近年、クレジットカードの不正取引が急増しており、国際犯罪組織が関与するケースも増加しています。
詐欺の手口は年々巧妙化し、従来の対策だけでは十分に対応しきれない状況が続いています。
本記事では、不正カード取引の手口やその後の転売の流れを明らかにし、EC事業者が直面するリスクとその対策について詳しく解説します。
1. 国際犯罪組織の手口
相次ぐ不正カード取引とその実態
近年、クレジットカード情報を不正に入手する犯罪が増加しています。
特に2023年は暴力団員が不正に入手したクレジットカード情報を利用し、高額な化粧品や日用品を大量に購入した後、フリマアプリを通じて転売・換金を行っていたことが発覚しました。
決済を複数の少額決済に分けて行うことで、不正検知システムを回避しやすい手法も用いられており、これが不正利用の発覚を遅らせた一因となっています。
同年5~6月には、輸入販売業者や製薬会社など計38社が被害を受け、その総額は約150万円にのぼるとみられています。
背後に潜む組織的犯罪
このような不正カード取引の背後には、国際的な犯罪組織の関与が確認されています。
今回の事件でも、日本国内で活動する暴力団が実行役となったものの、収益の大部分は中国などの海外へと渡ったとみられています。
日本人を狙った詐欺では、海外の犯罪組織が暗躍しているケースは珍しくありません。
東京未来大学こども心理学部の出口保行教授(犯罪心理学)は、性善説が根強い日本人は国際犯罪組織に狙われやすく、フィッシング詐欺による個人情報の流出が多発しており、被害への警戒が必要だとしています。
2. 不正転売の流れ
フィッシング詐欺で個人情報を入手
不正転売スキームの第一段階として、犯罪者はフィッシング詐欺を利用してクレジットカード情報を不正に入手します。
代表的な手口の一つとして、大手企業を装った偽のメールやウェブサイトを用い、カード所有者に情報を入力させる方法があります。
また、SNSやメッセージアプリを通じて偽のキャンペーンを装い、ユーザーを誘導するケースも増えています。
不正カードで商品購入
入手したクレジットカード情報を利用し、犯罪者は高額な化粧品や電子機器など、転売価値の高い商品を購入します。
一度の購入金額が高すぎることが特徴の一つでしたが、最近では不正検知を避けるために複数の少額取引に分散させ、通常の購買行動を装うことがあります。
購入した商品の送付先住所はウィークリーマンションや宅配センターなど、カード所有者の住所とは異なる住所を記載し、所有者本人に気付かれる前に商品を受け取ります。
フリマで転売し換金
購入した商品は、フリマアプリやオークションサイトを通じて転売され、現金化されます。
匿名性が確保されやすいプラットフォームを利用することで、取引の痕跡を残さずに換金することができ、換金後の追跡を困難にする手法が取られています。
このように不正転売スキームは、個人情報の詐取から商品購入・転売・換金まで一連のプロセスを通じて巧妙に実行されており、その件数は増加の一途を辿っています。
3. 広がる不正と対策の難しさ
フィッシング詐欺の巧妙化
近年のフィッシング詐欺はますます巧妙化しています。
攻撃者は公式サイトに酷似した偽メールや偽サイトを作成し、ユーザーが詐欺と見抜くことを困難にしています。
例えば、「あなたの情報が不正利用されています」といった警告メッセージで不安を煽り、騙されたユーザーがログイン情報を入力すると、その情報は即座に攻撃者へ渡ってしまうのです。
さらにAIを活用したリアルタイムフィッシングが進化したことで、ユーザーが入力した情報を瞬時に悪用する手法も登場しています。これにより、ユーザーが気づく前に不正取引が実行できてしまうのが実状です。
フィッシング詐欺のターゲット自体も拡大しており、最近では個人だけでなく、企業の決済担当者や経理部門も標的となっています。
特に、ビジネスメール詐欺(BEC)は深刻な被害をもたらし、適切な対策を怠れば企業は巨額の損失を被る可能性があります。
本人認証なしで進むネット取引のリスク
多くのECサイトや決済プラットフォームでは、利便性を優先するあまり、簡易的な本人認証のみで取引が完了できる仕組みが採用されています。
しかし利便性が優先されすぎると、不正利用を招く大きな要因にもなりかねません。
例えば、本人認証サービス(3Dセキュア)やSMS認証だけでは、フィッシング詐欺によって認証情報が盗まれた場合、簡単に悪用されてしまいます。
また、クレジットカードのセキュリティコードを入力する方式も、カード自体が盗まれた場合には対策として十分とは言えません。
一度流出した情報は発覚するまで繰り返し不正利用され、被害が拡大してしまいます。
とはいえ、強固なセキュリティ対策を導入する一方で、ユーザーの利便性を損なわないバランスを保つことも重要です。
過度な認証手順はユーザーにとって煩わしく感じ、利用離れを引き起こす可能性があります。
こうした状況を踏まえ、強固な本人認証の導入と、ユーザーの負担を最小限に抑えたスムーズな取引体験の両立が求められています。
4. Infront Securityのセキュリティで解決
実在する電話番号による認証
Infront Securityは特許技術に基づき、顧客データベース(DB)に登録されている電話番号と利用者から発信された電話番号を認証サーバで照合し、端末認証を行います。
併せて接続している端末の端末情報を取得し端末DBに情報を登録します。
登録済みの利用者端末以外からのログインは不可能な仕組みです。
電話発信による認証は、本人確認の信頼性が高い認証方法です。
公的な身分証と引き換えに電話契約を行っているため、不正をしようとしている者は身元が特定されることを恐れて通常手元の実機から発信することはありません。このため、転売を目的とした不正購入に高い効果を発揮します。
電話発信者履歴による追跡
万が一、不正者が電話発信を発信することにより、不正行為を行うに至った場合でも、足跡が残ります。
転売などの不正行為が行われた場合は、その後の対処のために証拠を確保することが重要ですが、不正を働いた個人の身元の特定が可能な点が特徴です。
ユーザー体験の向上
一般的には、このようなセキュリティ対策の強化とユーザー体験は相反しがちですが、Infront Securityでは、スムーズでユーザーフレンドリーな認証プロセス により、顧客の離脱率 を大幅に減少させます。
ユーザーはワンタップするだけで初回認証が完了し、照合が完了した後は自動的に接続が切断され、迅速に認証を通過する仕組みです。
2回目以降はIDの入力(電話番号など)だけでログインできます。
パスワードを覚えなくても誰でも簡単にログインできること、セキュリティ対策が強化されることによりサイトに対する安心感が向上するなど、ユーザー体験の向上に伴って、サイトの利用率やコンバージョン率が上昇し、結果として売上が増大します。
Infront Securityはセキュリティの強化とコンバージョン率の向上を両立可能なツールです。
