決済の不正利用は、事業者の財務状況と顧客のプライバシーを脅かす可能性があります。不正利用に立ち向かうには、不正利用者が使用する戦術と同じくらい高度で柔軟な防御ソリューションが必要です。
決済の不正利用は、保護されていないカードリーダーからクレジットカード番号を盗むことから、悪意のある偽のメールまで、さまざまな形態で行われます。たとえば、Tessian による 2021 年の調査では、アメリカの従業員が、金銭的な不正行為を促すメールを、平均で 1 年間に 14 通受け取っていることが示されています。業界によっては、この数はさらに大きくなり、小売業の従業員は平均で 1 年間に 49 通の不正なメールに対処しています。
フィッシングは最もよく見られる種類の決済の不正利用の 1 つであり、2020 年に発生した全データ侵害の 44% を占めています。不正利用者が ATM や決済端末でカード情報を取得するスキミングが事業者にもたらすコストは、毎年 10 億ドルと推定されています。盗まれた個人情報を使用して不正購入を行う、なりすまし犯罪は、FTC によれば、2021 年に報告された約 600 万件の不正利用の 24% を占めます。これらは、事業者が立ち向かわなければならない決済の不正利用の種類のほんの一部に過ぎません。
決済の不正利用は大きな脅威ですが、事業者はいくつかの効果的な防御方法を利用することで、不正利用を減らすことができます。ここでは、一般的な決済の不正利用の種類について事業者が知っておくべきこと、各種類の不正利用の仕組み、そして事業者が自分、事業、顧客を守るためにできることをご紹介します。
この記事の内容
- 決済の不正利用とは何か
- 決済の不正利用の種類
- 不正防止のメリット
決済の不正利用とは何か
決済の不正利用は、虚偽の決済情報または盗まれた決済情報を使用して、金銭や商品を手に入れる金融詐欺の一種です。決済の不正利用はさまざまな形で行われますが、一般的なものは、不正利用者がクレジットカードや銀行口座の情報を盗む、小切手を偽造する、または盗まれた本人確認情報を使用して不正取引を行うというものです。
決済の不正利用の種類
不正利用者が決済の不正利用を行うために使用する方法がいくつかあります。ここでは、最も一般的な手法をご紹介します。
フィッシング
内容:
フィッシングは、ソーシャルエンジニアリング攻撃の一種で、心理操作によって人々を騙す手法です。不正利用者は、不正なメール、ショートメッセージ、ウェブサイトを使用して人々を騙し、ログイン認証情報やクレジットカード情報などの機密情報を開示させます。
フィッシング攻撃では、一般に、銀行や有名なオンライン小売業者などの信頼できるソースから送信されたように見せかけるメールが使われます。メールでは、リンクをクリックしてアカウント情報を更新したり、最近の取引を確認したり、賞品を受け取ったりするよう、受信者に働きかけます。受信者がリンクをクリックすると、偽のウェブサイトが表示され、そこでログイン認証情報、クレジットカード情報、その他の機密情報を入力するように求められます。
フィッシングはショートメッセージを使って行われることもあり、その場合は「スミッシング」と呼ばれます。ソーシャルメディアプラットフォームを通じて行われる場合は、「ファーミング」と呼ばれます。これらの場合、攻撃者は個人情報を盗んだり、デバイスをマルウェアに感染させたりすることを目的として、メッセージや正当なものに見える虚偽のウェブサイトへのリンクを送信します。
防止方法:
フィッシング攻撃から身を守るには、知らない送信元や疑わしい送信元からのリンクをクリックしたり、添付ファイルを開いたりする際に注意することです。急かしたり、脅かしたりする言葉、綴りの違う単語、疑わしいリンクなど、不正利用者がよく使用する手法に常に注意を払います。ウイルス対策ソフトウェアを使用することも、フィッシング攻撃への対策に有効です。
ほかの種類の決済の不正利用と同様に、フィッシング詐欺も時とともに進化し、より高度化して、正当なメールとの見分けがつきにくくなっています。個人および事業者は、フィッシングに関する知識とこの種の攻撃を認識して回避する方法を学び、従業員を教育する必要があります。
