不正注文検知サービスなどを手がけるかっこはこのほど、EC事業者の不正被害や対策に関する実態調査の結果を公表した。

　クレジットカード番号などの情報を盗まれて不正に使われる「番号盗用被害」が年々増加しており、日本クレジット協会の発表によると2023年は過去最多の504億円に上った。

　被害は22年から2年連続で約100億円ずつ拡大しており、今後も被害の増加が予測されることから、今年3月末までにすべてのEC事業者に対し、クレカ不正利用対策の一つである本人確認「EMV3-Dセキュア」の導入必須化やクレカ不正利用につながる不正アクセス対策が求められるなど、対策強化の動きはより活発化していくと見られている。

　こうした状況を踏まえ、かっこはEC事業者における不正注文や不正アクセスなどのセキュリティ意識や、不正対策の実態について独自に調査を実施した。調査は昨年11月、EC事業者で不正注文対策にかかわる担当者を対象にネットアンケートで実施し、550件の有効回答を得た。

　同調査では「25年3月末までにEMV3-Dセキュアの導入が必須化されていることを知っているか」を聞いた結果、「知っている」と回答したのは87.6%で、1年前の調査から認知度は11.1ポイント上昇した。

　また、「クレジットカード・セキュリティガイドライン5.0版で提唱されている不正利用対策の『線の考え方』を知っているか」を聞くと、「内容までよく知っている」と回答した人は65.6%で、とくに年商10億円以上の事業者に限ると71.4%が内容まで理解している。

　「クレジットカード不正や悪質転売などの不正注文対策をしているか」については、「対策している」と答えた事業者は77.8%で、年商10億円以上の事業者は83.2%となり、昨年同様に8割を超えた。

　「不正注文対策として実施している方法」(複数回答)を聞くと、「本人認証(EMV3-Dセキュア)」が最多の62.1%で、前年の15.8%から約4倍に急増した。次いで「本人認証(認証アシスト)」の58.4%、「券面認証(セキュリティコード)」の50.7%、「属性行動分析(不正検知システム)」の31.3%などとなった。

　一方で、「不正被害(クレジットカード不正、不正転売、後払い未払いなど)にあったことがあるか」については、「被害にあった」と回答したEC事業者は41.8%で、前年から7.4ポイント増加した。

　また、「今まで受けたことがある不正被害(複数回答)」については、「チャージバック(クレジットカード不正利用)」が最多の52.6%で、「後払い未払い」(41.7%)、「悪質転売」(33.0%)、「いたずら注文」(28.7%)、「代引き受取拒否」(24.8%)などと続いた(図表を参照)。

　「直近1年間の不正被害の総額」を聞くと、年商10億円以上の事業者は100万円以上の被害が全体の35.5%を占めており、年商10億円未満の事業者の約3倍だった。

　今回の調査では、EC事業者の不正注文対策への意識が着実に向上しており、とくに3月末までに導入が必須化されるEMV3-Dセキュアについては認知率が大幅に高まった。一方で不正被害の増加に対してさらなる対策強化が急務であることも明らかになった。

　かっこによると、EC事業者は今後、提唱されている不正利用対策の「線の考え方」にあるように、EMV3-Dセキュアの導入で対策が完了したと考えるのではなく、不正の標的とならないように複数の対策を組み合わせた重層的なセキュリティ強化を継続して実施することが不可欠としている。