コラム
【海外事例】デリバリー詐欺の48%は「返金詐欺」 | 新規アカウント大量作成を止める「電話番号...
「届いていない」と言われたら、確かめる術はあるか ある飲食店オーナーが、デリバリーアプリ経由の注文に頭を抱えていました。 注文どおりに調理し、配達員に渡した。にもかかわらず、数時間後に「商品が届いていない」と返金申請が入る。月に何件かなら泣き寝入りも仕方ない、と諦めていたところ、同じ氏名で住所だけが少し違う注文が、別アカウントで何度も入っていることに気づいたといいます。これはフードデリバリー業界に限った話ではありません。後払い決済を使ったECや、無料トライアルを設けるサブスクリプション事業でも、同じ構造の不正が日常的に発生しています。 そして共通する手口は、ひとつに集約されます。 「新規アカウントを大量に作る」という、極めて単純な攻撃です。 本記事では、業界調査が示す不正の実態と、なぜ既存の本人確認手段が突破されてしまうのか、そして「電話番号」という意外な角度からの解決策を整理します。 1. 【海外事例】フードデリバリー詐欺の「48%は返金詐欺」だった オンライン不正検知ベンダーのSift社が公表した調査レポートによれば、フードデリバリープラットフォームで発生している消費者詐欺のうち、約48%が「返金詐欺」に分類されるとされています。(出典:Business Insider Japan掲載のSift社レポート言及記事、2025年2月26日 https://www.businessinsider.jp/article/2503-food-delivery-customers-fraud-asking-for-refunds-orders-they-got/ )返金詐欺とは、商品が正常に配達されたにもかかわらず、「届いていない」「中身が違った」と虚偽の申請を行い、返金や代替品の発送を受け取る行為を指します。記録上は注文・配達ともに完了しているため、店舗側からは反証が難しく、結果として泣き寝入りに近い処理が積み上がっていきます。 レポートが指摘する手口の特徴は、二つあります。 ひとつは「複数のメールアドレスを使い分け、新規アカウントを次々と作成する」こと。もうひとつは「初回限定クーポンや配送無料特典を使い回し、実質的に半額以下で食事を入手する」ことです。返金詐欺と無料クーポン乱用は、同じ人物が同じ手口で連続的に行うケースが多く、業界全体で問題視されています。 2. 後払い決済でも進む「なりすまし注文」 同じ構造の問題は、ECサイトの後払い決済領域でも観測されています。 NP掛け払いやNP後払いを提供するネットプロテクションズ社の運用案内には、第三者が架空の氏名・住所・電話番号を入力し、本人になりすまして商品を購入する事例について、注意喚起と対応プロセスが整理されています(出典:株式会社アスターリンク「NP掛け払い・NP後払いによるいたずら(なりすまし)」https://www.aster-link.co.jp/posts/np-kakebarai/ 後払い決済の構造的な弱点は、購入時点で支払いが発生しないため、本人確認の精度が「氏名・住所・電話番号」程度にとどまる点にあります。クレジットカードのように与信審査やカード情報の照合プロセスが入らないため、「他人の住所や架空の住所を登録し、転送サービスや営業所止めで荷物を受け取る」といった手法が成立してしまいます。 参考までに、日本クレジット協会が2026年3月に公表したデータでは、2025年通年のクレジットカード不正利用被害額は510.5億円で、このうち番号盗用による被害が475.4億円を占めました。番号盗用比率は約93%です。(出典:日本クレジット協会発表、ECのミカタ記事 https://ecnomikata.com/ecnews/marketing/49820/ )被害総額は11年ぶりに前年比減少となりましたが、番号盗用-つまり「なりすまし型」の構造そのものは、依然として9割以上を占め続けています。 カード決済でも、後払いでも、フードデリバリーでも。 不正の入口は、いずれも「アカウントを新しく作る」という同じ動作に集約されているのです。 3. 共通する手口は「新規アカウントの大量作成」 不正のパターンを並べてみると、表層の手口は違っても、根底のメカニズムは同じです。 ・メールアドレスを使い分け、新規ユーザーとして次々に登録する ・入手したカード番号や個人情報を、複数のアカウントに割り当てる ・初回特典・無料クーポン・トライアル価格を、何度も適用させる ・返品・返金・キャンセル申請を、各アカウントから散発的に送る 事業者側の視点で見ると、被害は「個別の不正注文」として計上されますが、攻撃者側から見れば「ひとつのオペレーション」です。一人の人物が複数のアカウントを回しているケースが多く、業界レポートでもこの構造が繰り返し指摘されています。...