スキミング
内容:
スキミングとは、不正利用者がスキマーという装置を使用して、クレジットカードやデビットカードの情報を盗む行為です。不正利用者は、ATM や、ガソリンスタンド、セルフレジ、その他の決済端末など、POS 端末のカードリーダーにスキマーを取り付けます。スキマーで取得したカードの磁気ストライプのデータを使用して、偽造カードを作成したり、不正購入を行ったりすることができます。
スキマーに加え、不正利用者が小型カメラや、ATM や決済端末のキーパッドを覆う装置を使用して、顧客の PIN を取得する場合もあります。そして、その情報を盗んだカードデータとともに使用して、不正に現金を引き出したり、商品を購入したりします。
防止方法:
スキミング装置は小型で目立たないことが多いので、スキミングを検出することは難しい場合があります。しかし、不可能ではありません。スキミング装置の存在を示す兆候がいくつかあります。たとえば、カードリーダーの取り付けが緩んでいる、カードリーダーに損傷がある、変わった装置や余分な装置が決済端末に取り付けられている、その地域のほかの決済端末とは見た目が異なる、などです。
スキミングから身を守るために、決済端末や ATM を使用する際に注意し、不当に改ざんされた兆候がないか装置をよく調べてください。PIN を入力するときにキーパッドを隠すことも、カメラを使用したスキミングを防止するのに役立ちます。
怪しい取引がないか、銀行やクレジットカードの明細書を定期的に確認して、スキミングが疑われる場合はできる限り早く、銀行または支払いカード発行会社に報告します。
また、デジタルウォレットや EMV チップ対応カードといったテクノロジーを用いた決済の場合、磁気ストライプカードよりも安全性が高いため、スキミングを防止できます。このような安全な決済手段に対応できるように準備することも、スキミングに対する強力な対策となります。
なりすまし犯罪
内容:
なりすまし犯罪とは、決済の不正利用の一種で、不正利用者が個人情報 (名前、社会保障番号、クレジットカード番号など) を盗み、それを使用して不正購入を行ったり、被害者の名前で口座を開設したりする行為です。なりすまし犯罪は、被害者に深刻な経済的損害や法的被害をもたらし、大きなストレスや不安を与える可能性があります。
なりすまし犯罪とは、いくつかの不正利用手法を表す総称的な用語です。たとえば、フィッシング攻撃もなりすまし犯罪の一種です。ハッカーが会社のデータベースへのアクセス権を取得して、大量の個人情報を盗むデータ侵害も、なりすまし犯罪です。その他のなりすまし犯罪手法には、メールの窃盗、ダンプスターダイビング、財布の窃盗などがあります。個人情報を手に入れた不正利用者は、その情報を使用して新しいクレジットカードアカウントを開設することも、融資を申請することも、虚偽の納税申告書を提出することさえも可能です。
防止方法:
事業者がなりすまし犯罪を防ぐために実施できる対策はいくつかあります。まず、暗号化など、不正アクセスを防ぐためのセキュリティ対策を利用して、顧客データを安全に保管することです。事業者は、業務上、顧客データを利用する必要がある従業員にのみ、顧客データへのアクセスを制限し、顧客データが含まれるすべてのアカウントとシステムに対して強力なパスワードと多要素認証の使用を義務付ける必要があります。
なりすまし犯罪を防止するには、従業員のトレーニングも重要です。トレーニングには、フィッシングメールの見分け方や強力なパスワードの作成方法といった、セキュリティに関するベストプラクティスを含める必要があります。
不正なログインやアカウント情報の変更などの疑わしいアクティビティが行われていないか、顧客アカウントを監視することは、なりすまし犯罪を早期に検出し、被害を軽減するのに役立ちます。決済用の適切な技術スタックを選択すれば、不正防止対策に時間とリソースを浪費せずにすみます。Stripe Radar は、不正利用の検出および防止用の高度なテクノロジーで、Terminal を含め、すべての Stripe 決済製品に組み込まれています。
