クレジット不正被害555億円の現実 EC事業者はどう顧客を守るべきか
2023年時点で24.8兆円規模となっている日本のBtoC-EC市場(経済産業省調べ)。2014年の調査開始時の数値12.7兆円と比べると、その市場規模は約2倍にまで拡大しているが、それ以上に増えているのがクレジットカード不正利用被害だ。日本クレジット協会の調査によれば、2024年の被害額は555億円、2025年の上半期(1月~6月)も既に314.6億円を記録しており、増え続ける被害から目を背けられない状況となっている。
「不正利用被害額は、2020年から2023年にかけて毎年約100億円ずつ増加しました。これは異常事態といって良いでしょう。コロナ禍を契機にEC利用が増えたこと、世界的な情勢の変化によって海外の犯罪集団による攻撃が激化したことが要因として考えられています」(板橋氏)
こうした状況を受け、各省庁は新たな法整備を行ったり、関連団体とともに事業者・消費者双方に対策を呼びかけたりといった様々な働きかけを行っている。
「IPAが作成・公開した『ECサイト構築・運用セキュリティガイドライン』もその一つです。経済産業省から依頼を受け、作成しました。主に中小企業の方々を対象に、ECサイト運営をする上で必要なセキュリティ対策をまとめています。経営者向け、実務担当者向けと章を分け、実務に役立てられるチェックリストも盛り込みました」(大久保氏)
「制度としての特に大きな変化は、2025年4月に義務化された3Dセキュア2.0(EMV 3-Dセキュア)でしょう。実は、日本クレジット協会の調査(前出)のクレジットカード不正利用被害額を見ると、義務化後の2025年4月~6月は被害額が直近2年の中で唯一減少しています。あくまで憶測ですし、もう少し長い目で結果を見る必要はありますが、3Dセキュア2.0によって防げている被害もあるはずです」(板橋氏)
最短距離で購入に導き、コンバージョンを上げたいEC事業者にとって、決済時の認証ステップは煩わしいものかもしれない。しかし、短期的な利益を求めて長く付き合うべき大事な顧客の被害を見逃すのは健全な営業スタイルとはいえない。義務化されている項目に対応するのはもちろんながら、「事業者として信頼や健全性を保つ上でも、セキュリティ対策は『余裕があればやる』ではなく、必須要件として対応していただきたい」と板橋氏は強調した。
顧客を守るはずが被害に加担する側に ウェブスキミングの脅威
3Dセキュア2.0は、決済時の本人認証によって不正利用を防ぐ有効な手段だが、EC事業者はそもそもシステムの内部に入りこまれないよう策を施さなければならない。
「顧客に注意喚起するだけでなく、EC事業者側も不正プログラム(マルウェア)感染を目論むフィッシングメールや詐欺サイトに引っかからないようにしなければなりません。以前は海外から攻撃を仕掛けられても、日本語の不自然さから怪しいメールやサイトを見破れましたが、今は生成AIの発達により言語の壁がなくなりつつあります。騙されると自身のIDやパスワードが盗まれ、そこから管理画面に侵入されてしまいます」(大久保氏)
また、現在ECサイトを狙う攻撃の主流となっているウェブスキミング(デジタルスキミング)には「特に注意が必要」だと大久保氏は警鐘を鳴らす。
「ウェブスキミングは、ECサイトの脆弱性を突いて内部に入り込み、プログラムやHTMLを改ざんして顧客情報を盗むサイバー攻撃の一種です。システムのロックや脅迫画面の表出によって気づけるランサムウェアと異なり、情報が漏えいしていることに気づかないままEC運営を継続できてしまうところがこの攻撃の最も恐ろしい点といえます」(大久保氏)
ウェブスキミングは、ECサイト運営者側で検知するのが難しく、不正利用の被害報告を受けたクレジットカード会社や警察からの問い合わせによって発覚するケースが多いという。
顧客に良質な商品やサービスを提供する側だったはずが、気づかぬ間に顧客の大切な情報を攻撃者に横流しする立場になってしまっていた━━EC事業者にとって、これほど恐ろしいことはないだろう。こうした侵入は、なぜ起きるのか。主要因として板橋氏はECパッケージやプラグインのバージョン管理不備を挙げた。