お知らせ一覧
3Dセキュア導入後、決済承認率が下がっていませんか? 見落とされがちな「運用方式」の選択肢とは?
2025年3月末、すべてのEC加盟店に対して3Dセキュア2.0(EMV 3-Dセキュア)の導入が義務化されました。 クレジットカードの不正利用被害額は2024年に555億円と過去最高を更新しており、義務化そのものは避けられない流れでした。 しかし、対応を終えた多くのEC事業者が今、別の問題に直面しています。 「3Dセキュアを入れたのに、CVR(コンバージョン率)が下がったまま戻らない」「カゴ落ちが増えた実感がある」――こうした声が、導入後に急増しています。 実は、3Dセキュアには複数の運用方式があり、どの方式を選ぶかによって売上への影響はまったく異なります。 本記事では、JCA(日本クレジット協会)が定める3つの運用方式の違いと、CVR低下の構造的な原因、そして売上を回復させるためのアプローチを解説します。 1.3Dセキュア義務化後にEC事業者が直面している現実 義務化は「対応して終わり」ではなかった 3Dセキュア2.0の導入義務化により、多くのEC事業者がシステム対応を完了しました。 しかし、導入後の月次レポートを見ると、CVRが導入前の水準に戻っていないケースが少なくありません。 YTGATE社の調査によると、EMV 3-Dセキュア導入後に決済承認率が95%台から85%前後へ低下し、8割の加盟店が「カゴ落ちが増えた」と実感しています。 65%以上の消費者が認証エラーを経験しているというデータもあり、「義務化対応=問題解決」とはなっていないのが実態です。 3Dセキュアは不正利用を防ぐための仕組みですが、導入しただけでは売上への悪影響を最小化できない――この認識が、まず重要な出発点になります。 3Dセキュアの運用方式は「1つ」ではない 見落とされがちですが、JCA(日本クレジット協会)は3Dセキュアの運用について、不正対策のレベルに応じた3つの方式を認めています。 「方式①(リスク判断で認証)」は、包括的な不正防止体制が整っている加盟店が対象で、最大98%の取引を3DS認証なしで処理できます。AI不正検知や24時間体制の運用が必要で、カード会社の個別承認も求められます。 「方式②(初回登録時だけ認証)」は、カード登録時のみ3DS認証を実施し、以降のリピート購入は加盟店のリスク判断で処理するモデルです。アカウント乗っ取り防止(ATO対策)の実装が前提条件となります。 「方式③(毎回認証)」は、すべての決済で3DS認証を通すデフォルト運用です。特別な条件はなく、方式①②に該当しない加盟店は自動的にここに分類されます。 現在、大半のEC事業者はこの方式③で運用しています。 そして方式③こそが、CVR低下の構造的な原因になっています。 方式③がCVRを押し下げる「二重の痛み」 方式③で運用する加盟店は、2つの要因の掛け算で売上を失っています。 1つ目は、「追加認証を求められる割合の高さ」です。 3Dセキュア2.0ではリスクベース認証が導入されており、低リスクと判定された取引は追加認証なし(フリクションレス)で通過します。しかし、世界平均でも認証なしで通過できる割合は58〜64%にとどまっています(Ravelin社グローバル決済レポート)。つまり、全取引の約40%で追加認証が発生しているのが現状です。 3Dセキュア2.0のチャレンジ認証は、従来の固定パスワード方式から、ワンタイムパスワード(OTP)や生体認証へと移行が進んでいます。OTPはSMS・メール・専用アプリで発行され、「パスワードを忘れて離脱する」という1.0時代の課題は改善されました。 しかし、OTPには別の離脱要因が存在します。SMSが届かない(スパム判定・電波状況)、認証アプリの事前設定をしていない、メールの受信に気づかない――こうした理由で認証が完了できず、離脱するケースが依然として発生しています。 2つ目は、「追加認証画面での離脱率」です。 OTPや認証画面に遷移した利用者のうち、15〜25%が離脱すると報告されています。特に60代以上のカード会員では3Dセキュアの登録率自体がわずか約16%にとどまっており(かっこ社調査)、高単価商材や健康食品など、高齢者層が主要顧客であるECサイトへの影響は深刻です。...
