1. 「配送先情報」での不正対策とは?
経済産業省から出されているクレジットカード・セキュリティガイドライン[4.0版]にてEC事業者に求められる不正利用対策として4つの具体的方策が案内されています。その中に「配送先情報」というものがあり、その詳細は以下に案内がされています。
以下、クレジットカード・セキュリティガイドライン[4.0版]より抜粋
———–
- 過去に不正利用された注文等の商品の配送先情報を蓄積し、照合することで、取引成立後であっても商品等の配送を事前に止めることで不正利用被害を防止する手法である。現在、大手 EC 加盟店が独自のデータベースを運用しているほか、カード会社複数社が共同で運用しているサービスやシステムベンダーが提供するサービスがある。規模の小さい EC 加盟店では、不正利用に使われた配送先情報の把握が困難な場合もあるため、外部の事業者が提供するサービスを利用することも有効である。
- 「配送先情報」による不正利用対策では、加盟店自らが取引顧客の配送先情報から、不正な取引か否かの判断を行うため、EC 加盟店において不正判断のノウハウを蓄積し、対策実施のための体制構築が必要となる。
———–
要約すると、過去に不正利用で使用された配送先情報をブラックリスト化し、受注時にそのブラックリストと突合して水際で不正利用を食い止めましょう、という対策です。この手の対策はかなりオーソドックスで古くから使われています。アクルのブログにおいても配送先情報を活用した不正対策についての記事がありますので、こちらも良ければご覧ください。
クレジットカード不正対策における目視チェックのポイントと課題とは?
2. なぜ「配送先情報」は不正対策として有効なのか?
さて、今回この記事においては最新の配送先情報に関する不正利用の傾向についてご紹介をさせていただくのですが、改めてなぜ配送先情報を活用した対策が有効とされているのか?をご紹介させていただきます。
不正利用の手口は不正に取得した第三者のクレジットカード情報を利用してECサイトでモノを注文します。そのモノが不正利用者の元に届いたら、それを転売して現金等を得るというのが彼らの手口になっています。そのため、物販の場合であれば注文したモノを不正利用者は受け取る必要があります。
そういった不正利用者の手口から導き出された不正利用者の特徴として「不正利用者は不正に注文したモノを受け取る拠点がある」ということです。その不正利用者の拠点をブラックリスト化して共有することにより、不正利用の対策として有効になると考えられています。
不正対策としてはかなり古典的な手法ではあるのですが、引き続き拠点でモノを受け取っている不正集団も多いので今でもこの対策は使い続けられていますし、効果を発揮しています。
3.「配送先情報」での不正対策の落とし穴
しかしこの方法は長く使われている対策であるため、逆に不正利用者側からも対策が打たれるようになってしまっています…
不正利用者側もいつの日からか不正注文してもモノが届かなくなってしまうのに気づき、対策を打たれているのでは?と勘繰られてしまったということですね。不正対策はイタチごっこなので致し方ないことなのですが…
不正利用者側が同じ住所を使い続けると注文できなくなるということに気づき、転送倉庫を指定したり、ホテルを利用したり、ウィークリーマンションを使ったりして何とか不正対策の網をくぐり抜けようとしています。
最近ではアクルのブログでも紹介しているような善意の第三者を介在させて、巻き込むような手口も出てきてしまっています。詳細は以下のブログをご覧ください。
「不正住所照合サービス」が原因でお客さんからのクレーム増加!?~真正利用者の住所が不正住所として登録されている原因とは~
これらの手口は善意の第三者の住所が配送先に指定されてしまうために、非常に対策が打ちにくいのですが、直近ではメルカリ等側での対策が強化され出品者側のパトロールが行われていますので、だいぶこの手のやり口に対する対策も効いてきているような状況です。
4. 最近流行っている「置き配」を悪用した手口とは?
