EC事業を運営するにあたって、顧客の獲得や売上に目が行きがちですが、ECサイトは常に不正アクセスのリスクに晒されています。不正アクセスにより、顧客の個人情報漏えいなどの被害が発生すると、不信感から顧客離れが起こったり、場合によっては被害者への補償が必要になったりするなど、事業運営の負担になる可能性があるのです。
本記事では、EC事業者がおさえておきたい不正アクセス被害やその対策の基礎知識を解説するとともに、不正アクセス対策に役立つツールを紹介します。不正アクセス対策をまだ行っていない方や、見直しの必要を感じている方はぜひ参考にしてください。
この記事の目次
ECサイトの不正アクセスによる個人情報漏えいの被害状況
クレジットカードの不正被害は急増しています。日本クレジット協会「クレジットカード不正使用被害額調査」によれば、クレジットカード不正被害額は2014年には67.3億円でしたが、2022年には411.7億円にまで拡大しています。また、株式会社東京商工リサーチ「上場企業の個人情報漏えい・紛失事故」調査(2022)によると、2022年に流出した個人情報の件数は592万件、流出したクレジットカード情報数は84万7,686件となっており、これらの情報を不正に利用した被害が発生しているのです。
不正被害が発生するケースとしては、宅配業者の不在通知連絡を装ったSMSから偽サイトに誘導され、個人情報を入力するケースや、大手企業サイトのアカウント情報確認を装い個人情報やクレジットカード情報の入力を促すケースなどさまざまなパターンが発生しています。
詳細:EC事業者が知っておきたい不正アクセスの脅威と対策とは
EC事業者が取るべき4つの対策
クレジットカード・セキュリティガイドラインでは次の4つの対策が示されています。
3Dセキュア2.0の導入
3Dセキュア2.0は、カード会社がリスク判定を行い、「リスクあり」と判定されたときにのみ、任意の本人確認を行い、不正アクセスを防ぐための仕組みです。認証方法が多様で、リスクがある取引にのみ本人確認が実施されるため、ユーザーにとってもストレスが少ない不正対策の仕組みとなっています。
利用できる代表的な認証方法は以下の通りです。
- SMSや生体認証(指紋や顔)
- アプリを用いたワンタイムパスワード
- スマートフォンによるQRコードスキャン
詳細:EMV 3Dセキュア(3Dセキュア2.0)とは?補償対象外となる1.0とのと違いや移行を推奨する理由を解説
セキュリティコードの導入
セキュリティコードは、クレジットカードに記載されている3~4桁の数字を指します。カード番号や有効期限に加え、セキュリティコードを入力することで、クレジットカードを手元に持っているかどうかを確認することが可能です。不正にカード番号や有効期限を知り得た第三者からの不正利用を防ぐ有効な手段といえます。
ECサイトで買い物をする際に、クレジットカード決済を利用する消費者にとって一般的な不正利用対策といえるため、EC事業者にとって取り組みやすいものといえるでしょう。
不正検知システムの導入
不正検知システムは、海外からのアクセス判定や不動産の空室住所情報、同一人物の複数なりすましなどのさまざまなデータを活用することで、不正を行おうとしている人の購買行動を予測し、不正注文をリアルタイムに検知する仕組みです。
セキュリティコードや3Dセキュア2.0だけでは防ぐことができなかった不正アクセスを検知する仕組みとして期待されています。
詳細:3Dセキュア2.0は不正検知サービスを併用すべき?-最新の不正注文対策を徹底解説-
詳細:Webサイト所有者必見! 情報漏洩を防ぐには? 漫画でわかりやすく解説
不審住所データの活用
不正利用された注文の配送先を蓄積し、合致する注文は商品などの配送を事前に停止する仕組みです。存在しない住所や空き家や空き室を悪用するケースがあり、これらを事前に把握することで不正利用を防ぎます。EC事業者がすべての注文で住所確認を行うのは負担が大きいため、ツールを利用するのがおすすめです。
不正リスクのセルフチェック
ECサイトへの不正アクセスによる顧客情報や取引情報の漏えい事故が発生すると、原因の対策を行うまで、サイトを閉鎖しなければならず売上が大幅に減少します。また情報漏えいによって生じた被害の補填や事故対応も必要です。
ECサイト構築・運用セキュリティガイドライン(以下、セキュリティガイドライン)によれば、ECサイトの閉鎖期間における売上高の平均損失額は1社あたり約5,700万円、事故対応費用の平均額は1社あたり約2,400万円にものぼります。情報漏えいを引き起こさないよう、日頃から不正アクセスに対する対策は欠かせません。
