2023年の不正被害額
2021年から一部の加盟店で3Dセキュアがアップデートされ、EMV 3Dセキュア(3Dセキュア2.0)がリリースされました。
2022年10月以降は旧バージョンの3Dセキュアだと加盟店側にチャージバックが発生するため、
それ以降はEMV3Dセキュアが本格的に普及していくことになりました。
(EMV 3Dセキュアでの取引であってもチャージバックが発生するケースはあります。)
2022年10月には経産省から3Dセキュアの義務化の方針が出され、その後2023年3月に経産省から義務化の期限を2025年3月と明言するセキュリティガイドラインが発表されました。
そのため、2023年以降は3Dセキュアの普及率はかなり向上しています。
決済代行会社・カード会社の方のお話からも、3Dセキュアを導入しているECサイトは増えているというのは間違いなさそうです。
では、2022年から2023年にかけて3Dセキュアの導入が進んでいるということですが、2023年の不正利用額はどうなったのでしょうか?
(出典元:一般社団法人日本クレジット協会、クレジットカード不正利用被害の集計結果について URL:https://www.j-credit.or.jp/download/news20221228a1.pdf、
https://www.j-credit.or.jp/download/news20231228_a1.pdf)
2022年の年間での不正被害金額が411億円でしたが、2023年の1月〜9月の被害額は376億円になっています。
2022年の1月〜9月の被害額は291億円であるため、前年対比で増加傾向であることがわかります。
実際にEMV3Dセキュアを導入したECサイト:大量アタック被害に遭いカードの利用停止まで至った事例
弊社の不正検知サービス「ASUKA」を導入いただいているECサイトでも、EMV3Dセキュアと併用いただいているケースもありますので、そこで実際に起きた話をこれから紹介いたします。
その加盟店さんは、ある月に数百万円の不正被害に遭ってしまい、不正対策を検討する中で弊社の不正検知サービスをご導入いただきました。
その結果、導入から3ヶ月後にはほぼ不正が発生しないところまで削減することができました。
その後も特に目立った不正被害はなく運用していただいていたのですが、決済代行会社からの推進もあり2022年の後半に3Dセキュアを導入することになりました。
3Dセキュアを導入したので、チャージバック請求は来なくなりますし、どの取引が不正利用だったのかといった連絡も来なくなります。
そのような連絡が来なくなると、不正利用自体が全く発生していないかのように感じてしまいますし、今まで怪しい取引はないかと目を光らせることもしなくなってしまいますので、不正対策そのものに対する関心が薄くなってしまうのです。
その加盟店さんは「3Dセキュアさえあれば不正対策は万全だろう」と判断してしまったので、早々に不正検知サービスを解約する決断をされました。
それから数ヶ月後にその加盟店さんから弊社に連絡がありました。
「大量アタックがあり、カード会社からカードの利用停止措置を取られてしまうかもしれない。」
その連絡を受け早急に利用手続きを行い、連絡を受けて数日で不正検知サービスの利用再開に至りました。
利用再開後も大量アタックはあったのですが、それらは不正検知サービスでブロックすることができたため大事には至らずに、カードの利用停止措置もされずに済みました。
3Dセキュアを導入していても
数千万円レベルの不正被害に遭ってしまった事例
また別の加盟店さんは、2022年よりEMV3Dセキュアにバージョンアップしましたが、不正利用集団に目をつけられてしまいました。
不正利用集団がアクセスしてきていることを不正検知サービスで検知できていたのですが、その数が見過ごせる量ではなかったので不正検知サービスのバージョンアップの提案や目視チェックの運用の提案をさせていただいておりました。
しかしその加盟店さんからすると、3Dセキュアを導入しているので、不正確定の連絡やチャージバックの連絡は来ず金銭的な実損はありません。そのため、不正対策に対しての関心は薄い状態でした。
しかし、とあるタイミングでその加盟店さんに決済代行会社から「不正顕在化加盟店に登録されました。不正対策を早急に実施してください。」という連絡が入ってしまったのです。
詳細を聞いてみると、その加盟店さんから見えていないだけで、不正利用が数ヶ月で数千万円レベルの被害が発生してしまっていたのです。
まさに弊社側が危惧していた事態が起きていたのです。
そこから早急にその加盟店さんにて不正検知サービスのアップデート等を実施いただき、その2ヶ月後には月数十万円レベルの不正状況まで抑えることができました。
不正顕在化加盟店に登録されてしまうとカードのオーソリの承認率をイシュアー側で下げられてしまうケースがあります。
今まではカード決済が使えていたお客様のカード決済処理が急に通らなくなってしまうことがあるのです。
しかも一度不正顕在化加盟店に登録されてしまうと、その解除には時間を要してしまうので、この加盟店さんでも不正利用が落ち着いた後も「なぜかカード決済ができない」というお客様の問い合わせが入り続けたようです。
最終的には不正被害レベルを低い水準で継続することができたため、徐々にオーソリの承認率を回復させることに成功しました。
これからの最適な不正対策とは?
本記事を読んでいただいている方の中にも、2025年3月には3Dセキュアを導入しなければいけないということで不正対策はとりあえず3Dセキュアを導入すればよいか、と思っている方もいらっしゃるかと思います。
しかし今回ご紹介したように3Dセキュアによる不正対策は万全ではありません。
では、どのような不正対策が最適なのでしょうか?
それは3Dセキュアに頼りすぎない、ということです。
3Dセキュア以外にも、今回ご紹介したような不正検知サービスを併せて利用するもいいですし、出荷・サービス提供前に注文情報を目視チェックしたり、ECサイト側で取り決めたフィルターにかけたり、という運用が重要になってきます。
3Dセキュアの一本足で不正対策をしているECサイトは不正ユーザーからすると狙いやすく見えてしまいます。それ以外の対策が多層的に行われているだけで不正ユーザーは嫌がります。
なかなか目視チェックなどの運用体制の構築が難しいケースもあるかもしれませんが、そのようなケースはぜひ弊社の不正検知サービスをご検討ください。