そうなると不正利用者はまた不正利用が成立しなくなってしまうので次なる手口を使ってくるわけですね。ようやく本題なのですが、その手口を紹介していきます。
その手口とは…
「置き配」を悪用した手法です。
コロナ禍によりここ数年で急激に市民権を得ることになった「置き配」という配送方法を悪用しているケースが散見されています。ECでの配送と言えば以前は玄関先で配達員の方と対面して受け取るのが一般的でした(もしくは宅配BOXへの配送もマンションタイプの住居では多くなっていますね)が、コロナ禍により人と対面する機会を極力減らすために、ということで「置き配」が浸透するようになりました。実際にECサイトによっては置き配を配送方法として選択できるようにしている場合もありますし、置き配を指定していなくてもインターホンで「玄関先に置いておいてください」と配達員の方に伝えれば置いてくれるようになっています。そんな「置き配」をどのように悪用しているのでしょうか?
みなさんもご経験があるかもしれないのですが、「置き配」を指定していたことを忘れて1日中家の中で過ごしていて、翌日家を出る時に「あ、昨日配送されていたのか」と気付くという経験はないでしょうか?
実はこの「受取人がいなくても配送が完了してしまう」性質を不正利用者に悪用されているのです。
まず不正利用者はターゲットを探します。それは空き家だったり、ほぼ人の出入りのない家(集合住宅であれば部屋)が狙い目になります。
ターゲットが決まったら、その住所を配送先に指定してモノを注文します。このときに「置き配」を指定します。モノが届きますが、置き配なのでその家の玄関先にモノが置かれます。
そしたら不正利用者は玄関先に置かれたモノを何食わぬ顔でピックアップして立ち去っていくのみです。
シンプルな手口です。シンプルすぎるゆえその家に人がいたら、とかそのタイミングで住人が帰ってきたら…とか考えてしまうのですが、不正利用者はその家が空き家だったり確実に人がいない時間帯を把握していたりします。そのため、基本的にこの手口での配送においては「配送日時が指定」されていることが多いです。住人がいない時間帯を把握していて、その間に置き配を完了させ、住人が帰ってくる前にそれをピックアップしてしまうという手口になります。
この場合、使われている住所は実際に善意の第三者が住んでいる住所であるケースが多いのが厄介なところです。もしくは最近では個人情報を貸すようなアルバイトもあり、それでお金のために貸してしまった住所が悪用されるケースもあります。いずれのケースにおいても実際に住んでいるのは我々が捉えたい不正利用者の住所ではないので、配送先情報だけで捉えることのできない手口となってしまっています…
5.「置き配」指定ができなくてもその被害に遭うケースが増えている!
ここまで読んでいただいたEC担当者の方の中には「ウチのECは置き配やっていないから大丈夫だ。よかった。」とほっと胸を撫で下ろした方もいらっしゃるかもしれないのですが、実は置き配指定ができないECでもこの手口の被害に遭っているケースがあるんです。むしろそのケースの方が多いかもしれません。
置き配指定できないのになぜ?その手口とは…
配送先住所の末尾に置き配をしてほしいことを記載してくるのです。
具体的には以下のような表記をしてきます。
「東京都港区六本木1−9−9 六本木ファーストレジデンス 101号室 玄関前に置いてください」
これはかなり要注意です。怪しいので出荷停止して本人確認等の対応をしたほうがよいです。
日本の良さであり優しさでもありますが、運送会社のスタッフの方がこのような表記で書かれた伝票や送り状を見たらどうすると思いますか?
多くのスタッフの方が、書いてある通り玄関前に置いてしまうのが容易に想像できてしまいます。
その優しさを逆手に取った手口になります。
上記のような記載はかなり特徴的なので目視チェックで防げないこともないのですが、目視チェックでは限界がありますので、やはり防ぎ切るのは大変です。
先述の通り置き配指定ができるECサイトの場合は、それだけで見分けることができないので尚のこと不正を検知するのが難しいのが現状です…
EC事業者側でこういった不正利用を防止するには?
アクルが提供している不正検知・認証システム「ASUKA」では、今回ご紹介したような手口も検知をしている実績があります。
不正利用にお困りの方はぜひアクルまでお問合せください。