お知らせ一覧
不正ログイン対策、もう先延ばしできない セキュリティチェックリストが届いたEC加盟店へ【202...
近年、不正ログインや不正利用への対策は、一部の大手事業者だけの課題ではなく、規模を問わずすべてのEC加盟店に求められるテーマになっています。2025年3月に公表されたクレジットカード・セキュリティガイドライン6.0では、3Dセキュアの義務化に加え、不正ログイン対策も必須要件として明確化されました。その影響を受け、決済代行会社(PSP)からセキュリティチェックリストが送付され、各加盟店の対策状況を確認する動きが広がっています。 本記事では、なぜ今このタイミングで不正ログイン対策が求められているのか、その背景を整理したうえで、売上と両立し得る現実的な選択肢を考えていきます。 1. なぜ今、EC加盟店は不正ログイン対策に「向き合わざるを得ない」状況になっているのか 義務化を理解しつつも対応を後回しにしてきた背景 不正ログイン対策や本人認証の強化が求められる流れ自体は、2024年から2025年にかけて、すでに業界内で広く共有されていました。実際、経済産業省のガイドライン改訂や、不正利用被害額の増加といった情報に触れ、3Dセキュアについては対応を完了しているEC加盟店は少なくありません。一方で、不正ログイン対策については、具体的に何をどこまで実装すべきか判断が難しく、CV低下や離脱増加への懸念から、後回しにされがちな領域でもありました。とくに中小規模のECでは、ログインや購入フローに手間が増えることが、そのまま売上減少につながるという感覚が根強くあります。 認証を強化した結果、初回購入やリピート初期で離脱が増えたという話を見聞きし、「セキュリティは重要だが、事業への影響が大きい施策は選びにくい」と判断するのは、当時としては決して不自然な選択ではありませんでした。 結果として多くのEC加盟店は、不正ログイン対策の必要性を理解しつつも、「いずれ対応すべきだが、今ではない」という判断を続けてきたのです。 決済代行会社からのチェックリスト送付が意味するもの 近年、決済代行会社(PSP)からセキュリティチェックリストが送付されるケースが増えています。このチェックリストは、不正ログイン対策や本人認証の実装状況を確認するための書類であり、多くの場合、「Yes」「No」での明確な回答が求められます。 重要なのは、これが単なる形式的な書類提出ではなくなっている点です。 これまで「推奨」や「努力目標」とされてきた対策が、実際に実装されているかどうかを確認・管理する対象へと変わりました。書類上でYesと回答する以上、実運用や仕組みが伴っていることが前提となります。 その結果、セキュリティ対策は加盟店の自主判断に委ねられるものではなく、PSPによって確認される事項として扱われるようになりました。 さらに、チェックリストには提出期限が設けられるケースもあり、これまでのように判断を先延ばしにすることが難しくなっています。 これ以上先延ばしにできない状況で起こり得るリスク セキュリティチェックリストを提出しない、あるいは実装が確認できない場合、PSP側から不正対策未実施と判断される可能性があります。 PSPは多数の加盟店を抱えているため、すべてを個別に精査することは現実的ではなく、判断はどうしても書類ベースにならざるを得ません。 その結果、対策状況が不明確な加盟店は、リスクの高い取引先として内部管理されることになります。即時ではなくとも、状況次第では段階的な制限がかかり、決済停止や利用制限に発展することもあります。 一度停止や制限がかかった場合、その解除には追加資料の提出や再審査が必要となり、想像以上の時間と工数を要するケースも少なくありません。 決済が止まることで発生する売上損失は、事前に対策を講じておくためのコストを大きく上回ることもあります。 こうした背景から、現在は不正被害が発生してから対応するのではなく、未然に防ぐことが前提となっています。 2. IP制限やMFAでは踏み切れない、不正ログイン対策のジレンマ IPアドレス制限が実運用で機能しにくくなっている理由 IPアドレス制限は、比較的導入が容易でコストも抑えやすいことから、不正ログイン対策の第一歩として多くのEC加盟店に採用されてきました。 大きなシステム改修を伴わずに導入できる点は、特に中小規模の事業者にとって現実的な選択肢だったと言えます。また、「海外IPを遮断すれば一定の不正は防げる」という考え方も、過去には一定の効果を発揮してきました。 しかし現在では、VPNやプロキシ、ボットを用いて国内IPや正規ユーザーと同じ地域からアクセスする手法が一般的になり、「海外IP=怪しい」という単純な判別は通用しなくなっています。加えて、モバイル回線ではIPアドレスが頻繁に変動するため、正規ユーザーを誤って遮断してしまうケースも少なくありません。 その結果、IP制限はチェックリスト上では「対策済み」と回答できる一方で、実運用においては不安が残る対策になりやすくなっています。 本人確認を行う仕組みではない以上、手法を変えた不正を完全に防ぐことは難しいのです。 多要素認証(MFA)が離脱やCV低下につながりやすい現実...
