2023年3月1日21:30
サイバーセキュリティクラウドとかっこは、2023年3月1日、ECサイト上のサイバー攻撃や、クレジットカードの不正被害の動向に関する記者勉強会を開催した。サイバー攻撃によるシステム障害や情報漏洩、クレジットカード不正などネット上の不正被害は増加傾向にある。2021年度の状況をみると不正アクセスやフィッシング等セキュリティインシデントの発生報告件数は5万件以上、クレジットカード不正被害は330億円にものぼり、ともに過去最多の状況となっている。同勉強会では、それぞれの専門家が、企業におけるサイバー攻撃やネット上の不正被害の動向を独自データから読み解き、事例を交え解説した。
WAFでは1秒間に17回のサイバー攻撃を検知
技術的、物理的、人的な対策が必要に
サイバーセキュリティクラウドからは、サイバー攻撃の動向と対策について、代表取締役CTO 渡辺 洋司氏が紹介した。サイバーセキュリティクラウドはWAF(Web Application Firewall)ソリューション、脆弱性診断、ウェブアプリケーション診断などのソリューションを提供している。
インターネットの利用増加とともに、サイバー攻撃は増加している。同社が提供するWAFで実際の数を計算すると1秒間に17回検知している。特にECサイトやコーポレートサイトなどで攻撃が行われているそうだ。サイバー攻撃では、卸売業、小売業が狙われるケースが多いという。ECサイトは、古いバージョンのままでいることが脆弱性となり、情報漏洩に繋がるという。EC事業者向けのセキュリティ対策として、国際的なブランドが推奨する「EMV 3-Dセキュア」がある。動的な認証では、ワンタイムパスワード、生体認証、指紋の認証など使用することで、セキュリティを強化する。渡辺氏はEC事業者向けの情報漏洩対策として、WAF、不正検知サービス、SSL/TLS認証の導入などを挙げた。
また、今後はChatGPTのサイバー攻撃への影響が考えられるが、企業ではセキュリティ製品の導入や、侵入を防ぐ取り組みを行うとともに、実施すべき対策を出来る限りリストアップして可視化することも大切だという。また、防犯カメラなどの物理的な対策、セキュリティに対してのルールを設定するなど人的な対策も重要だとした。
不正対策を行う事業者は増加
2022年の不正検知件数トップ10
続いて、かっこ O-PLUX事業部部長 小野瀬 まい氏がECサイトの不正注文の動向や対策について紹介した。
かっこでは、セキュリティ、ペイメント、データサイエンスを強みに不正検知、決済コンサルティング、データサイエンスの各サービスを提供している。不正注文検知サービスの「O-PLUX」は2万サイトで利用されている。
個人情報流出の状況として、2022年に上場企業で漏洩した個人情報は、2年連続過去最多を更新しており、592万人分に上った。漏洩の主な原因はウィルス感染や不正アクセスなどが挙げられる。クレジットカード情報流出件数も、過去5年間で最多の84万件分となった。2022年2月には決済代行事業者から46万件にもおよぶカード情報流出が発生した。流出した情報を悪用し、行われる行為としてはインターネットバンキングやオンラインショッピングが狙われやすく、全体の68%を占めている。
日本クレジット協会のデータを見ると、国内のクレジットカードの不正利用の状況として、2021年は偽造カードの不正は減ったが、非対面での番号盗用が急増して311億円の被害がでている。2022年の1月~9月のデータでは、291.3億円となっており、被害額は過去最高を更新する可能性が高い。
クレジットカードの不正が増加する要因として、フィッシングの増加、システムの脆弱性に気づかない、クレジットマスター(有効性確認)の増加が挙げられ、同社への相談も増えている。また、不正の手口は年々巧妙化しており、利便性を高めたうえで不正対策を行う必要がある。さらに、EC事業者の場合、被害に遭うまで当事者意識を持てないところも多いため、啓発・周知及び犯罪の抑止が求められる。経済産業省でも「クレジットカード決済システムのセキュリティ対策強化検討会」を開催し、行動指針が示された。
かっこではEC事業者への実態調査を実施。EC事業者で、不正注文対策に携わる担当者に対し530件の回答を得た。その結果、直近1年で、不正注文被害にあったことがあるEC事業者は、36.4%となり、約3社に1社が遭っている。また、直近1年間で不正被害に遭った回数は、全体では2~3回が最も多く35.2%で、金額としては、年間総額で50~100万円が最も多かった。さらに、なにかしらの不正注文対策をしている事業者は77.5%となった。昨年も同様のアンケートを実施したが、「被害が増える中、対策を行う事業は非常に増えています」と小野瀬氏は話す。
年商規模を見ると、10億円規模が86.1%と最も多く、10億円未満が68.9%となったように、中小規模の事業者では対策が遅れている。対策としては、本人認証である「3Dセキュア」(3Dセキュア1.0、EMV3Dセキュア)を導入しているとの回答は、 全体の62.9%で最も多かった。
年間にかける不正対策費用を確認したところ、全体では10~50万円が最も多く25.3%で、年商10億円以上でも100万円以下が44%となり、それほどコストをかけていないとした。対策をしていない理由は、「全体ではどんな対策が良いか不明」が最も多く、39.6%だった。
情報漏洩などの何かしらのサイバー攻撃によって被害を受けているかを聞いたところ、59.1%で2社に1社が被害を受けていた。特に、クレジットカード情報の漏洩が最も多く32.3%となった。サイバー攻撃にかけられる年間対策費用は、全体では50万円未満が27.4%と最も多く、年商10億円以上では予算をかけて対策している事業者が一定数いることがみてとれる。
小野瀬氏は同社の不正検知のデータをもとに、2022年度の不正傾向データを紹介した。同社の不正検知件数ランキングをみると、1位がデジタルコンテンツ、2位がホビー・ゲーム、3位が旅行となった。「クレジットカードセキュリティガイドライン」で高リスク商材とされているデジタルコンテンツ、家電、旅行は同社のデータでも上位にある。また、比較的低単価な健康食品、コスメ、食品、アパレルも上位になっている。これらはクレジットカードの不正利用だけではなく、悪質な転売でも狙われやすい商材だという。
また、不正注文のIPアドレスの傾向として、不正注文が多い国はアジア圏でほぼ変わらなかったが、日本のIPアドレスを踏んで不正を行うケースが過去5年間は増えている。
後払い、クレカ、転売で不正に狙われやすい価格帯
フリマアプリの不正はBNPLでも顕在化
