EC サイトを詐欺から保護するには:詐欺の手法、被害状況、および対応策 | CHEQ

template-wa.php

アーカイブ動画

--------------------------------

  • Blog
  • サイバー犯罪
  • EC サイトを詐欺から保護するには:詐欺の手法、被害状況、および対応策

EC サイトを詐欺から保護するには:詐欺の手法、被害状況、および対応策

ジェフリー・エドワーズ

  | 

サイバー犯罪 | 2023年6月15日

EC サイトは、私たちの購買行動を劇的に変え、企業と消費者はかつてないほど簡単かつ手軽に取引できるようになりました。消費者は時間や場所を選ばず、商品やサービスを購入することができ、地元では手に入らないような製品やブランドを購入できるようになりました。また、企業はより多くの人々とつながることができ、さらに嬉しいことに、オンラインショッピングにおいては、ユーザーの閲覧履歴や購入履歴、好みに応じて顧客体験をカスタマイズすることができるようになりました。

しかし、このような利便性の向上には、デメリットが伴います。EC サイトにカード情報や個人情報を保存できることは、企業や消費者だけでなく、サイバー犯罪者にとっても魅力的です。結果として、消費者と小売業者の両方を標的とした、さまざまな手法のサイバー犯罪が EC サイトで横行するようになりました。

EC サイトで行われる詐欺行為には、クレジットカードを悪用したもの、個人情報の不正取得、フィッシングなど、さまざまな手法があります。このような EC 詐欺は、荷物をクラッカーの住所に転送するという単純な手法もあれば、侵害されたアカウントを通じて EC サイト全体を乗っ取るという場合もあります。いずれにせよ、不正行為の拡大は、EC サイトの運営者に大きな損失をもたらす可能性があります。2022年、米連邦取引委員会はインターネット上の詐欺による総被害額が1億8610万ドル(約261億円※)であると報告しましたが、これは報告された被害のみの金額です。

当記事では、EC サイト上の詐欺による被害をご紹介し、不正行為を検知・対処するための実用的なヒントを提供し、多大な損失を防ぐためのツールの利用について紹介します。

2022年には EC サイトのトラフィックの16%が不正トラフィックでした。詳細について「不正トラフィック 業種別の傾向と予測 2023」にてご確認ください。

EC サイトにおける詐欺の種類

クラッカーは色々な手法で、アカウントに侵入し、個人情報にアクセスしようとします。クラッカーの最終的な目的は場合によって異なりますが、一度侵入されたアカウントは再び悪用されたり、ボットのネットワークに共有されたりする可能性が高いため、被害者は別の攻撃を受けるリスクが高くなってしまうことに注意する必要があります。

以下は、EC 詐欺においてクラッカーがよく利用する一般的な手法の一部です。これらの攻撃は、単独で使用されることもあれば、より大規模な攻撃の一部として組み合わせて使用されることもあります。

カーディング(Card Testing Fraud)

カーディングでは、クラッカーはクレジットカードを使用して、EC サイトで複数の少額の購入を行います。これらのクレジットカードは、不正なクレジットカードや、詐欺により不正取得されたクレジットカード情報です。クラッカーは、カーディングにより、どの不正取得したクレジットカードが有効か、どのカードの限度額が最も高いかを確認します。EC サイトのバックエンドでは、このような少額な購買は検出されないことがあり、通常は数件の多額の購入が行われるまで詐欺として検知されません。

有効な支払い方法を受け取れないというリスクはすぐに解決できることですが、カーディングによる影響はもっと大きなリスクをはらんでいます。EC サイトで何度も不正購入が行われると、梱包や配送、商品自体にかかる費用など、多額の損失が生まれます。また、クレジットカードの不正利用の被害に遭った場合、不正利用を調査するための対応費用が発生する可能性があります。

チャージバック(Chargeback Fraud)

チャージバックは、「友好的な詐欺(friendly fraud)」とも呼ばれ、消費者が返金を受けるために、クレジットカードの明細書に記載された正当な請求に異議を唱える際に発生します。チャージバックでは、通常、商品が説明と違う、または商品が届かなかったという主張が行われます。チャージバックが、組織化された詐欺師グループによって行われる場合は、不正取得したクレジットカードが買い物に利用され、後でそれに異議を唱えるという手法が使用されます。