お知らせ一覧
【義務化スタート】クレジットカードセキュリティガイドライン6.0、EC事業者が今すぐ取るべき対応とは
クレジットカードを巡る不正利用被害が年々深刻化するなか、経済産業省を中心とした「クレジット取引セキュリティ対策協議会」は、2025年3月に『クレジットカード・セキュリティガイドライン』の最新版となる「6.0版」を公表しました。 本記事では、6.0版で新たに示された主な改訂ポイントと、それに対してEC事業者がどのように対応すべきかを分かりやすく解説します。 1. クレジット・セキュリティガイドライン6.0版の主な改訂ポイント ガイドライン改訂に至った経緯 2023年、クレジットカードの不正利用被害額は541億円に達し、そのうち約9割がECサイトにおける「なりすまし」などの非対面取引で発生しています。 特にログイン情報の乗っ取りや、不正登録による購入行為など、カード番号以外の経路からの被害が急増しており、従来の対策では対応が追いつかない状況となっていました。 従来は、「カード情報を保存しない(非保持化)」、または「保存する場合はPCI DSS準拠」という国際的な基準に従うことで、一定のセキュリティが担保されていました。しかし、攻撃の手法が日々巧妙化するなか、こうした基本対策だけでは十分とは言えなくなってきています。 これを受けて6.0版では、ECサイト自体の安全性を高めるために、管理画面のアクセス制限、Webアプリケーションの脆弱性対策、ウイルス対策ソフトの導入など、具体的な技術的対策が新たに指針として盛り込まれました。 不正利用対策の目指す「線の考え方」 クレジットカード・セキュリティガイドライン6.0版では、不正利用対策の考え方として「線の考え方」が改めて強調されています。従来から示されていたこの方針に対し、6.0版ではより具体的・実践的な指針が追加された形となり、実務レベルでの対応が明確になりました。 これまでは「決済時の本人確認」を中心とした対策が主流でしたが、6.0版では決済前・決済時・決済後という一連のフロー全体を通じて不正を防止する、包括的・多層的なセキュリティ対策の必要性が明示されています。 特に、決済前の「不正ログイン対策の実施」と、決済時の「EMV 3-Dセキュアの導入」は、EC加盟店に求められる重点施策として位置づけられており、取引の早い段階からセキュリティの線を引くための重要な柱とされています。 とりわけ決済前には、「会員登録」「ログイン」「属性変更」といった各操作にも不正のリスクが潜んでおり、初期段階での対策を通じて被害の未然防止を図るアプローチが求められています。 2. 決済前のセキュリティ強化ポイント 不正ログイン対策の導入が“義務化”された背景 クレジット・セキュリティガイドライン6.0版では、「会員登録」「ログイン」「属性変更」などの操作において、第三者による不正アクセスを防ぐための対策が新たに明記されました。とりわけ「不正ログイン対策の実施」は、従来の推奨事項から義務レベルの指針へと明確に格上げされています。 背景には、ID・パスワードの流出や使い回しを狙った「リスト型攻撃」、アカウントを乗っ取って配送先を変更する手口など、決済前を狙う攻撃が急増している現状があります。 これにより、決済情報を守るには、より早い段階からのセキュリティ強化が不可欠となったのです。なかでも不正利用が多発している加盟店や、ブランド品・電子チケットなどの高リスク商材を扱うEC事業者では、多要素認証や行動分析といった、より高度な不正ログイン対策の導入が強く求められています。 有効な対策一覧と導入シーン別のポイント クレジット・セキュリティガイドライン6.0版では、不正ログインへの対応として複数の技術的対策を挙げており、それぞれの対策がどの場面で効果を発揮するのかを意識した導入が重要とされています。 以下に、代表的な対策とその活用シーンを整理して紹介します: 不審なIPアドレスの制限:常時の異常接続を遮断 2段階認証・多要素認証(MFA):ログイン・属性変更時の本人確認 会員登録時の個人情報確認:不正登録の防止 ログイン試行回数の制限:リスト型攻撃の抑止 ログイン・属性変更時の通知:利用者による異常検知...
