「急増する詐欺や不正利用。その実態と対策を総まとめ。EC-CUBE×かっこ×GMO-PG3社共催セミナー」開催レポート

2024.08.19

#ECの知識

EC-CUBE公式アドバイザーに
ご相談いただけます

こんにちは。ネットショップの壷編集部です。

EC市場が拡大する中、EC事業者様を狙う不正利用も増加しています。EC事業者様にとって、不正被害リスクのコントロールは利益率に直結するため、運営上の重要課題です。

「クレジット取引セキュリティ対策協議会」の実行計画でも、EC事業者様のクレジットカード情報の適切な管理や不正利用対策が必須とされています。
特に、2018年3月1日に策定された「実行計画2018」では、具体的に、本人認証（3Dセキュア等）・券面認証(セキュリティコード）・購買履歴データの分析や配送先情報の蓄積等による不正検知の仕組みの導入等、EC加盟店等のリスクに応じた多面的・重層的な不正利用対策を導入することが求められることとなりました。

そこで今回は、急増する詐欺や不正利用の実態と対策について、かっこ株式会社・GMOペイメントゲートウェイ株式会社・株式会社ロックオンの3社共催で開催したセミナーの様子をレポートします。

「オープンソース「EC-CUBE」を使う上で知っておくべきセキュリティの話」
「実行計画におけるセキュリティー対策」
「不正購入によるチャージバック防止！不正検知の仕組みと対策について」
「今までの対策では防ぎきれない！？なりすましログインの実態と対策のご紹介」
まとめ

「オープンソース「EC-CUBE」を使う上で知っておくべきセキュリティの話」

まず始めに、株式会社ロックオン EC-CUBEマーケティングマネージャー梶原直樹の登壇では、近年のECサイトへのサイバー攻撃の実態や、実際の個人情報漏洩事件について紹介し、個人情報漏洩は対岸の火事ではないこと、個人情報漏洩を起こさないための対応策として、IPAのチェックリストを確認する他、以下、5つの対策を紹介させていただきました。

ECサイトのプログラムの脆弱性を確認し、素早くパッチをあてる（参考：EC-CUBEの場合）
サイトの管理パスワードを厳重に管理する
サーバーのOSやプログラムを適切にアップデートする
サイトやサーバー、ネットワークへの不正アクセスを検知する仕組みを導入する（参考：クレカ決済不正検知プラグイン）
わからないことがあれば、制作会社やクレジットカード情報の非保持化相談窓口、セキュリティ診断といったプロに相談する

特に、（1）のリリース情報については、EC-CUBE公式メルマガで配信しますので、ご関心のある方はオフィシャルサイトよりご登録ください。

その他、EC-CUBE本体で行っているセキュリティ対策についてもご紹介し、EC-CUBEとしてセキュリティには最大限努力していること、しかしながら、個別のECサイトのセキュリティについては店舗様の自己責任となるため、しっかりと上記対策を行っていただきたいことをお伝えしました。

EC-CUBE公式アドバイザーが、ツール選びからサイト制作、マーケティング・セキュリティの領域までアドバイスいたします。ご相談窓口はこちら

「実行計画におけるセキュリティー対策」

GMOペイメントゲートウェイ株式会社イノベーション・パートナーズ本部戦略事業統括部イノベーション戦略室　課長代理財津拓郎氏による登壇では、「クレジット取引セキュリティ対策協議会」の実行計画について、以下の通りご紹介しました。

Q：2018年3月31日が対応期限となる、「クレジット取引セキュリティ対策協議会」の定めた実行計画とは？
A：2018年6月1日に施行される「割賦販売法の一部を改正する法律」（｢改正割賦販売法｣）という法律で定められた内容における実務的な指針となります。

Q：実行計画での罰則の規程はあるか？
A：実行計画として罰則はありませんが、法施行後に非保持化の対応ができていない場合、アクワイアラやアクワイアラの指示のもと決済代行が、調査・是正指導を行うことが義務付けられています。繰り返しの是正指導にも関わらず、非保持化や不正使用対策が実施されていない加盟店は、最悪のケースとして、加盟店契約を打ち切られることも考えられますので、早急な対応が求められています。

Q：電話で注文を受けているケースや、出先で営業が受注するケースは、範囲外ですか？
A：お客様の代わりにオペレーターがクレジットカード情報を入力する場合、自社のパソコンにクレジットカード情報が通過している状況となるため、非保持化の対応が必要です（例：自動音声応答で入力させる方法、専用のタブレット端末への入力、PCIDSS準拠のコールセンターへの委託、PCIDSSの取得等）。

