い、不正も増加していましたが、不正検知システム導入などの対策を講じ、2019年を境に横ばいとなりました。リユース事業のヤフオクとPayPayフリマについては、2019年をピークに不正が減少に転じています」と紹介。最新の対策状況について語った。
「ヤフーでは独自開発の不正検知システムを導入しており、人の目視によるチェックの両方を組み合わせた判定フローで、すべての決済トランザクションをリアルタイムに判定しています」
8月17日からはYahoo!ショッピング・PayPayモールにEMV3Dセキュアを導入。システムによる審査後、人間の目視チェックに回していた不正懸念ある決済事案の一部を3Dセキュア2.0の対象とすることで、より強度の高い不正利用対策を実現したという。
続いて、PayPayの水嶋康一朗氏は「予防的なサービスやプロダクト設計」「積極的に不正を探す体制の構築」「不正利用が発生した場合のサポート体制と迅速な事案の調査・分析」に関する同社独自の取り組みを紹介した。
「3Dセキュアのほか、「青いバッジ」と呼ばれる利用実績などに基づく上限額の設定のほか、登録時に1枚のカードが複数アカウントに重複して登録できない仕組みなど、独自のさまざまな登録制御を実施しています。2018年12月、弊社は初の100億円キャンペーンの際、クレジットカード不正利用で世間をお騒がせしてしまったことがございますが、現在の不正発生率は非常に低い水準に抑えられていると考えています」
最後にCtoC、BtoCを含むEC事業、2019年にはスマホ決済サービス「メルペイ」で金融事業にも参画したメルカリからは篠原孝明氏が登壇した。
同社は安心・安全な利用環境の構築を経営の最重要課題としてとらえ、グループのサービスを横断した不正対策の部門を新設。未然の防止と不正検知後の早期対応の2軸で対策を推進している。
「当社では2021年末から非常に不正利用が増え、クレジットカードの不正利用額は、今年度前半の半年で23億円、フィッシング詐欺に関しては半年で9億円という被害額です。ただ、7月以降の不正件数は大幅に減少傾向にあります。特にEMV3Dセキュアが非常に有効でした。お客さまのパスワード忘れやパスワード入力が手間で最終的な決済に至らない“カゴ落ち”など、従来の3Dセキュア1.0での懸念点が払拭されていることも大きなメリットでした」
EMV3Dセキュアを実装する前後比では、決済の到達率決済離脱率は2%程度と、カゴ落ちの影響を極小化することに成功しているという。
「不正利用の金額が導入前の2021年12月比で、7月実績だと約10分の1まで抑えることに成功しました。今後は不正の決済だけではなく、入口部分でしっかり不正を捕捉していくことが大切と考え、不正ログインなどの対策をいっそう強化してまいります」
個人でもできる基本的な対策としては、不審なメール・SMSのリンクは開かず、公式サイトからアクセスすること、クレジットカードの利用明細を確認することなどが大切なようだ。