お知らせ一覧
Webスキミングの最新インシデントとチャージバック対策の重要性
2024年10月3日、大手カフェチェーン「タリーズコーヒー」は、ECサイト「タリーズ オンラインストア」で大規模なクレジットカード情報の漏洩があったと発表しました。原因は「Webスキミング」という、よく使われる手口によるものです。Webスキミングは、ユーザーが正規のウェブサイトを利用している際に情報を盗み取るため、被害に気づきにくいという厄介な特徴があります。本記事では、タリーズの事例を取り上げ、Webスキミングの脅威や事業者が直面するチャージバック被害のリスク、その対策の重要性について解説していきます。 1.タリーズ オンラインストアからクレジットカード情報が漏洩 インシデントの概要 2024年10月3日、タリーズコーヒージャパン株式会社は、自社が運営する「タリーズ オンラインストア」において、第三者による不正アクセスが発生し、個人情報およびクレジットカード情報が漏洩した可能性があることを公表しました。 5月20日に警視庁から同オンラインストアでのクレジットカード情報漏洩の懸念について連絡を受けたことが発端です。タリーズは同日中にオンラインストアでのクレジットカード決済を停止し、5月23日にはオンラインストア自体を一時閉鎖しました。 その後、第三者調査機関による詳細な調査を実施した結果、オンラインストアのシステムの脆弱性を突いて不正アクセスが行われたことが判明しました。原因として、ペイメントアプリケーションの改ざんが行われたことが確認されています。 オンラインストアの再開は、セキュリティ強化策を講じた上で改めて告知される予定ですが、2024年10月15日時点で未だ閉鎖されている状態です。 被害の範囲 今回の不正アクセスにより、タリーズオンラインストアの会員92,685名の個人情報が漏洩した可能性があります。漏洩した可能性のある個人情報の内容は以下のとおりです。いずれもユーザーのプライバシーに深く関わるものであり、不正利用やフィッシング詐欺などの二次被害を引き起こす可能性があります。 ・氏名・住所・電話番号・性別・生年月日・メールアドレス・ログインID・ログインパスワード・配送先情報 さらに、2021年7月20日から2024年5月20日までの期間にタリーズオンラインストアでクレジットカード決済を行った52,958名のクレジットカード情報も漏洩した可能性があります。漏洩した可能性のあるクレジットカード情報は以下のとおりです。 ・クレジットカード番号・カード名義人名・有効期限・セキュリティコード 特に、通常はECサイト側で保存されないはずの「セキュリティコード」までもが漏洩している点は深刻です。セキュリティコードはオンライン決済における最後の砦であり、カードの不正利用を防止するための重要な情報です。この情報が漏洿したことで、第三者による不正なカード利用のリスクが極めて高まっています。 2.Webスキミングとは Webスキミングの仕組み ペイメントアプリケーションの改ざん Webスキミングでは、まず、攻撃者はウェブサイトの脆弱性を見つけ出します。 古いソフトウェアの使用、セキュリティパッチの未適用、弱いパスワード設定などが原因となります。脆弱性を特定した攻撃者は、ウェブサーバーやウェブアプリケーションに不正に侵入する流れです。 次に、侵入した攻撃者はユーザーがクレジットカード情報や個人情報を入力する決済ページに、スキマーと呼ばれる悪意のあるJavaScriptコードを埋め込みます。このスキマーは、ユーザーの入力情報を収集するように設計されています。 ユーザー情報の不正取得方法 ユーザーがオンラインショップの決済ページで商品を購入する際、クレジットカード情報や個人情報を入力します。この際に、攻撃者が埋め込んだスキマーが、ユーザーの入力データをリアルタイムで傍受する仕組みです。 