ユーザーの利便性と安全性の強化は二律背反?
ログインから購入までのプロセスがシンプルで簡単なほど、ユーザーにとっては使いやすいECサイトになる。ログインをして商品をカートに追加し、すぐに購入(決済)まで完了するように簡素化すれば、かご落ちによる機会損失も防止できる。しかし、それでは不正を検知するのが難しく、サイトの安全性が低下してしまう。
安全性を高めるためには、ワンタイムパスワードやSMSテキストなど、外部の認証方式を組み合わせ、追加認証で本人確認を強化する対策などが考えられるが、この場合はユーザーの利便性が著しく損なわれてしまう。たとえば決済前の追加認証などは、まさにかご落ちの直接的な原因になりやすい。
「ユーザーの利便性向上はEC事業者にとって利益に直結する『攻め』の対策。一方、安全性の強化はマイナスをゼロに近づけるイメージの『守り』の対策です」(平井氏)
本来は「攻め」と「守り」の両方の対策が必要なのだが、一般的に両者はトレードオフの関係にあることから、どうしても利益につながる利便性=攻めの対策を重視して、安全性=守りの対策が後手に回ってしまうケースが多いと平井氏は指摘する。
「我々が認識している現実として、不正や詐欺に値するトランザクションは世界的に増えています。守りの対策も喫緊の課題と捉え、自社で積極的に対策を講じる必要があります」(平井氏)
ECを取り巻く脅威の動向
では、実際にどのような脅威があるのか。平井氏は、スレットメトリックスの膨大なトランザクション分析から得られたデータに基づき、主にECをターゲットとした攻撃や不正行為などの動向を紹介した。
それによると、2018年第一四半期(1月~3月)だけでEC事業者向けの攻撃は、約1億5,000万トランザクションを確認。自動化された大規模なBOT攻撃も全業界で、8億2,000万件以上確認された。
トランザクション種別ごとの攻撃の傾向としては、「決済」の攻撃は比較的少なく、「ログイン」と「アカウント開設」の攻撃が多い。特に2017年の後半から急増しているという。
「不正なログインやアカウント開設により行う詐欺行為としては、優良顧客になりすまして登録済みクレジットカードで決済、商品送付先を受取代行サービス事業者などに設定して高額な商品を詐取するといった手口が増えています」(平井氏)
また、EC分野に限らず攻撃や不正行為は高度化・巧妙化しており、場所の特定を困難にするプロキシやTOR(The Onion Router)経由のアクセスなども増加。攻撃の広範囲化も目立ち、年間3億を超えるBOTトランザクションが米国、中国、インド、ベトナム、ブラジル、ロシアなどの海外を起点として多発。国籍を詐称した日本への攻撃も増加しているという。