最後に、データ侵害に備えて、影響を受けた顧客への通知やなりすまし犯罪からの保護サービスの提供といった対策を考えておく必要があります。
不正チャージバック
内容:
不正チャージバックは、「フレンドリー詐欺」とも呼ばれ、顧客が正式に行った取引であるにもかかわらず、自分は商品を購入していないと主張したり、料金を支払った商品やサービスを受け取っていないと主張したりして、不審請求の申請を行う手口です。顧客が商品やサービスを保持したまま返金を受ける場合があり、事業者にとっては経済的損失となります。不正チャージバックが発生すると、販売した商品の売上を失ったり、チャージバック手数料や罰金を科せられたりすることがあるため、事業者にとって深刻な経済的損失をもたらすおそれがあります。
不正チャージバックには、いくつかの方法があります。最も一般的な方法は、顧客が正当な購入を行い、後から、商品が説明と異なっていた、または商品を受け取っていないと主張して、クレジットカード会社に不審請求の申請を行うというものです。別の方法は、顧客が意図的に盗まれたクレジットカードを使用して購入し、承認していないとして不審請求の申請を行うものです。
防止方法:
不正チャージバックの防止策として、事業者は顧客の身元を確認し、その顧客が購入に使用されたクレジットカードの正当な保有者であることを確認する必要があります。たとえば、非対面カード支払いで署名や CVVコードを求めたり、住所確認や IP ジオロケーションなどの不正検出ツールを導入したりといった方法があります。事業者はまた、返金・返品に関する明確なポリシーを定め、さらに、不審請求の申請の取り扱いに関するプロセスを定める必要があります。事業者は、チャージバックに対する異議申し立てにおいて反証資料を提出する必要が生じた場合に備えて、領収書、配送先情報、顧客とのやり取りなど、取引の明確な記録をすべて保管しておく必要があります。
ビジネスメール詐欺
内容:
ビジネスメール詐欺 (BEC) は、メールで従業員を騙して偽の口座に送金させる、決済の不正利用の一種です。BEC 詐欺では、不正利用者が通常はフィッシングやソーシャルエンジニアリングの手法を用いてビジネスメールアカウントへのアクセス権を取得し、そのアカウントを使用して、電信送金などによる支払いを要請するメールを従業員やベンダーに送信します。
BEC 詐欺はさまざまな形で行われます。多いのは、上級幹部やベンダーになりすました不正利用者が、緊急の支払いや送金を依頼するものです。メールでは会社のブランディングや見慣れたメールアドレスが使用されており、正当なものに見えます。しかし、従業員がメールの指示に従った場合、不正利用者が管理する銀行口座に送金することになります。
BEC 詐欺では、人々が権威を信頼する気持ちを悪用したソーシャルエンジニアリングの手法が利用されることが多いため、気づくのが難しい場合があります。しかし、BEC 詐欺を示す次のような兆候があります。
- 早急な支払いの依頼
- 通常と異なる支払い指示
- 変わった文法やスペルミスを含むメール
防止方法:
BEC を防止するには、既にビジネスでほかの種類の不正利用対策として使用しているのと同じ手法やベストプラクティスの多くを使用できます。不審なメールを認識して報告する方法について従業員を教育し、2 段階認証や暗号化などの強力なメールセキュリティプロトコルを導入してください。
また、電話や対面での会話といった、別の方法を使用して支払い指示について確認するなどの、明確な支払い承認プロセスを設ける必要もあります。特に送金が絡む依頼には、社内での依頼に関する明確な手順書を用意することをお勧めします。
最後に、すべての不正利用の場合と同様に、疑わしいアクティビティーがないか銀行口座を定期的に監視し、法執行機関への連絡や影響を受ける可能性がある顧客やパートナーへの通知といった、BEC 詐欺への対処法を計画しておくことが重要です。
非対面カード支払いによる不正利用
内容:
非対面カード支払いによる不正利用とは、不正利用者が、クレジットカードを提示することなく、盗まれたクレジットカード情報を使用して (通常はオンラインまたは電話で) 購入を行う行為であり、決済の不正利用の一種です。CNP による不正利用は、EC ストアの普及に伴ってますます一般的になりつつあり、チャージバックや不正購入の責任を負うビジネスに多大な経済的損失をもたらすおそれがあります。