通常、ウェブサイトとサーバー間の通信は暗号化されており、第三者が途中でデータを盗み見ても内容を理解できないようになっています。しかし、スキマーはユーザーのブラウザ内で動作しており、ユーザーが情報を入力するまさにその瞬間にデータを取得します。暗号化が行われる前のデータ、すなわち平文をそのまま攻撃者に送信することができるのです。クレジットカードのセキュリティコードまで漏洩したのは、このような仕組みによるものです。 Webスキミングの厄介な点 被害の拡大スピード Webスキミングの深刻な問題の一つは、被害が急速に拡大することです。一度サイトが攻撃者によって改ざんされると、そのサイトを訪れるすべてのユーザーが被害に遭うリスクがあります。 例えば、タリーズオンラインストアの事例では、約3年間にわたり不正アクセスが続いていた可能性があり、その間に約5万3千人のクレジットカード情報が漏洩した恐れがあるとされています。攻撃が長期間放置されると、被害者の数が急増し、被害の範囲も広がってしまいます。 タリーズのように、人気のあるオンラインストアほどアクセス数が多いため、被害の範囲が広くなりがちです。...
お知らせ一覧
クレマスなどクレジットカード詐欺の高度化:ユーザー任せにしないための事業者対策
クレジットカード詐欺の手口は年々巧妙化の一途を辿っています。クレジットマスターアタックやフィッシング詐欺など、高度な手法が次々と登場しています。ユーザー自身による防御策は限界を迎えており、こうした詐欺からユーザーを守るためには、事業者側の対策強化が不可欠です。本記事では、最新の詐欺の手口を解説し、事業者が取るべき具体的な対策について詳しくご紹介します。 1.クレジットカード詐欺の被害額は年々増加 一般社団法人日本クレジット協会の調査によると、2023年のクレジットカード不正利用被害額は540.9億円に達しました。2014年と比較すると約5倍にまで被害額が膨れ上がっており、クレジットカード詐欺の深刻さが一層明らかになっています。 増加の要因の一つとして挙げられるのが、番号盗用による被害です。番号盗用とは、クレジットカード番号や暗証番号が不正に取得され、その情報を基に不正利用される手口です。2023年における番号盗用被害は、2014年と比較して約7.6倍にも増えており、特にオンライン取引において深刻な問題となっています。 利用者への注意喚起がなされたり、事業者による対策が強化されたりしていますが、被害の拡大を食い止めるためには、さらなる取り組みが必要とされています。 2.現在の主流は「クレジットマスターアタック」「フィッシング」 クレジットカード詐欺の手口は年々巧妙化し、特に「クレジットマスターアタック」と「フィッシング」が現在の主流です。カード情報を狙った高度な技術が駆使されるようになっており、利用者の不注意や技術的な隙を突いてきます。本セクションでは、これら二つの詐欺手法の具体的な仕組みを解説していきます。 クレマスの仕組み クレジットマスターアタック(クレマス)は、従来のクレジットカード詐欺とは異なり、カード保有者が自らの番号をどこにも提供していなくても不正利用される可能性があるという点で、非常に厄介です。 通常、クレジットカード詐欺は、攻撃者がカード番号やセキュリティコードを盗み取り、その情報を不正に利用する形を取ります。しかし、クレマスでは、攻撃者がクレジットカード番号の生成アルゴリズムを逆算し、その仕組みを利用して無作為に大量の番号を生成することにより、不正利用を試みます。攻撃者は生成した番号をオンラインショッピングサイトなどで試し、その中から有効な番号を見つけ出します。 つまり、攻撃者が無作為に生成した番号が偶然にも実際のカード番号と一致すれば、いくら情報漏洩の対策をしていても、カード保有者は自身が知らないうちに不正利用の被害に遭うことになるのです。