クレジットカード決済の利⽤シーンの拡⼤に伴い、特にオンラインでの決済においては、
カード情報の漏洩等による不正被害額が年々増加しています。
中でもクレジットカード番号等の情報盗用による不正利用が後を断ちません。
情報盗用の手口には、クレジットカード番号の規則性を利用して他人のカード番号を割り出す「クレジットマスター」と呼ばれるものもあります。
つまり、クレジットカード番号をネット上に入力していなくても、カード番号が割り出されて第三者に利用されてしまう可能性があるということです。
不正利用の手口も巧妙化しており、オンライン決済においては不正利用を未然に防ぐことが事業拡大においても非常に重要なポイントとなります。
実際の不正利用の手口とは
CtoCサービスでの不正利用
CtoCサービスは、個人間で気軽に商品やサービスの売買ができるという利点があります。
一方で、特に本人確認等が行われないサービスの場合、販売者・購入者共に任意の情報で登録することが可能なため、そこを不正利用者に狙われるケースがあります。
■不正カードを現金化する
CtoCプラットフォームサービスでは、販売者が任意の品物やサービスを提供し、購入者がカードで決済をします。
自身が販売者として登録→自分でその商品を不正カードで購入→販売者として売上金の振り込みを申請して現金を得る
実際のカード保有者が不正利用に気づく頃には、すでに金額が引き出されてしまっているといったケースも多いようです。
■商品を不正に入手し転売する
不正カードで高額商品を購入し、他サイトなどで転売して売上金を得るといったケースです。
配送先が海外転送サービスを利用した住所になっている、宅配業者受け取りとなっているといったことが多いようです。
また、他サイトで不正入手した商品の転売方法として、CtoCプラットフォームが利用されてしまうこともあります。
高額商品を販売しているサイトでの不正利用
高額商品は転売がしやすいため、不正利用者に狙われるケースが非常に多いです。
CtoCのケースと同様ですが、不正カードで高額商品を購入し、他サイトなどで転売して売上金を得るといったケースです。不審な大量の高額商品購入等は注意が必要です。
不正利用が行われた場合の流れ
不正利用が検知されるタイミング
不正利用が行われた場合、検知されるタイミングは原則下記のいずれかとなります。
a) 加盟店で注文情報等から不正な利用であることを検知
b) カード発行会社の独自ロジックにより、悪用懸念ありとして検知
c) カードユーザーが利用明細や利用通知等で覚えのない請求に気づく
a) 加盟店で注文情報等から不正な利用であることを検知
注文情報等から不正利用であると思われる場合は、加盟店判断にて発送停止やキャンセルの処理をご対応ください。
怪しい注文と思われるものの確証が得られない場合には、カード会社に確認をすることが可能です。
カード会社への依頼の詳細はこちらをご確認ください。
b) カード発行会社の独自ロジックにより、悪用懸念ありまたは悪用確定として検知
各カード発行会社でも、過去の不正利用の傾向などに基づき、不正利用の検知をしています。
カード会社で不正利用と判断された場合は、「配送保留」または「配送停止」の依頼がカード会社から入ります。
いずれかの連絡があった場合は、弊社から各加盟店に連絡をしますので、所定の流れに沿ってご対応ください。
c) カード保有者が利用明細・利用通知等で覚えのない請求に気づく
カード保有者が利用明細や利用通知等で不正利用に気づくケースです。
aとbに比べて、不正利用の発生から検知までに時間がかかります。
カード保有者はカードの請求内容に対して異議を申し立てをする「チャージバック」という権利を有しています。
身に覚えのない請求に対してカード保有者がチャージバックを申し立てた場合、下記の流れで連絡が入ります。
カード保有者→カード会社→PAY.JP→加盟店
チャージバックの流れの詳細は下記をご参照ください。
なお、チャージバックは売上確定からおよそ半年間は発生する可能性があります。
不正利用がチャージバックとなり成立した場合
チャージバックが最終的に成立し受け入れとなった場合、商品やサービスが提供済みであってもその代金は加盟店負担となります。
※詳細は「 利用規約-第7条-5項」をご確認ください。
チャージバックの成立(受け入れ)に関する詳細は下記ヘルプページをご参照ください。
不正利用は抑制する・未然に防ぐことが重要
チャージバックには原則「反証」の機会が与えられています。
※状況によっては初回から反証不可のケースもありますのでご了承ください。
チャージバックが不当であるとして、加盟店からカード会社にエビデンスを提出し、正当な利用であることを示すことができれば、反証成功としてチャージバックは不成立となります。
一方で、特にオンライン決済においては「カードを使った人物=カード保有者」であることを証明するのは非常に困難です。
そのため、不正利用によるチャージバックにおいて反証が成立する確率は非常に低いです。
またチャージバックの受け入れ判断はカードブランドおよびクレジットカード発行会社が行うため、カードユーザー保護の傾向が強く、クレジットカードを保有している本人の利用否認によりチャージバックが強制的に成立してしまう側面もあります。
このことからも、不正利用は、発生自体を抑制する・未然に発生を防ぐ ということが非常に重要です。
不正利用を抑制するための対策
PAY.JPで提供している対策
■3Dセキュア
3Dセキュアとはオンライン決済をより安全に行うための追加認証サービスです。
「クレジットカード番号」や「有効期限」などのクレジットカードに記載されている情報に加え、「カード保有者本人しか知りえないIDやパスワード(※)」の入力が求められます。
そのため、クレジットカード情報の盗用による「なりすまし」などの不正利用を未然に防ぐことができます。
コンバージョンに影響するため、一定金額以上の場合のみに3Dセキュアが入るように各加盟店の実装でハンドリングすることなども可能です。
各加盟店における対策
サービススキームや取り扱い商品によってどのような対策が必要かは異なります。
そのため、不正利用への対策は、各加盟店での対応検討・導入も欠かせません。
基本的には各加盟店において対策を検討いただく必要がありますが、経済産業省からはオンライン取引において「実行計画に掲げる4方策」が推奨されております。
本人認証(3Dセキュア、認証アシスト)
券面認証:カード情報入力時にセキュリティコード必須とする
属性・行動分析(不正検知システム):過去の取引情報等に基づくリスク評価によって不正取引を判定する
配送先情報:不正配送先情報の蓄積によって商品等の配送を事前に停止する
また、具体的な例としては下記のような対策が取られているケースがあります。
入力されたクレジットカード名義と注文者氏名が異なる場合は発送をしない
注文者のメールアドレスが、無料アドレスや一定期間のみ有効な特殊なアドレスの場合は、注文者に連絡がつくことを確認してから商品を発送する
一定金額以上の商品販売については本人確認書類の提出を必須とする
過去に不正利用があったものと同一情報で注文があった場合は発送をしない
IPアドレスブロック等を行う など
それでもチャージバックが発生してしまったら
株式会社アクル様と提携し、チャージバック保証サービスを提供しております。
チャージバックが発生した際に、事業者が受ける損失を補填するのがチャージバック保証サービスです。
ご希望の方はまずは弊社サポート窓口までご連絡ください。
▼参考:オンライン決済サービス「PAY.JP」が不正決済対策の取り組みを開始