CNP による不正利用は、データ侵害などの方法で盗まれたクレジットカード情報を不正利用者が取得し、その情報を使用してオンラインで不正購入を行うのが一般的です。不正利用者はその他に、フィッシングなどのソーシャルエンジニアリングの手法を使用して、被害者から直接カード情報を入手することもあります。
防止方法:
事業者が CNP による不正利用を防ぐには、次のようないくつかの方法があります。
- 住所確認や IP ジオロケーションなどの不正利用検出ツールを使用して、顧客の本人認証を行い、疑わしいアクティビティーを検出する
- 2 段階認証やトークン化などの強力な認証プロトコルを導入して、カード情報を保護する
- チャージバックに対する異議申し立てに備えて、配送先情報や顧客とのやり取りなど、すべての取引の明確な記録をすぐに取り出せるようにしておく
- 返金と返品に関する詳細なポリシーを作成して明確に顧客に伝え、チャージバックと不正取引への対処手順を決める
不正防止のメリット
不正防止対策は、事業者に平穏をもたらし、財務資産と顧客データを保護し、顧客に対する評判を高め、規制への遵守を強化することができます。しかし、メリットはそれだけではありません。不正防止対策を導入することで、事業者が得られる主なメリットの概要を示します。
財務資産の保護
不正防止によって、事業者の財務資産を保護することができます。決済の不正利用は、単独でもコストがかかりますが、会社が成長するにつれ、大規模な不正利用が発生して、さらに大きな脅威をもたらす可能性があります。不正防止対策を導入すれば、事業者は経済的損失のリスクを軽減し、将来に向けた堅実な計画を立てることができます。顧客データの保護
事業者が強力な不正利用の検出および防止対策に投資すると、それは自分たちだけを守るのではなく、顧客も守ることになります。決済の不正利用には、多くの場合、クレジットカード番号や個人情報といった顧客データの窃盗が伴います。不正防止対策を導入することで、事業者は顧客のデータを保護し、顧客の信頼とロイヤルティを築くことができます。チャージバック件数の削減
事業者にとって、チャージバックがもたらす被害は単に売上と商品の損失だけではありません。問題を解決するために失った時間と労力に加え、追加の手数料や罰金が課せられることもあります。不正防止対策は、不正取引を検出して防止し、チャージバックの傾向と脆弱性を明らかにすることで、チャージバックを防ぐことができます。評判と顧客のロイヤルティの維持
不正利用を最小限に抑えるためにあらゆる対策を講じることで、事業者に対する顧客の信頼が高まります。決済の不正利用がまれにしか発生していなくても、事業者の評判を、時には取り返しがつかないほどに傷つけることがあります。不正防止対策を導入することで、事業者はセキュリティに献身的に取り組んでいる姿勢を示すことができます。プラットフォームとマーケットプレイスの顧客が自分たちの顧客と評判を維持できるかは、プラットフォームとマーケットプレイスにかかっているため、これは特に重要です。規制への遵守
多くの業界がデータセキュリティおよびプライバシーの規制要件の対象となっています。不正防止対策を導入することで、事業者はこれらの規制を遵守し、罰金や罰則を回避できます。
幸いなことに、Stripe が提供するものを含め、強力な不正防止対策には、決済を受け付けて処理し、顧客の注文を追跡し、会社の財務データを管理するための最新のハードウェアとソフトウェアが標準で付属しています。一般に、このような対策を導入したほうが、決済の不正利用が発生した場合のコストを支払うよりも安く済みます。
何百万ものグローバル企業のデータを使用して、あらゆるチャネルで不正利用をインテリジェントに防ぎ、Stripe 製品を保護する Stripe Radar の仕組みについて詳しくは、こちらをご覧ください。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。