「急増する詐欺や不正利用。その実態と対策を総まとめ。EC-CUBE×かっこ×GMO-PG3社共催セミナー」開催レポート

[7,833 views]

20180223

こんにちは。ネットショップの壷編集部です。

EC市場が拡大する中、EC事業者様を狙う不正利用も増加しています。EC事業者様にとって、不正被害リスクのコントロールは利益率に直結するため、運営上の重要課題です。

「クレジット取引セキュリティ対策協議会」の実行計画でも、EC事業者様のクレジットカード情報の適切な管理や不正利用対策が必須とされています。
特に、2018年3月1日に策定された「実行計画2018」では、具体的に、本人認証(3Dセキュア等)・券面認証(セキュリティコード)・購買履歴データの分析や配送先情報の蓄積等による不正検知の仕組みの導入等、EC加盟店等のリスクに応じた多面的・重層的な不正利用対策を導入することが求められることとなりました。

そこで今回は、急増する詐欺や不正利用の実態と対策について、かっこ株式会社・GMOペイメントゲートウェイ株式会社・株式会社ロックオンの3社共催で開催したセミナーの様子をレポートします。

「オープンソース「EC-CUBE」を使う上で知っておくべきセキュリティの話」

thum04

まず始めに、株式会社ロックオン EC-CUBEマーケティングマネージャー 梶原直樹の登壇では、近年のECサイトへのサイバー攻撃の実態や、実際の個人情報漏洩事件について紹介し、個人情報漏洩は対岸の火事ではないこと、個人情報漏洩を起こさないための対応策として、IPAのチェックリストを確認する他、以下、5つの対策を紹介させていただきました。

(1)ECサイトのプログラムの脆弱性を確認し、素早くパッチをあてる(参考:EC-CUBEの場合
(2)サイトの管理パスワードを厳重に管理する
(3)サーバーのOSやプログラムを適切にアップデートする
(4)サイトやサーバー、ネットワークへの不正アクセスを検知する仕組みを導入する(参考:クレカ決済不正検知プラグイン
(5)わからないことがあれば、制作会社クレジットカード情報の非保持化相談窓口セキュリティ診断といったプロに相談する

特に、(1)のリリース情報については、EC-CUBE公式メルマガで配信しますので、ご関心のある方はオフィシャルサイトよりご登録ください。

その他、EC-CUBE本体で行っているセキュリティ対策についてもご紹介し、EC-CUBEとしてセキュリティには最大限努力していること、しかしながら、個別のECサイトのセキュリティについては店舗様の自己責任となるため、しっかりと上記対策を行っていただきたいことをお伝えしました。

「実行計画におけるセキュリティー対策」

thum03

GMOペイメントゲートウェイ株式会社 イノベーション・パートナーズ本部 戦略事業統括部 イノベーション戦略室 課長代理 財津 拓郎 氏による登壇では、「クレジット取引セキュリティ対策協議会」の実行計画について、以下の通りご紹介しました。

Q:2018年3月31日が対応期限となる、「クレジット取引セキュリティ対策協議会」の定めた実行計画とは?
A:2018年6月1日に施行される「割賦販売法の一部を改正する法律」(「改正割賦販売法」)という法律で定められた内容における実務的な指針となります。

Q:実行計画での罰則の規程はあるか?
A:実行計画として罰則はありませんが、法施行後に非保持化の対応ができていない場合、アクワイアラやアクワイアラの指示のもと決済代行が、調査・是正指導を行うことが義務付けられています。繰り返しの是正指導にも関わらず、非保持化や不正使用対策が実施されていない加盟店は、最悪のケースとして、加盟店契約を打ち切られることも考えられますので、早急な対応が求められています。

Q:電話で注文を受けているケースや、出先で営業が受注するケースは、範囲外ですか?
A:お客様の代わりにオペレーターがクレジットカード情報を入力する場合、自社のパソコンにクレジットカード情報が通過している状況となるため、非保持化の対応が必要です(例:自動音声応答で入力させる方法、専用のタブレット端末への入力、PCIDSS準拠のコールセンターへの委託、PCIDSSの取得等)。

以上のように、2018年3月31日までの対応が難しい場合でも、法令違反とならないよう、2018年6月1日の施行日までには、やるべきことを整理して対応していただく必要があります。
ご対応がまだの方は、クレジットカード情報の非保持化の対応方法をご確認いただき、具体的な相談を進めてください。

「不正購入によるチャージバック防止!不正検知の仕組みと対策について」

thum01

かっこ株式会社 執行役員 ソリューション事業本部 本部長 柴田 敦 氏からは、クレジットカード不正被害の被害状況やその手法の他、被害にあったらどのようなことが起こるのか、また、すぐに開始できる不正購入対策、不正購入検知の仕組みや効果などを詳しくお話いただきました。

