この記事の目次
不正利用を未然に防ぐ方法(おさらい)
前回の記事「コストを掛けずに対策する方法について」で説明したECサイトへの攻撃に関して、おさらいとして主な攻撃2点を以下にまとめます。
クレジットマスターアタック
クレジットマスターアタックは、クレジットカード番号の規則性を利用して他者のカード番号を生成し、それを使用して不正に大量注文を行う犯罪行為です。
クレジットカードの番号は、各桁番号の規則性から自動生成することが可能です。自動生成したクレジットカード番号の有効性を確認するために、実際にECサイトに対して生成したカード番号で注文を行うことがクレジットマスターアタックの手法です。
ECサイトへの具体的な被害として、クレジットカード決済におけるトランザクション処理[信用照会(オーソリ処理)や売上確定処理]には数円から数十円の費用がかかり、クレジットマスターアタックの被害を受けたECサイトでは、数十万円のトランザクション費用が発生したケースが報告されています。
クレジットマスターアタックの対策として、Googleが提供するreCAPTCHAや、CloudflareのTurnstileなど不正アクセスを防ぐサービスの導入が有効です。
カート画面にreCAPTCHA を組み込むことで、プログラムによる不正な自動注文をブロックできます。
クレジットカード不正利用による不正購入
不正に入手したクレジットカード番号を利用し、転売を目的としてECサイトで商品を購入するケースです。
以下のチェック項目に該当する箇所が多い場合は、クレジットカード不正利用による不正注文の可能性があるかもしれません。
- クレジットカード決済を利用
- 初回購入
- 高単価商品のみの購入
- メールアドレスがランダムな文字列で、フリーメールを使用
- 日時指定あり
- 注文者名に違和感がある
不正利用への事前対策
ECサイトへの攻撃手法を知ることで、事前に対策を行うことは可能です。しかし全ての攻撃を未然に防ぐことは非常に困難です。
そこで被害を最小限に抑える方法と、実際に被害が発生してしまった際の対策を行うことが重要になります。
以下に主要な攻撃である「クレジットマスターアタック」と「クレジットカード不正利用による不正購入」の2点について、実際に被害が発生してしまった場合を想定した対策をご説明いたします。
クレジットマスターアタックを想定した対策
異変に気づき対応する
クレジットマスターアタックの一つのケースとして、攻撃対象のECサイトに最初から大量のアタックを行うことはせず、数件~十数件の不正注文を行います。
これはそのECサイトの管理運営を検証することが目的と思われます。
初回時の数件の不正注文に対する運営側の対応の是非により、そのECサイトが不正注文へどのような対応を行うかを確認し、攻撃対象かどうかを判別しているのです。
不正注文の件数が少ないからと対応を放置することで、攻撃側から「管理運営が杜撰なECサイト」と認識され、攻撃されるリスクが高まります。
ゆえに初期の攻撃において最大限対応を行うことが、攻撃にさらされるリスクを減らすことに繋がります。まず不正注文と思われる購入者へのメールおよび電話にて連絡を行いましょう。連絡がとれない場合に行う具体的な対応として、下記が挙げられます。
- 不正注文者のIPアドレスをブロックする
- 不正注文者の会員情報をブラックリストに登録する
- 不正注文者のメールアドレスをブロックする
- ECサイトのお知らせに不正注文者への警告文を掲載する
件数が少数だからと放置せず、毅然とした対応を行うことで被害を最小限に抑えましょう。
クレジットカード不正利用による不正購入へ事前対策
クレジットカード不正利用による不正購入の目的として、転売があります。不正注文により商品を詐取されてしまった際への対応と、不正注文の可能性のある取引への対応についてご説明いたします。
商品写真への設定
商品の転売時に、ECサイトに掲載されている商品画像も盗用するケースがあります。そこで商品画像にウォーターマーク(透かし)を埋め込むことで、商品画像の盗用も確認ができるようになります。
商品に特定情報の付与
不正注文により詐取された商品の多くはインターネットにより転売が行われます。その際に、転売された商品が自社のECサイトで購入されたことがわかる状態にする必要があります。
具体的には、
- 商品に自社ロゴのシールを貼付する
- 商品に自社タグなどを付ける
といった、自社のECサイトにより購入された商品であることがわかる状態にすることが望ましいです。
実際の例として、詐取された商品がネット上に転売され、その撮影写真にECサイトのロゴシールが貼付されていたことが証拠となったケースがあります。
実際に不正注文が発生してしまったら
実際に不正注文が発生し商品が詐取されてしまった場合、加害者を追跡し特定することは非常に困難です。しかし100%不可能ではありません。以下に筆者が実際に対応したケースをご紹介いたします。
不正利用の確認
クレジットカード不正利用による商品詐取が判明するのは、多くはクレジットカードを不正に利用された利用者からの連絡や、クレジットカード会社からの連絡の時点になります。
不正利用の連絡を受けた際には、以下の確認を行います。
- 不正利用された注文情報の確認
- 不正利用された注文の日時を確認
- 不正利用された注文の発送状態を確認
商品が未発送の場合はすぐに発送処理を中断します。また配送中であれば、配送の担当者の方に商品を戻してもらうように依頼を行います。
フリマサイトで転売の確認
不正注文の連絡をうけた際、商品をすでに発送し受け取りが完了してしまった場合、商品を取り戻すことは非常に困難です。
詐取された商品は、フリマサイトで転売出品されるケースが多いです。
そこで以下の確認作業を行います。
各フリマサイトにて詐取された商品の出品の有無を確認
商品名自体もECサイトから転用されるケースがよくあるため、各フリマサイトにて商品名で検索を行います。検索結果に詐取された商品が表示された際には、以下の情報を確認します。
- フリマサイトに掲載された日時の確認
- 掲載されている商品写真の確認
実際に筆者が確認したケースでは、商品名や商品説明文がそのまま転用されており、かつ詐取後に撮影された商品写真に被害を受けたECサイトのロゴシールが貼付されていました。
被害届の提出
フリマサイトにて不正注文により詐取された商品の転売が確認された場合、フリマサイトの運営会社に連絡を行っても、多くの場合は何も対応されません。ゆえに商品詐取の証拠を集め、警察に被害届を提出します。
被害届には具体的な証拠となる情報が必要です。
- 不正注文の発生日時
- 不正注文されたと思われる受取人の情報
- クレジットカードの不正注文が発覚した日時
- フリマサイトに出品されていることが確認できるスクリーンショット
- 詐取された商品が転売商品と一致することを裏付ける証拠
EC事業者は不正への対策を
ECサイトの運営は非常に多岐にわたる業務であり、その上で不正注文への対応などは生産的ではないということからおざなりになるケースが多くあると思います。
しかし、クレジットカード不正利用の年間の被害額436億円の実に94%がECサイトで発生しているという現状から、EC事業者がそれぞれ不正への対策をする必要に迫られているのです。
安全に商品を購入していただけるようにすることも、EC事業者の役割が求められていると思います。
ECサイトの運営において、不正利用をさせない仕組みと、不正利用が発生した際の対応する仕組みを構築しましょう。
株式会社チョッピーデイズ:https://choppydays.com
合わせて読みたい
