官民で連携してフィッシング詐欺やクレジットカード不正利用事案に関する情報や対策を共有

メルカリは9月1日、警察庁、経済産業省、一般社団法人キャッシュレス推進協議会、一般社団法人セーファインターネット協会、かっこ株式会社、ヤフー株式会社、PayPay株式会社と共同で、EC事業者やクレジットカード事業者、その他の関連団体と、報道関係者の皆さまを対象に、「フィッシング、クレジットカード不正の現状と対策を考える会」を開催し、フィッシング詐欺やクレジットカードの不正利用事案に関する情報や対策を共有しました。

主にオンラインでの開催ではありましたが、約200名の事業者の皆さまならびに報道関係者に参加していただきました。参加いただいた皆さまにとって、昨今発生しているフィッシングやクレジットカードの不正利用の手口と対策例に触れていただく良い機会となっていましたら幸いです。また、業界横断での対策の必要性を多くの方に感じていただけたのではないかと思います。

今回は、さらに幅広い皆さんにフィッシング詐欺やクレジットカードの不正利用事案に関する情報やメルカリを始めとした事業者の対策を知っていただければと思い、会の様子ややメルカリの取り組みについてご紹介します。

なお、会全体のアーカイブ動画はこちらからご覧いただけますので合わせてぜひご覧ください。

開催の目的

2021年における全国のクレジットカード不正利用被害額は330億円と過去最高を記録し、同年の特殊詐欺被害（282億円）を超えています。また、フィッシングに関しても2021年の発生件数は526,504件と2020年比で約2.3倍にのぼるとともに、2022年7月のフィッシング報告件数は初めて10万件を突破するなど拡大傾向です。

このように様々なフィッシングや不正決済の被害が広がる中、EC事業者、決済事業者においても、お客さまへの注意喚起や独自のセキュリティ施策など対策を強化している一方、フィッシングサイトや犯行の手口は多様化・巧妙化しており、個社での対策に加え、EC事業者・決済事業者・関係する業界団体といったEC業界全体で連携を強化し、セキュリティ対策に取り組んでいくことが必要不可欠です。

そこで、フィッシング・不正決済の背景と実態、防止対策に関する理解を深めることを目的として、今回のイベントを開催しました。

基調講演として、清川敏幸警察庁サイバー警察局サイバー企画課課長補佐より「クレジットカード不正利用の手口と警察庁におけるフィッシング対策について」、小西啓介経済産業省商務・サービスグループ商取引監督課セキュリティ専門官より「クレジットカード決済のセキュリティ対策強化に向けた経済産業省の取り組みなど」のお話がありました。

また、かっこ株式会社より、EC事業者における不正被害の実態や対策状況についてご紹介いただいたほか、一般社団法人キャッシュレス推進協議会、ヤフー株式会社、PayPay株式会社、株式会社メルカリそれぞれから、EC事業者による取り組みや、フィッシング等に関する最新の不正事例の紹介があり、各事業者からの登壇者によるパネルディスカッションが行われました。

メルカリからは執行役員 VP of Trust and Safety Japan Regionの篠原孝明が登壇し、メルカリの不正に対する取り組みやフィッシング等に関する最新の不正事例について説明しましたので、その内容をご紹介します。

メルカリ・メルペイの不正利用の概況

メルカリでは2021年末から不正利用が増加しており、2022年の半年間でクレジットカード不正利用は23億円、フィッシングは9億円の被害額を計上しておりました。なお、様々な不正対策の効果により、7月以降、不正利用の影響は減少の見通しです。

こうした中で、安心・安全な利用環境の構築は経営の最重要課題であることから、2022年7月にEC事業と金融事業を横断したJapan Regionの不正担当部門を新設しました。

不正利用の全体像

メルカリの不正被害の内訳は、フィッシングからのアカウント乗っ取りによるものと、クレジットカードの不正利用に大きく分けられます。

特に実際のフィッシングに使われたメールやサイトは本物と見分けがつかない精巧なものとなっているため、送信元のメールアドレスやURLをしっかり確認することが重要です。

不正利用への対策

メルカリグループでは、「未然防止」と「不正検知後の早期対策」の2軸で対策の推進を進めてきました。その結果、不正利用被害は減少傾向にあり、一定の成果をあげています。その中でも、EMV-3Dセキュアは非常に有効なものでした。

3Dセキュアとは、クレジットカードで決済する際に、カード番号に加えて個人が設定したパスワードの入力を求め、カードの持ち主以外のなりすましによる利用を防ぐ仕組みです。

従来の3Dセキュアは全てのお客さまにパスワードの入力を求めるものであったため、カゴ落ちのリスクがありました。しかし、EMV-3Dセキュアでは、カード会社がデバイス情報に基づいてリスクに応じてパスワード認証有無を判定するため、お客さまの体験も良く、事業者にとってもカゴ落ちリスクを軽減できることがメリットです。

また、フィッシングに対しても、普段使用している端末とは異なる端末からのログイン時やメールアドレスやパスワードを変更した際には追加のSMS認証を送ることや、第三者が操作した場合でも気づくことができるよう、SMSに送信理由を表示することなどの対策を実施しています。

EMV-3Dセキュア導入前後で、決済の離脱率の変化は2～3%程度に抑えられており、カゴ落ちの影響を極小化することに成功しています。一方で、不正利用の金額は導入前の2021年12月と比較して、7月の実績では10分の1程度まで抑えることができています。

不正利用の金額は減少傾向ですが、月ごとに増減があります。これは、不正犯側で、アプリをEMV-3Dセキュアを未実装のバージョンにアプリをダウングレードする、当時対象外であったカードブランドに逃げるなど、EMV-3Dセキュアを逃れるような動きが見られたことによるものです。このように、不正犯がEMV-3Dセキュアを逃れる動きを見せていることからも、対策としての有効性を確認することができました。なお、これらのリスクは既に対応済みです。

今後は不正決済だけでなく、入口で不正犯を捕捉できるよう、アカウント作成時や不正ログインなどの部分での対策をより一層強化していきます。また、対策を強化することで、不正利用ではないお客さまの巻き込みなどが発生しないよう、随時条件の見直しを進めていきます。

業界横断での今後の対策

特定の事業者だけが対策をしても、不正犯は別サービスで同じことを行うため、いたちごっことなってしまいます。そのため、業界横断でフィッシング・不正利用の手法や対策、その効果の共有をし、業界全体で対策をすることが重要です。また、関係省庁含め、官民一体となった連携が必要です。被害が起きた後に事後的に対策を打つだけでなく、他社で起きた不正の情報に触れて、被害を未然に防ぐ取り組みが重要です。

個々人でできる対策