以上のように、2018年3月31日までの対応が難しい場合でも、法令違反とならないよう、2018年6月1日の施行日までには、やるべきことを整理して対応していただく必要があります。
ご対応がまだの方は、クレジットカード情報の非保持化の対応方法をご確認いただき、具体的な相談を進めてください。

「不正購入によるチャージバック防止！不正検知の仕組みと対策について」

かっこ株式会社執行役員ソリューション事業本部本部長柴田敦氏からは、クレジットカード不正被害の被害状況やその手法の他、被害にあったらどのようなことが起こるのか、また、すぐに開始できる不正購入対策、不正購入検知の仕組みや効果などを詳しくお話いただきました。

クレジットカードの不正利用対策は、改正割販法の施行により、2018年6月1日より義務化されますので、対応が必要です。
さらに、不正被害にあった場合、EC事業者は「被害者」になるだけでなく、個人情報の漏洩などによって「加害者」になる可能性が高く、企業の社会的信用に大きな影響を与えることになります。

よって、EC事業者様に必要な対策は、

盗まれない
使わせない

の2点となります。

クレジットカード情報や個人情報を盗まれないための対策としてはO-motion、不正に入手したクレジットカードを使わせないための対策としては、「EC-CUBEクレカ決済不正検知プラグイン」（Fraud Finder）といったサービスの導入が有効です。

不正入手したクレジットカードを使わせないための「EC-CUBEクレカ決済不正検知プラグイン」

不正検知サービスとは、「商品の配送前に、注文時に使われたクレジットカードが不正に利用されているものかどうかを確認できるサービスです。
高額商品の発送時や、過去にチャージバックになった配送先への発送など、チャージバックが懸念される商品の発送時に活用されています。

EC-CUBEオーナーズストアで配布されている「EC-CUBEクレカ決済不正検知プラグイン」を利用いただくと、商品の出荷前に、不正取引を検知することができるようになり、チャージバック被害を最小限に抑えることができます。

・本プラグインのご利用イメージ
EC-CUBEから「不正検知審査 CSV」を FraudFinder 管理画面にアップロードすると、数秒後に OK、NG、Review の 3 つに判断します。
OK は出荷、NG は出荷 Stop、Review（※）は購入者様への確認等を行っったうえで EC事業者様にて出荷のご判断をいただきます。
※ NG とはされないものの、怪しい情報がある場合は Reviewとなり、（1）クレジットカード会社、決済代・会社等に属性確認（2）本人への架電による確認、いずれかをおすすめするメッセージを表示します。

EC-CUBEをお使いの事業者様は、プラグイン導入により、ECサイトへのシステム改修のコストをかけることなく、初期無料・月額1,000円からの低価格で、かっこの不正検知を利用することが可能となります。

「今までの対策では防ぎきれない！？なりすましログインの実態と対策のご紹介」

クレジットカード情報や個人情報を盗まれないための「O-motion」

続いて、かっこ株式会社ソリューション事業本部事業開発ディビジョン事業開発グループアシスタントマネージャー川口祐介氏の登壇では、クレジットカード情報や個人情報を盗まれないための対策として有効なO-motionのご紹介をいただきました。

不正アクセスの手法は年々巧妙化しており、その中でも、他人のID/パスワードを利用した不正ログインによる会員情報流出等の被害が急増しています。
その手口は、Webアプリケーションの脆弱性を付いた攻撃、DDos攻撃、ポートスキャンなどのサイバー攻撃といったものです。

かっこのO-motionでは、jsタグを埋め込むだけという軽微な対応で、ログイン時の挙動や端末情報をリアルタイム分析し、不正ログインを防止することができます。
デバイス情報だけでなく、ユーザーのアクセス時の捜査情報も含め、なりすまし等の不正を判定・識別しますので、従来型のuser_agent、Cookie等では判別しきれなかった、正常ユーザーと不正者について判別が可能です。

一般に、不正利用対策として、画像・パスワード等の認証を強化するとお客様の使い勝手は下がるため、カゴ落ちへの懸念から、ECサイトでの導入障壁は高いものとなっています。
O-motionでは、お客様（正常ユーザー）のユーザビリティを損なうことはないため、ECサイトとの相性は非常によいと言えます。