クレマスは単に情報漏洩の問題に留まらず、全く新しい形態のリスクをもたらしていると言えます。 フィッシングの仕組み フィッシングは、クレジットカード詐欺の中でも広く行われている手口です。攻撃者はまず、公式な機関やサービスを装ったメールやSMSを送信し、ユーザーに緊急性を感じさせるメッセージを送りつけます。「あなたのアカウントに不正なアクセスがありました」や「カードの有効期限が切れています」などの内容で、ユーザーに不安を煽り、即座に対応するよう促します。メッセージには、公式サイトに見せかけたリンクが含まれており、ユーザーがそのリンクをクリックすると、偽のログインページやフォームに誘導される仕組みです。 偽ページは、本物のウェブサイトとほとんど区別がつかないほど巧妙に作られているため、多くのユーザーが疑うことなく、自分のクレジットカード情報やパスワードを入力してしまいます。攻撃者は、こうして取得した情報を利用して不正にカードを使用したり、さらなる詐欺行為を行ったりします。フィッシングの問題は、その巧妙さゆえに、ユーザー側が気づかずに情報を提供してしまうケースが多いという点です。 3.新しい手法が次々と登場 詐欺の手口は日々進化しており、クレマスやフィッシングに続いて「なりすまし型バナー広告」など新たな手法が次々と登場しています。従来の対策や利用者の注意だけでは防ぎきれないほど巧妙であり、今やユーザー側だけの意識改革では限界があると言えるでしょう。 なりすまし型バナー広告の仕組み 「なりすましバナー広告」は、通常のバナー広告とは異なり、サイトの一部に見せかけてユーザーを巧みに誘導する手口です。 ユーザーが訪れたWebサイトやスマートフォンアプリに表示されるこの広告は、商品名やサービス名が一切表示されず、代わりに「スタート」「続行」「ダウンロード」といったシンプルなボタンが大きく表示されているため、広告であることに気づきにくい仕組みになっています。ユーザーは広告をクリックしている意識がなく、サイトの通常の操作の一環としてボタンを押してしまうことが多いのです。 クリックすると、ユーザーはメールアドレスでのアカウント作成を促され、さらに進むとクレジットカードの情報を入力するよう指示されます。カード情報を登録してしまうと、利用規約の中に「5日間の無料期間を過ぎると課金される」などという条件が英語で書かれており、ユーザーが後になってそれを発見する頃には、課金が開始されているケースが多いのです。 このように「なりすましバナー広告」は、ユーザーが気づかないうちにカード情報を提供させ、巧妙に課金される仕組みになっていますが、法律的には詐欺と断定しにくいグレーな手法であるため、対処が難しいのが現状です。 ユーザーに対策を求めることは不可能な時代に これまで紹介してきた通り、近年のクレジットカード詐欺は、カード情報の流出がなくとも悪用されたり、明らかに詐欺とは言えないようなグレーゾーン的なものであったりと、手口がますます巧妙化しています。また、AIを活用することで、さらなる進化を遂げる可能性が出てきています。 ユーザーがどれほど注意深くても、そもそも防ぎようがなかったり、詐欺に引っかかる可能性が高いのが現実です。ユーザー側だけに責任を負わせ、対策を求めるのは無理がある時代に突入しているのです。 詐欺被害を防ぐためには、事業者側がセキュリティ対策を強化し、利用者を保護する仕組みを積極的に導入することが不可欠です。事業者にとっても、万が一インシデントが発生すると、ブランド価値が毀損されかねません。 4.Infront Securityによる解決策 ユーザー側の注意力に依存しない仕組みとしては、パスワードレス認証や、サイト利用時の本人確認を厳格化する方法があります。Infront Securityのパスワードレス認証を導入すれば、クレマス攻撃の抑止や、フィッシングの防止が可能です。 電話+端末認証の仕組み...
お知らせ一覧