Shopify構築日記 #162 不正利用対策というよりどうやって発生するのか？

　みなさん、いつもShopify構築日記をお読みいただき誠に有難うございます。忘れたころにやってくる不正利用対策を注意喚起を含めてトピックとして取り上げてみました。

　今回、改めてこの不正利用を取り上げた背景として以下。
①　不正利用対策について聞かれた
②　たまたまコミュニテーで不正利用に遭われた方の投稿を見た
③　そういえば、3Dセキュア2.0に切り替えると言われて一年近いよね

　という事で、おさらいをしてみました。

日本クレジット協会の資料より見やすくグラフ化したものがこちら

https://www.j-credit.or.jp/download/news20230630_a1.pdf

　コロナ禍で2020年はいったん下がりましたが、主要なトラベル系の不正利用が減ったがゆえに全体に影響を及ぼしているそうです。その後、外出できないがゆえに、どうしてもオンラインショッピングをせざるを得ない層（失礼ではあるがネットリテラシーの低い方）が一定数インターネットショッピングに出ることで、フィッシングサイトに引っかかり情報を抜かれているのではないか？と想像します。

　2022年の不正利用額は431億円。これは日本クレジット協会把握分となるので、少額で明細を取っていないor見ていない人は知らない間に被害に遭われているかもしれません。このエントリーを見ている人は、自身のクレカは必ずオンラインで明細を見れるようにし、利用したらメールが飛ぶようにしておいてください。
　いずれにしても、加盟店が負担するか？もしくは個人が負担するかの違いで不正利用には変わりません。まずは、怪しいと思ったらリンクを踏まないのが賢明ですね。

　で、気になっていた数値の一つに、2022年からこぞって3Dセキュア2.0を導入となりましたが、昨年の4半期ごとの不正利用額を見てみましょう。

日本クレジット協会発行データをグラフ化したもの

　何と驚きの、切り替えたタイミングの第4四半期に平均25億円ほど増えています。結構3Dセキュア2.0は期待されていたのに。。。。理由はいろいろとありますが、ブランド・イシュアーとクレカ利用者の双方に課題があると思います。

ブランド・イシュアーにとって、3Dセキュア2.0の導入に至る話は、なんと2016年にさかのぼります。導入まで6年を要しており遅れた理由は？と聞かれれば、本気で対策するつもりはないと考えている（私の想像です、クレカ会社にお勤めの方には先にお詫び申し上げます）のではないか？実際のところ不正利用でカードを利用されたとしても、利用者保護は強固ですが、加盟店の保護は薄いと言えます。利用者から利用していないと申請を受けると、イシュアーはアクワイアラーに支払わないもしくはチャージバック（のちに加盟店からのチャージバック）となり、実質的に損はしていない。

　やり取りのコストは掛かるが、3Dセキュア2.0を実装し利用者にマイページへの登録やアプリのダウンロードを啓蒙するコストのほうがはるかに掛かる。

　で、しびれを切らして経産省が2025年3月31日までに各オンラインストアにて対応しないさい！と2023年3月14日に発表しました。

原則、全てのEC加盟店は、2025年3月末までにEMV3-Dセキュアの導入を求める。
イシュアー※4は、EMV 3-Dセキュアの本人認証方法として「静的（固定）パスワード」から「動的（ワンタイム）パスワード」等の認証方法への移行環境を整え、2025年3月末までに自社カード会員が「動的（ワンタイム）パスワード」等の認証方法へ登録・移行するよう取組む。

https://www.meti.go.jp/press/2022/03/20230315001/20230315001.html

　これは、クレカのブランド・イシュアー・アクワイアラーが頑張ったところで、肝心の利用者のリテラシーが上がらない限り無くならない。
　そして、どうしても防ぎようのないチャージバックの例をひとつ。

　数年前に某氏が山手線内でお疲れのところ2駅ほどウトウトしました。いつもなら抱えて座るのですが、この時は立っていたのでカバンは網棚においたまま着席した。
　ほんの数分でしたが、気づいた時には網棚のカバンは無くなっていました。気が付いてカード関連会社に紛失届を行いましたが、このわずかな時間の間にMacBookを2台も購入されていたそうです。

　もちろん、不正利用対策をしていても、利用できなくなるまでの間は完全なホワイトなカードとなります。どう考えても防ぐことの出来ない利用となります。だからどのような対策をしたところでECは非対面のため発生してしまうのです。

　しかしながら、利用者の低リテラシーによるカード番号流出で不正利用が自店で行われると憤りを感じます。
　一番の悪は、不正利用で利益を得ようとする輩ですが、そういうところに自身のカード情報が流れないように自衛することが全体にとって良いことです。

　不正利用は対岸の火事ではありません。裏のネットワークは想像を超えています。〇〇というサイトで、不正利用が出来るとなったら一気に集まってきます。そう、輩は易きに流れていくのです。

効果があるのは、物を送らない。これにつきますｗ
不正利用者はほぼ自分から届かないという連絡をしてきません。商品を送らなければ、被害を最小限に抑えることが出来ます。

Re: 【shopify payment】 日本国内における3Dセキュアに関しまして

　↑　こちらの方は嬉しいことにShopify構築日記を参考にしていただきました。この場を借りて御礼申し上げます。

チャージバック詐欺にあいました、Shopifyへ返金及びShopify　payment利用停止の件について

　↑　先日こちらの記事を見て今回の不正利用に対して改めてエントリーしようと思った次第です。

※最近多いフィッシングサイトの特徴として。
①　リダイレクトされて最終ドメインが.top。しかもサブドメ切りなので今後も湧いてくる可能性あり。
②　会社概要は、実在する企業名がまるっとの場合と、複数社を組み合わせている場合がある
③　FAXが090から始まる番号になっているときがある（笑）
④　メルカリのスクレイピングが多いのに、カートに999,999個入る。テストでは223億円の注文がしれっと通る（笑）
⑤　注文確認のCTAを押すと、ご注文有難うございましたとなり、後日振込先を連絡すると定型文に記載されているがその後連絡がない
⑥　会員登録をさせるため、メアド+PWを抜取あらゆるサイトに試みているのではないか？
⑦　クレカ番号入力するサイトに一つあたりましたが、4242 4242 4242 4242でお買い物が出来てしまう（笑）でも、巧妙で3Dセキュアが発動しログインPWを入力させる。さらには、認証できませんでしたので別のカードでお試しくださいと、さらなるカード番号を抜きにかかっていました。

　　皆さんもお気を付けください。