企業にとって、チャージバック詐欺は多額の損失になり得ます。カーディングと同様に、チャージバックが成功すると、配送、梱包、実際の製品など、販売関連の費用が奪われます。また、クレジットカード会社は、受け取ったチャージバック毎に企業に費用を請求することがあり、時間が経つにつれて被害額が拡大する可能性があります。

インターセプト詐欺(Interception Fraud)

EC サイトにおける詐欺のもう一つの一般的なタイプは、インターセプト詐欺です。インターセプト詐欺とは、クラッカーが EC サイトとユーザーの間で送信される情報を無断で受信(傍受)することにより行われます。通常、クレジットカード情報など、企業や消費者にとって重要な情報が傍受されます。

インターセプト詐欺の目的はさまざまです。例えば、クラッカーが被害者のアカウントで購入し、後でカスタマーサービスに連絡して、荷物をクラッカーの住所に配送させるなど、商品の入手に焦点を当てることもあります。しかし、より深刻なのは、クラッカーが EC サイト全体を乗っ取り、フィッシングや個人特定情報を窃取するためのマルウェアを使って、顧客や管理者ユーザーのログイン情報や個人情報を盗み出してしまうことです。

アカウントの乗っ取り(Account Takeover Fraud、ATO)

アカウントの乗っ取りは、フィッシングやソーシャルエンジニアリング、あるいは EC サイトのセキュリティの弱点を悪用し、クラッカーが正規の顧客の EC アカウントに不正アクセスすることで発生します。多くの EC サイトの顧客アカウントでは、個人情報、クレジットカード情報、購入履歴にアクセスすることができます。アカウントが乗っ取られると、クラッカーはアカウント所有者になりすまして不正な購入を行うことができるだけでなく、そのアカウント所有者の個人情報やクレジットカード情報を不正入手してしまう可能性があります。

大規模なアカウントの乗っ取りは、ボットによって行われます。例えば、「クレデンシャルスタッフィング」は、EC サイトでメールアドレスとパスワードの組み合わせを使用し、過去のデータ漏えいやフィッシングにより不正取得したログイン情報をテストします。これは、クラッカーがアカウントを乗っ取るために使用する多くのボット攻撃の1つに過ぎません。

ソーシャルエンジニアリング(Social Engineering Fraud)

ソーシャルエンジニアリングでは、クラッカーは、通常 SNS を通じて、被害者に機密情報の提供や特定の行動をとるよう説得するために、心理的な操作技術を使用します。被害者は、クラッカーを信頼できると感じれば、パスワードなどの個人情報を提供する可能性が高くなります。

EC サイトにとっても、ソーシャルエンジニアリングは脅威となり得ます。例えば、クラッカーはアカウントを作成し、EC サイト運営者に連絡し、ユーザーアカウントからロックアウトされた顧客を装うことができます。このような場合、サイト運営者はパスワードの再設定リンクを送信することが多いでしょう。これにより、事業者はクラッカーが被害者のアカウントへ不正アクセスすることを可能にしてしまいます。

EC サイトにおける詐欺がビジネスに与える影響

EC サイトへの攻撃は深刻な被害の原因となります。詐欺行為がビジネスに与える影響は、金銭的損失という観点で語られがちですが、それ以外の影響にも注目してみましょう。

以下は、EC 詐欺によって起こる被害の例です。

  • 金銭的損失:ほとんどの場合、EC 詐欺に遭った企業は、顧客が請求に異議を唱えた際に発生するチャージバックに関する費用を支払わなければなりません。また、盗まれた商品の補充や、不正行為に関連した追加送料を支払わなければならない場合もあります。EC 事業者にとって、これは大きな金銭被害につながる可能性があります。
  • ブランドの評判低下:EC サイトを通じて顧客の個人情報が漏えいした場合、企業に対する信頼は低下します。ビジネスの成功に欠かせない顧客のロイヤリティと信頼が失われてしまうと、企業は苦境に立たされます。
  • 法的責任:注文した商品を顧客に届けることができなかったり、顧客情報が漏えいしたりすると、EC 事業者は法的責任を問われる可能性があります。EC 詐欺による直接的な金銭被害だけでなく、顧客の被害への補償や訴訟費用の負担が必要な場合もあります。
  • カスタマーサービスの工数拡大:EC 詐欺は、企業の予算だけでなく、従業員の工数も浪費します。EC 詐欺の被害にあった企業は、顧客からの苦情への対応、荷物の追跡、チャージバックへの対応に多大な時間と費用を割くことを余儀なくされます。さらに、カスタマーサービスチームの貴重な時間が奪われ、他の顧客のサービスが行き届かなくなることもあります。
  • 配送とサプライチェーンへの影響:特定のタイプの EC 詐欺、例えばインターセプト詐欺は、大量の荷物をクラッカーに配送することにより、企業の配送やサプライチェーンに影響を与える可能性があり、遅延、追加費用、バックオーダーによる収益損失が発生しかねません。
  • コンプライアンス:EC 詐欺の被害に遭うと、個人情報保護法、PCI DSS(Payment Card Industry Data Security Standard)や GDPR(General Data Protection Regulation)などの規制への不適合につながり、違反金を科される可能性があります。