「開設当初の古いバージョンから、一度もアップデートせずに使い続けている事業者もゼロではありません。攻撃者はこうした脆弱性を利用して内部に入り込もうと、日々標的を探しています。機械的に攻撃対象を探していますから『うちの知名度では狙われないだろう』といった考えではいけません。セキュリティの穴はとにかく埋めていきましょう。こうした日々のメンテナンス工数が確保できないのであれば、安全性担保のためにASP型のカートに乗り換えるといったことも考えるべきです」(板橋氏)
損失額と事故対応費用で約8,000万円 一度のリスクが事業存続の危機に
顧客から個人情報を預かる立場でありながら、EC事業者のセキュリティ対策が後手に回ってしまう理由はどこにあるのか。大久保氏は「セキュリティ対策から売上は生まれないと考えられているからだろう」と分析しながらも、「ECサイト構築・運用セキュリティガイドライン」に記載されている、実際の被害額から算出した“ある数字”を共有してくれた。
「サイバー攻撃を受け、対応のためにECサイトを閉鎖した場合、売上高の平均損失額は1社あたり約5,700万円、事故対応費用の平均額は1社あたり2,400万円といわれています。事業規模が大きければこの額はより大きくなりますし、中小の事業者の場合、一度の事故が事業撤退や倒産といった最悪の事態を招く可能性もあります。
また、金銭的な被害以上に深刻なのが『信頼の失墜』です。どんなに良い商品を取り扱い、サービスを向上させても『個人情報が漏れるECサイト』とレッテルを貼られてしまった後に離れた顧客を取り戻すのは、容易ではありません」(大久保氏)
主治医や相談相手を見つけ「何も起きていない」という最大の成果を得よう
では、こうした脅威から自社の身を守るには、何から手をつけたら良いのだろうか。板橋氏は「現場だけの努力では限界があるので、経営者の理解やコスト捻出面での協力も必要」とした上で、ECサイトの“健康診断”を定期的に受けるよう呼びかけた。
「IPAが実施するヒアリングでも、『担当者の入れ替わりや退職によって、現在のシステム構成やプラグインのバージョンが正確に把握できていない』といった声をよく耳にします。そもそも、現状がわからなければ的確な対策も打てませんので、信頼できる外部のセキュリティベンダーを見つけ、脆弱性診断から始めることをおすすめします。
実績豊富なパートナー企業を“主治医”として見つけられれば、予算に応じた段階的な修正計画を立てられますし、平時の安全確保に加え、有事の際の命綱にもなります。依頼時には、責任分界点を明確にすることも意識すると良いでしょう」(板橋氏)
また、セキュリティ事故発生時の負担を最小限に抑えるために、「保険会社各社が取り扱っている『サイバー保険制度』を活用するのも一つの手」だと同氏は補足。IPAでも「情報セキュリティ安心相談窓口」を設け、技術的な相談に対するアドバイスを提供しているため、「対策の入り口から迷っている場合は、ぜひ一度活用してみてほしい」と続けた。
「セキュリティ担当者は、扱う情報の機密性から相談相手を見つけづらいと思います。しかし、万が一被害が発生した際に右往左往して時間をロスすると、損失が拡大してしまいます。一人で抱え込まずに相談できるルートは、必ず確保しておきましょう」(大久保氏)
SNSの発展などにより、特にマイナスな情報の拡散スピードが格段に上がる昨今。消費者のデジタルリテラシーの高まりも後押しし、「セキュリティ対策をしていることをプラスの価値に転換する視点がもてると良いのではないか」と大久保氏は提案する。
「たとえば、EC業界ではJADMA(公益社団法人日本通信販売協会)が発行する『データ保護マーク』、IoT機器には『JC-STAR』といったように製品やサービスの安全性を示す公式的なマークが存在します。顧客にとって初見のECサイトや商品でも、これらを明示してアピールすることで不安の払拭やコンバージョン向上に期待ができるはずです」(板橋氏)
「信頼はお金では買えませんが、セキュリティへの投資によって『しっかり守りの施策も行う事業者』というイメージを育てることは可能です。『何も起きていない平和な状態』こそが最大の成果と捉え、経営者も担当者もセキュリティ対策に取り組んでいただきたいと思います」(大久保氏)
「わからないから後回し」ではなく、「わからないからこそ先回り」が功を奏すセキュリティ対策。ぜひ「ECサイト構築・運用セキュリティガイドライン」を地図とし、主治医となるパートナー企業とともに正しく恐れ、立ち向かえる体制を構築してみてはいかがだろうか。
