ECサイトの決済で主流となっているものにクレジットカード決済がある。 ECサイトのクレジットカードの利用が増えるに連れ、増えてきているのがクレジットカードの不正使用である。
日本クレジット協会によると、平成28年のクレジット不正使用の被害は約140億9000万円(前年比117%)、その中でECサイトが損害を被る番号盗用の被害額は87.9億円(対前年比123%) となっており、その被害は右肩上がりの状況となっている。
クレジットカード決済は便利な一方で、クレジットカード不正使用による犯罪件数は増加している。そのため、「チャージバック」という言葉も一般化しつつあるようだ。「チャージバック」とはクレジットカードの不正使用に対して、クレジットカード所有者が損害を受けないためのルールの一つである。
今回はこのクレジットカードの不正使用と「チャージバック対策」について見て行こう。
チャージバックとはクレジットカード所有者がカードの不正使用などの理由により、利用代金の支払いに同意しない場合に、クレジットカードカード会社がその代金の支払いを取り消すことができるというものである。
オンラインショップなどで、チャージバックが発生すると、商品を発送したにもかかわらず、入金されず、損害が発生し、ECサイト事業運営者にとっては大きな痛手となる。
さらに、クレジットカード会社への調査協力や警察への被害届といった労力がかかることもあるので、チャージバックについては確かな対策を行う必要がある。
不正使用の代表的なものには、クレジッカードの盗難によるもの、クレジッカードの情報の漏洩によるもの、クレジットマスターによるものがある。
以下にその概要を整理した。
公共施設などでのロッカーあらしや、車上荒らし、スリ、置き引きなどによる盗難によるカードの不正使用がある。
店舗の場合は商品購入の際のサインやPIN入力など本人確認が行われるが、オンラインショップではサインなどは不要なので、カード本体のカード番号、有効期限の入力で買い物ができるため、不正使用が行われる可能性が高い。
クレジットカード情報、つまり、カード番号、有効期限、セキュリティコードなどがなんらかの方法で盗まれた場合、これらを使って、ECサイトで悪用される可能性がある。
流出の原因としてはスキミング、フィッシング詐欺、パソコン使用時のスパイウェアの作用など、いろいろなパターンが考えられる。
カードを持ち歩かなくでもクレジットカード情報は漏洩、流出する場合もあるのだ。
クレジットマスターとは、コンピュターを使って、使用できるクレジットカード番号を見つけ出すプログラムのこと。
クレジッカード16桁の番号には規則性があり、その利用可能番号を割り出し、不正使用する詐欺行為である。
スキミングやフィッシングとは異なり、現時点ではクレジットマスターへの予防策はない。
クレジットカードの不正使用者に関しては、注文金額が高かったや、転送サービスを利用していたや、短時間に複数回購入があったなど、ある特徴があるようだ。
以下のような購入者の場合は注意が必要である。
不正利用に使用されたカードは、海外発行のカードが多いとある。闇サイトで購入できるカード番号はアメリカ発行のものが多く単価も安いと聞く。
また、チャージバックされるものは、海外発行カードである割合が70%以上という統計もある。
以前はチャージバックとなる金額は20万、30万と高額帯が多かったが、最近では4万後半から7万円半ば、3万円と価格帯も少額になりつつある。
これくらいの金額の方が転売しやすいということが考えられる。 注意が必要な商品は、転売しやすい有名な商品、ブランド商品や人気商品が多く、具体的にはカメラ、ゲーム機、宝石類などを扱う場合には注意が必要である。
注文者の配送先住所や名前が偽名、東南アジア系のカタカナ名、短期滞在型マンション、配送会社の営業所留め、さらに転送サービス会社の住所など不審な購入者は自分がわからないように配送先を指定する場合が多いので注意が必要である。
さらに、gmailやyahooメールなどフリーメールなども使用されることが多い。正式なドメイン入りのアドレスかどうかや、氏名や住所に不自然な点がないか、電話番号など正確に記載されているか、といったことを確認をするだけでも、チャージバックを未然に防ぐことができる。
少しでも怪しいと思ったら、クレジットカード会社に連絡し内容を照会してみることも重要である。
クレジッカード不正使用者の特徴を理解したうえで、ECサイト運営者が取るべき施策も重要である。
下記内容を行うことでも、クレジットカードの不正利用、つまりチャージバックを未然に防ぐ効果はあるだろう。
すべての商品を目視するわけではないが、購入が、新規購入者、高額な価格帯、注文商品が複数あるなど必ず、配送先の住所、氏名、メールアドレスなどを目視チェックする。
例えば、「クレジットカードの不正利用については、注文時に監視しています。不正利用が確認された場合、収集したすべての情報データを警察は提出いたします。当オンラインショップでは皆様のクレジットカードの安全を確保し、不正利用から守るうえでの対応を実施しております。」
など、不正使用者の対応について明確に記述し、不正使用者と敵対する態度を示すことが必要である。
クレジットカードの裏面に記載されている3〜4桁の数字を「セキュリティコード」といい、決済時に入力するようにする。
「セキュリティコード」はカードが手元にある所有者しか知らない情報なので、最低限必要な入力項目とする。
3Dセキュアは、VISA、Mastercard、JCBが推奨する本人認証サービスである。事前に登録した本人でしか知りえない認証パスワードである。
ユーザーは商品購入時に事前登録したパスワードを入力することで、本人認証が行われ、入力したパスワードが事前登録したものと違う場合は決済はされない。
ECサイトに3Dセキュアを導入することで、不正利用が発生した場合のリスクを軽減することが可能となる。
ユーザーがパスワードを忘れた場合やなど購入を中止する可能性はあるが、クレジットカード決済ではカード番号、有効期限、セキュリティコード、そして登録した認証パスワードの入力を合わせて行うことで、第三者によるなりすまし購入などの不正使用を未然に防ぐことができる。
不正使用検知システムは、オンライン利用者が注文時に不正を検知するというもので、なりすましを行って注文を行っているものを事前にキャッチすることが可能なサービスである。
不正使用検知サービスを提供している会社は膨大なビッグデータを所有しており、サービスの中には怪しい注文のみをピックアップして調べることができるものや、全ての注文に関して自動検知をするものなどがある。
月額3,000円から利用できるサービスもあり、被害が多くなる前に、まずは少額から始めてみるのも良いだろう。
サイバーソースが、EC事業者に行ったアンケートによると、43.2%の事業者は「チャージバック防止のための対策」を特に行っていないと回答しており、20%台で「3Dセキュアの実施」「自社内での受注審査」と続いている。
不正使用対策を強固にすることは、ユーザーにとっては「買いにくいサイト」買い物のハードルが高くなる可能性が高い。
ハードルを少しでも低くするには、注文データを監視する不正検知サービスなどの設置することでユーザーに負担にならないサービスを提供できるのではないかと思われる。自社ECサイトにとっての「チャージバック対策」は、何が最適解なのか、改めて考える必要があるだろう。
