ネット通販における安全なインフラ作りに貢献するかっこはこのほど、EC事業者の不正被害や対策に関する実態調査を実施し、その結果を公表した。約35%が不正注文被害にあったことがあり、約75%が不正注文対策を実施していることなどがわかった。
日本クレジット協会の発表によると、クレジットカード番号等の情報を盗まれ不正に使われる「番号盗用被害」が2022年度は過去最多の311億円なった。2023年1~9月においてもすでに291億円を超えており、さらなる被害拡大が予測される。情報漏えいの要因の1つであるフィッシング被害についても、2022年度の報告件数は過去最多の96万8832件となり、2017年から5年間で98.7倍にも増加している。
こうした状況を踏まえ、かっこは、EC事業者で不正注文対策に関わる担当者を対象に、EC事業者における不正注文やフィッシング詐欺などのセキュリティ意識や不正対策の実態についての独自の調査を実施した。調査時期は2023年11月で、有効回答数は549件。今回で3度目の実態調査となり、業界の動向の把握に貢献する。
改正割賦販売法でクレジットカードの不正対策が義務化されたことを知っているかを尋ねた問いでは、「内容までよく知っている」と答えた人は72.5%だった。前年の同調査の65.3%から7%増加し、セキュリティ意識が高まっているといえる結果となった。
フィッシング対策協議会が公表している「フィッシング対策ガイドライン」を知っているかを尋ねた問いでは、「内容までよく知っている」が67.9%が、「名前は知っている」が27.5%だった。この問いの回答を企業規模別に見ると、年商10億円未満では「内容までよく知っている」は59.1%に留まったのに対し、年商10億円以上では77.1%が「内容まで良く知っている」と回答しており、企業規模によって意識の違いがみられた。
不正対策としての本人認証の1つであるEMV3-Dセキュアの2025年3月までの導入の必須化について、知っているかを尋ねた問いでは、全体の76.5%が知っていると回答した。これを企業規模別に見ると、「知っている」の割合は、年商10億円未満が68.2%、年商10億円以上が84.7%という結果となった。
不正被害にあったことがあるかを尋ねた問いでは、38.1%が「被害にあった」と回答。3社に1社は被害にあっていることがわかった。受けたことのある被害内容では、「チャージハック(クレジットカード不正利用)」が22.9%ともっとも多く、「悪質転売」(14.5%)、「後払い未払い」(13.9%)と続いた。
直近1年で不正注文被害にあった回数は、「4~7回」が29.6%ともっとも多く、年間の被害金額は「25万円~50万円」が21.7%ともっとも多い結果となった。
自社のECサイトがフィッシングなどのなりすましに悪用されたことがあるかを尋ねた問いでは、38.1%が「悪用されたことがある」と回答した。被害内容は、住所、メールアドレス、電話番号、クレジットカード情報などの「個人情報の漏洩」が35.8%と最多で、個人は特定できないIDなどの「顧客のログイン情報の漏洩」(31.2%)、「アカウントの乗っ取り」(20.3%)と続いた。
クレジットカード不正や悪質転売などの不正注文対策をしているかを尋ねた問いでは、74.9%が「対策している」と回答した。フィッシング対策をしているかをたずねた問いでは、「ツールにて対策」が49.2%、「自社で対策」が41.0%と、およそ9割がなんらかの対策をしていることが分かった。
実施している対策方法をたずねた問い(複数回答)では、本人認証である「3Dセキュア1.0」を導入しているとの回答が23.3%ともっとも多かった。一方で、本人認証の「EMV-3Dセキュア」は15.8%に留まった。
「EMV-3Dセキュア」に関する不満や懸念している点を尋ねた問い(複数回答)では、「ランニングコスト」が最多の36.1%で、「リスク判定のカスタマイズができない」(22.9%)、「導入コスト(システム開発費用)」(20.1%)と続いた。コストに関する懸念が多いことが分かった。
実施しているフィッシング対策は、「送信ドメイン認証(DMARC)」が38.9%ともっとも多く、僅差で「フィッシングサイトの監視」が続いた。
これらの結果を受け、かっこは、今回の調査では、クレジットカード不正対策の義務化への認知度が前年比7%増加しており、セキュリティ意識の高まりが示唆されたとしつつ、2022年4月の改正個人情報保護法により個人情報漏洩時の報告・通知を義務化された以降も、個人情報漏洩による被害は拡大しており、今後もより一層、対策の強化が求められるとの見解を示した。
今回の調査は、事業者の対策意識の向上や対策を実施しているにも関わらず、不正被害が増加している状況が確認できる結果となったとし、複雑化、多様化する不正被害に対して、自社対策のみではなく、業界横断的に重層的な対策を実施することが重要だとしている。今回明らかになった不正対策コストやその導入効果についての課題を克服するには、現状を把握し、投資対効果に見合った有効性の高い対策を講じていくことが、今後より重要視されるだろうとの考えを示した。
