本レポートは 2023年より Cacco とfjコンサルティング株式会社が四半期ごとにとりまとめてきた「キャッシュレスセキュリティレポート(四半期版)を継続した内容です。
今回のレポートでは、カード情報流出や不正利用の概況に加え、サイトリニューアルで閉鎖した旧サイトからの情報流出事案の解説、生成AIを活用した不正手口の巧妙化や官民連携の不正対策について紹介しています。
■レポートの概要
-
カード情報流出事件の概況(2024年 1-3月)
(1)カード情報流出事件数・情報流出件数の推移
(2)業種/商材別・情報流出期間別の事件数・流出件数
(3)カード情報流出事件のトピック:旧サイトからの情報流出に注意
(4)カード情報保護 国内政策の動向
2025年 4月から全てのEC加盟店を対象に実施する『セキュリティ・チェックリスト』をとりまとめ
-
ECにおける不正利用の概況(2024年 1-3月)
(1)クレジットカード不正利用被害額の推移
(2)ECサイト不正利用の傾向
(3)国内のカード発行会社(イシュア)におけるDMARC設定状況
(4)不正利用のトピック
生成AI活用による手口の巧妙化
(5)不正利用対策 国内政策の動向
①MO・TO加盟店の不正利用対策を取りまとめ
②クレジットカード不正利用防止における警察庁とECサイト間の連携
▼資料は、こちらからダウンロード頂けます。
「キャッシュレスセキュリティレポート(2024年 1月-3月版)」
リンク URL:
https://pcireadycloud.com/blog/category/cashless_security_report/
■DMARC設定状況 調査のハイライト
フィッシング攻撃によって窃取されたカード情報の不正利用が増加していることを受け、2023年 3月に経済産業省・警察庁・総務省が連名で、カード会社に対して、DMARC導入をはじめとしたメールによるなりすまし対策を要請しました。
カード会社は割賦販売法で「登録包括信用購入あっせん事業者」として登録が義務付けられており、その一覧が経済産業省のWebサイトで公開されています。リンクは、経済産業省のWebサイトで公開されているイシュア246社を対象に、DMARCの導入状況を調べました。
2024年 3月末時点で、イシュアがメール送信に利用しているドメイン395件のうち、有効なDMARCレコードが設定されているのは234件(59.2%)と、2023年 8月の調査開始以来、初めて5割を超えました。経済産業省、警察庁および総務省からの要請に基づきDMARC導入を進めてきた企業によって、導入率が上昇したものと思われます。
一方で、フィッシングメール対策としてのDMARCの実効性を持たせるためには、ポリシーを「reject(拒否)」もしくは「quarantine(検疫)」に設定して運用することが求められていますが、最も厳しい「reject」ポリシーが設定されているドメインは46件(19.6%)で、160件(68.4%)はポリシーを「none(何もしない)」にして運用している状況です。
キャッシュレスセキュリティレポート内には、DMARC導入に関するより詳しい調査結果や直近のカード情報流出事件のトレンド、不正利用のトレンドに関する解説を掲載しています。
■「キャッシュレスセキュリティレポート」は、このような方にオススメです
・カード情報漏えいやクレジットカード不正などのECにおける不正利用の実態を知りたい。
・自社の不正被害が、他社と比較して多いのかどうかを知りたい。
・最新の不正手口を知りたい。
今後も、多様化する最新の不正手口に関する分析と研究を重ねるとともに、クレジットカードセキュリティに関する疑問や課題について最も相談される企業を目指してまいります。
株式会社リンクについて
株式会社リンクは、業界最大級の稼動台数を持つ専用ホスティング「at+link」、クラウド型ホスティング「リンク・ベアメタルクラウド」を軸として、6年連続シェア第1位のクラウド型コールセンターシステム「BIZTEL」、セキュリティプラットフォームサービス「PCI DSS Ready Cloud」など、様々なサブスクリプション型サービスを提供しています。農系事業にも取り組んでおり、2011年 10 月からは岩手県岩泉町にある自然放牧酪農場「なかほら牧場」を運営しています。 事業の詳細は、
https://www.link.co.jp/
をご覧ください。
★リンクが運営するメディアサイト 「最適なサービスで一歩先行く組織へ」ビジネスに伴走する課題解決メディア
『 LINK Watch! 』
https://watch.link.co.jp/
■かっこ株式会社について
Cacco は、「未来のゲームチェンジャーの『まずやってみよう』をカタチに」という経営ビジョンを掲げ、当社の有するセキュリティ・ペイメント・データサイエンスの技術とノウハウをもとに、アルゴリズムおよびソフトウエアを開発・提供することで、企業の課題解決やチャレンジを支援することを目指しております。特に、オンライン取引における「不正検知サービス」を中核サービスとして位置づけ、国内での導入実績数No.1の不正注文検知サービス「O-PLUX(オープラックス)」、金融機関や会員サイトにおける情報漏洩対策の不正アクセス検知サービス「O-MOTION(オーモーション)」やフィッシング対策等を提供しております。また、データサイエンスサービスでは、製造業やアパレル、建設業など幅広い業種において、データ活用、分析を通じ、コスト削減、業務効率化、利益向上などに貢献しております。