クレジットカードの不正利用対策は、改正割販法の施行により、2018年6月1日より義務化されますので、対応が必要です。
さらに、不正被害にあった場合、EC事業者は「被害者」になるだけでなく、個人情報の漏洩などによって「加害者」になる可能性が高く、企業の社会的信用に大きな影響を与えることになります。

よって、EC事業者様に必要な対策は、
・盗まれない
・使わせない
の2点となります。

クレジットカード情報や個人情報を盗まれないための対策としてはO-motion、不正に入手したクレジットカードを使わせないための対策としては、「EC-CUBEクレカ決済不正検知プラグイン」(Fraud Finder)といったサービスの導入が有効です。

不正入手したクレジットカードを使わせないための「EC-CUBEクレカ決済不正検知プラグイン」

不正検知サービスとは、「商品の配送前に、注文時に使われたクレジットカードが不正に利用されているものかどうかを確認できるサービスです。
高額商品の発送時や、過去にチャージバックになった配送先への発送など、チャージバックが懸念される商品の発送時に活用されています。

EC-CUBEオーナーズストアで配布されている「EC-CUBEクレカ決済不正検知プラグイン」を利用いただくと、商品の出荷前に、不正取引を検知することができるようになり、チャージバック被害を最小限に抑えることができます。

20180131_cacco02

・本プラグインのご利用イメージ
EC-CUBEから「不正検知審査 CSV」を FraudFinder 管理画面にアップロードすると、数秒後に OK、NG、Review の 3 つに判断します。
OK は出荷、NG は出荷 Stop、Review(※)は購入者様への確認等を行っったうえで EC事業者様にて出荷のご判断をいただきます。
※ NG とはされないものの、怪しい情報がある場合は Reviewとなり、(1)クレジットカード会社、決済代・会社等に属性確認(2)本人への架電による確認、いずれかをおすすめするメッセージを表示します。

EC-CUBEをお使いの事業者様は、プラグイン導入により、ECサイトへのシステム改修のコストをかけることなく、初期無料・月額1,000円からの低価格で、かっこの不正検知を利用することが可能となります。

「今までの対策では防ぎきれない!?なりすましログインの実態と対策のご紹介」

thum02

クレジットカード情報や個人情報を盗まれないための「O-motion」

続いて、かっこ株式会社 ソリューション事業本部 事業開発ディビジョン 事業開発グループ アシスタントマネージャー 川口 祐介氏の登壇では、クレジットカード情報や個人情報を盗まれないための対策として有効なO-motionのご紹介をいただきました。

不正アクセスの手法は年々巧妙化しており、その中でも、他人のID/パスワードを利用した不正ログインによる会員情報流出等の被害が急増しています。
その手口は、Webアプリケーションの脆弱性を付いた攻撃、DDos攻撃、ポートスキャンなどのサイバー攻撃といったものです。

かっこのO-motionでは、jsタグを埋め込むだけという軽微な対応で、ログイン時の挙動や端末情報をリアルタイム分析し、不正ログインを防止することができます。
デバイス情報だけでなく、ユーザーのアクセス時の捜査情報も含め、なりすまし等の不正を判定・識別しますので、従来型のuser_agent、Cookie等では判別しきれなかった、正常ユーザーと不正者について判別が可能です。

一般に、不正利用対策として、画像・パスワード等の認証を強化するとお客様の使い勝手は下がるため、カゴ落ちへの懸念から、ECサイトでの導入障壁は高いものとなっています。
O-motionでは、お客様(正常ユーザー)のユーザビリティを損なうことはないため、ECサイトとの相性は非常によいと言えます。

まとめ

セミナーに参加された方からは、以下のような声をいただきました。

– 実行計画の概要、トークン型の処理イメージがつかめました
– お客様に電話受注を扱う業者がいる、保持/非保持のパターンを実行計画で確認する必要がある
– 後払いの方が不正対策が大変という知見を得ました。話が分かりやすかったです
– jsタグでユーザ識別というかっこのソリューションは興味深いと感じました

今回のセミナーには、多くの方にご参加いただき、ありがとうございました。
クレジットカード情報の非保持化対策や、不正対策についてご興味をお持ちの方は、以下よりお問い合わせください。

■お問い合わせ先
EC-CUBE クレジットカードの非保持化対応 特設ページ
EC-CUBEペイメント(GMOペイメントゲートウェイ株式会社)
EC-CUBEクレカ決済不正検知プラグイン(かっこ株式会社)

文中に含まれる「株式会社ロックオン」は、2019年8月1日より「株式会社イルグルム」へ商号を変更しました。

ライタープロフィール

ネットショップの壺編集部
ネットショップオーナーや運営担当者のためのお役立ち情報を発信し、世の中のECをより活性化するべく、日夜情報収集に励んでいる。