不正行為から EC サイトを守るための対策

オンラインビジネスを不正行為から守り続けることは、成功と継続に不可欠です。EC 詐欺への対策は、ビジネスを金銭的損失やその他の被害から保護します。

以下に、組織のセキュリティと顧客満足度を確保するための戦略を紹介いたします。

  • ソフトウェアのアップデート:Web サイトや決済システムを定期的に更新して、安全性と最新機能を確保しましょう。これにより、潜在的な情報漏えい、プライバシーの脆弱性、ソフトウェアの侵害を防ぐことができます。
  • 不審な動きへの警戒:EC サイト上での不審な行動を早期に発見することで、不正行為による重大な金銭的損失を未然に防ぐことができます。不正行為の可能性が高い国からの注文や、請求先と異なる配送先住所など、不審な動きに注意しましょう。
  • 注文と購入の上限設定:1日に1つのアカウントから購入できる件数と金額の上限を設定することで、詐欺のリスクを軽減しましょう。不正な注文はチャージバックを伴うことが多く、企業にとって大きな負担となります。購入額に上限を設けることで、チャージバックのリスクを軽減することができます。
  • お客様への情報提供:詐欺を防ぐ方法、詐欺の見分け方、詐欺に遭った場合の対処法について、お客様に情報を提供しましょう。詐欺防止に関する啓発活動をカスタマージャーニーに組み込む簡単な方法としては(1)お客様が自分自身を守るためのヒントやガイドラインの提供や(2)詐欺やセキュリティに関する一般的な質問に対する回答を掲載した FAQ ページのWebサイトへの追加などがあります。また、詐欺に関する質問や懸念を抱えたお客様へは、常に迅速で親身なカスタマーサービスを提供しましょう。
  • PCI DSS(Payment Card Industry Data Security Standards)への準拠:PCI DSS とは、企業がクレジットカード情報を処理、保存、送信する際に遵守すべき一連のセキュリティ基準を定めたものです。この基準を満たすことで、不正行為のリスクを軽減し、守秘すべき顧客情報を保護することができます。企業のセキュリティシステムの脆弱性を特定し、対処するためには定期的なセキュリティチェックが不可欠です。
  • GTM(Go-to-Market、市場開拓)セキュリティの導入:EC 詐欺防止のための最も包括的なソリューションは、GTM セキュリティツールです。CHEQ のような GTM セキュリティ向けのプラットフォームは、すべての不正行為を可視化し、各訪問者へのセキュリティチェックを行い、悪意のある動きを自動的にブロックすることができます。

CHEQ で顧客の信頼を維持し
EC サイトのセキュリティを確保しましょう

CHEQ は、世界初のファネル全体を保護するセキュリティプラットフォームです。疑わしいトラフィックに対して2000件以上のセキュリティチェックを行い、悪意のあるアクティビティを自動ブロックすることにより、企業が不正行為に適切に対処することを可能にします。これにより、対処療法的な詐欺対策に振り回されす、ビジネスの運営に注力していただけます。

CHEQ の詳細について、セキュリティ診断にて説明させていただきます。

よくある質問

EC 詐欺の被害にあっているかどうかを見分ける方法とは?

消費者:銀行口座の明細に記載された未承認の取引や、見覚えがないクレジットカードの請求は、EC 詐欺の兆候である可能性があります。

企業:在庫の予期せぬ減少、異常なもしくは大量の注文、リスクの高い国からの注文、請求先と一致しない配送先住所、複数回のログインの失敗、予期しないチャージバックなどは、EC 詐欺の兆候である可能性があります。

EC 詐欺の最も一般的な種類とは?
また、EC 詐欺からビジネスを守る対策とは?