まずはセキュリティガイドラインと不正リスクのセルフチェックシートを参考に、自社サイトのセキュリティ対策状況を確認してみましょう。
ECサイト構築・運用セキュリティガイドライン
セキュリティガイドラインは、独立行政法人情報処理推進機構(以下「IPA」)と経済産業省が連携してまとめ、2023年3月16日に発表されました。中小企業でECサイトの新規構築および運用を行う経営者や担当者、関係者を対象とした内容になっています。
セキュリティガイドラインでは、被害に遭うリスクが高いECサイトの特徴やサイバー攻撃の原因、また経営者、実務担当者それぞれが行うべき対策が具体的に示されています。自社の運用状況が適切かどうか確認し、対策が不十分な点は早急に対応すべきでしょう。
詳細:「ECサイト構築・運用セキュリティガイドライン」を解説!セキュリティ対策が必要なサイトの特徴や注意点を紹介
不正リスクのセルフチェックシート
また、セキュリティガイドラインの他に、さまざまな支援企業が自社ECサイトにおけるセキュリティに問題がないか確認ができるセルフチェックシートを提供しています。コマースピックの「ノウハウ資料」でも紹介していますので、自社の利益やブランド毀損に繋がる不正注文対策が自社でできているのか、リスクが高い状況になっていないかを判断するためにぜひ一度ご活用してみてください。
代表的なセキュリティツール5選
代表的なセキュリティツールをご紹介します。
O-PLUX(オープラックス)
O-PLUXは20,000以上の導入実績と幅広い知見を持つ不正検知サービスです。人力や目視では限界がある注文管理や悪質な注文に対応し、各EC事業者の自社対策にも対応可能です。主要なASP・ECパッケージなどのカートシステムと連携し、最新の不正にも対応します。楽天市場やAmazonなどの大手ECプラットフォームからの注文も審査でき、最短2週間で簡単に導入可能です。
O-MOTION(オーモーション)
O-MOTIONは、独自の端末特定技術と操作情報を活用して、本人か不正者かをリアルタイムに検知するクラウドサービスです。ECサイトやチケットサイト、金融機関、証券会社などで不正アクセスや不正ログイン対策に利用されています。特許取得済みの独自技術により、正しいIDとパスワードでのなりすましログインや不正な多重会員登録を検知し、個人情報漏えいやポイント不正交換/取得を未然に防止します。ユーザビリティを損なわずに不正アクセス対策が可能なため、かご落ちや離脱率の低下を心配することなく利用できます。
Spider AF(スパイダーエーエフ)
Spider AFはアドフラウド(広告不正)を検知・ブロックするツールです。広告費の20%がアドフラウドによって浪費されていると言われているため、定期的な検査が必要です。タグを埋め込むだけで簡単に導入でき、操作も簡単です。また、目視チェックによる無効なリード対策にも効果があり、工数削減や無効リードの90%以上の削減も実現できます。
ASUKA(アスカ)
ASUKAはECサイトにおける不正注文を検知し、チャージバックを減らすツールです。クレジットカードの不正利用対策にかかるリソースを最小限にし、安心で安全な決済を実現します。1~2週間で導入でき、API連携やシステム開発は不要です。独自開発の本人認証ツールにより本人確認を必要としないため、カゴ落ちを最小限におさえます。料金は固定価格制で、注文数が増加しても安心です。
secuas(セキュアズ)
secuasはECサイト、ブランドサイト、LPのリスクを診断し対策のサポートをするサービスです。社内にエンジニアがいない企業も想定し、URLだけあればリスクの診断が可能。リスクを件数で表示するため、一切知識がなくてもサイトの現状が把握できます。契約は1ドメインずつで、サイト規模に応じたプラン選択が可能です。
おわりに
ECサイトの不正アクセスによる個人情報漏えいの被害状況とEC事業者が取るべき対策についてご紹介しました。不正アクセスや情報漏えいは、無作為攻撃による場合が多く、取り扱う商材や顧客ターゲットなどに関係なく、不正アクセスへの対策が必要です。セキュリティガイドラインやチェックシートを活用して、現状の対策状況を確認の上、不足する場合はセキュリティ対策に特化したツールの導入を検討してみてはいかがでしょうか?
合わせて読みたい