EC 詐欺の最も一般的なタイプには、以下のようなものがあります。

  • カーディング
  • チャージバック
  • インターセプト詐欺
  • アカウントの乗っ取り
  • ソーシャルエンジニアリング

ビジネスを守るための対策としては、以下のようなものがあります。

  • ソフトウェアのアップデート
  • 不審な行動への警戒
  • 注文と購入の上限額の設定
  • お客様への情報提供
  • PCI DSS への準拠
  • CHEQ のような GTM(Go-to-Market、市場開拓)セキュリティの導入

EC サイトでお客様の決済情報の安全性を確保する方法とは?

決済システムの安全性確保、PCI DSS への準拠、住所や CVV の確認は、お客様の決済情報を保護する上で有効です。

チャージバックのリスクを軽減する方法とは?

チャージバック詐欺のリスクは、顧客情報の確認、疑わしい行動のモニタリング、詐欺対策ツールの使用、チャージバック防止策の策定によって軽減できます。

アカウントの乗っ取りやソーシャルエンジニアリングからビジネスを守る方法とは?

アカウントの乗っ取りやソーシャルエンジニアリングは、強力なパスワードの使用、二要素認証の導入、疑わしいログインのモニタリング、ソーシャルエンジニアリングに関する従業員教育によって防ぐことができます。

お客様の信頼を維持し、「安全で信頼できるビジネス」だと認識していただく方法とは?

最新の安全な Web サイト、明確なプライバシーポリシー、迅速なカスタマーサービスは、お客様の信頼を維持するために不可欠です。また、カスタマージャーニー内でのガイドラインや徹底したカスタマーサービスの提供を通じて、詐欺行為に対する情報をお客様に提供する必要があります。

※以下1米ドル=140円にて換算(2023年6月現在)

元の記事:Protecting Your eCommerce Business from Fraud: Types, Risks, and Best Practices

筆者

ジェフリー・エドワーズ

コンテンツマーケティング マネージャー

CHEQ 常駐のコンテンツマーケティングの専門家です。数年間のジャーナリストとしての勤務経験を糧に、サイバーセキュリティにおける難解なトピックを丁寧に親しみやすく伝えることを心がけています。

デモを予約する

最新の記事

もっと記事を見る
マーケティング

CPV(訪問単価)とは?初心者でもわかるその計算方法

サニャ・トライチェワ | 2024年7月19日
その他

SEOスパムとは?サイトへの影響は?

サニャ・トライチェワ | 2024年7月05日
サイバー犯罪

アカウント乗っ取りを未然に防ぐ! 7 つの異常検知テクニック

サニャ・トライチェワ | 2024年6月20日
サイバー犯罪

価格スクレイピングからビジネスを守る:リスクとその防止方法

サニャ・トライチェワ | 2024年6月12日
サイバー犯罪

クリック詐欺とは?その仕組みと見分け方

サニャ・トライチェワ | 2024年5月23日
各種お知らせ

【2024 年最新版】偽トラフィック実態調査2024:最新動向と対策:業界の動向と対策を徹底解説

ケリー・コッピンガー | 2024年5月17日
サイバー犯罪

【2024 年版】小売業者がホリデーシーズンの成功を活かして年間成長を実現する秘訣

ケリー・コッピンガー | 2024年5月15日
サイバー犯罪

Bad Actors Awards:最も危険で悪質な攻撃者 5 選

ケリー・コッピンガー | 2024年4月04日
サイバー犯罪

進化する OTP ボット:サイバーセキュリティの最大の脅威

サニャ・トライチェワ | 2024年3月21日
サイバー犯罪

サイバーセキュリティの最前線:WAF を突破する最新ボット攻撃とその対策

ケリー・コッピンガー | 2024年3月06日
サイバー犯罪

忍び寄る脅威 – ボット詐欺の兆候 8 選

サニャ・トライチェワ | 2024年2月22日
Web サイト運用・セキュリティ対策

サイバーセキュリティ監査のベストプラクティス 5 選

CHEQ | 2024年2月13日

不正トラフィックに影響されない
Go-to-Market セキュリティを
今すぐ始めませんか?

今すぐスタート