「自社ECサイトへの不正アクセスや不正注文の対策を立てたい。でも、関連する用語はカタカナが多くて理解しづらい」
「パッと見て、何の用語なのかわかりにくい」
と思うことはありませんか?
当記事では、EC業界でよく耳にする不正アクセスや不正注文に関する用語を集めました。ジャンルごとに分類しているので、基礎用語の理解を深めるためにお役立てください。
▼本記事で紹介する5つのジャンル
目次
ECサイトへの不正アクセス手法に関する5つの用語
まず、知っておきたいのがECサイトへの不正アクセスに関する手法。さまざまな手法を使い、ECサイトへ侵入しようと攻撃してきます。
次々に新しい手法が登場していますが、ここでは基本的な5つを挙げてみました。
※気になる用語から、クリックまたはタップして確認してみてください!
それぞれ見てみましょう。
1.クレデンシャルスタッフィング攻撃
不正に入手したユーザーのIDやパスワード情報を元に、複数サイトに対してログインを試みる手法。
自動でログインができる特殊なツールを使い、どこかのサイトにアクセスできるまで繰り返し行われます。手動での不正アクセスではなく、自動で大量に攻撃が可能になるところが特徴です。
2.総当たり攻撃
不正に入手したログインIDに対して、考えられるパスワードの文字列をすべて試していく手法です。
パソコンが割り出したパスワードをもとに、ログインしていきます。英数字を4〜8桁使った文字列の場合は、わずか数分で正しいパスワードの把握が可能です。
「力任せ」「強引に」ログインを試みることから、別名「ブルートフォースアタック」とも呼ばれています。
3.ダークウェブ
違法性の高い情報や物品が取引されているWebサイトのこと。
通常のインターネット検索からではアクセスできず、特別に用意されたネットワーク上に存在します。また、ダークウェブにアクセスするには特殊なツールが必要です。
何らかの理由でダークウェブに辿り着いたユーザーは、ログインに必要となるメールアドレスやパスワードなどを抜き取られる危険性があります。
4.フィッシングサイト
公的機関や大手企業、金融機関などのホームページを偽装したサイトのこと。偽サイト上でユーザーにID・パスワード・クレジットカード番号などを入力させ、大切な情報を抜き取ります。
フィッシングサイトで入手した情報を使い、不正ログインされることによって、高額商品の不正注文や個人情報の流出などの被害が拡大しています。
5.リスト攻撃
不正に入手したID・パスワードの組み合わせをリスト化し、ログインを試みる手法。「アカウントリスト攻撃」「パスワードリスト攻撃」とも呼ばれます。
ログインを試す回数は少ないですが、すでにIDとパスワードがセットになっているため、成功率が高い手法です。
ユーザーが、同じID・パスワードの組み合わせで複数サイトの会員登録をしていることがあるため、リスト攻撃による不正アクセスが後を絶ちません。
ECサイトへの不正アクセス対策に関する7つの用語
巧妙化する不正アクセスの手法に対し、適切な対策をしていかなくてはなりません。自社ECサイトを守る対策として、主要な用語を7つ挙げてみました。
1つずつ、解説していきます。
1.多要素認証(MFA)
ログインをするときに2つ以上の認証要素を組み合わせる方法です。認証の要素は3つあります。
- 知識情報(パスワード、秘密の質問など)
- 所持情報(SMS認証、ワンタイムパスワードなど)
- 生体情報(指紋認証、顔認証など)
従来はIDとパスワードの入力を求める、知識情報のみを活用したログインが主流でした。ECサイトのセキュリティを強化するために、多要素認証でのログインをユーザーに求めていく必要があります。
2.二段階認証(二要素認証)
IDとパスワードでログインしたあとに、さらに別のパスワードを入力してもらうことでセキュリティを高める方法。
- SMSで認証コードを発行する
- 専用アプリのワンタイムパスワードを活用する
上記のような方法で、2つ目のパスワードの入力を求めます。ユーザー本人でないとわからないパスワードになるため、第三者からの不正ログイン防止が期待できます。
3.FIDO(ファイド)
Fast Identity Onlineの略。標準規格団体「FIDO Alliance」が定めた新しい認証技術です。パスワード不要で認証ができるようになることから、業界では注目されています。
ユーザーとECサイトのサーバー間で共有するパスワードがないため、以下のメリットを発揮します。
- ユーザーのパスワードが外部へ漏えいするリスクが減る
- 「秘密鍵」と「公開鍵」の2つが揃わないと本人の認証ができないため、セキュリティを高められる
- 不正アクセスの攻撃にも耐えられる
より安全に、ECサイトのセキュリティを高める方法として期待されています。
4.不正検知システム
業務工数を増やして不正を減らそうと対策しても、人間の力だけでは防ぎきれない部分もあります。不正の有無を自動で検知し、知らせてくれるサービスが「不正検知システム」です。
かっこ株式会社では、機械的な不正ログインやなりすましログインを検知する「O-MOTION」と、ECサイトでの不正注文やクレジットカードのチャージバックを防ぐ「O-PLUX」を提供しています。
事前に不正検知システムの概要やできることについて知りたい方は、以下をご一読ください!
5.ブラックリスト管理
インターネットに接続する機器を識別する番号である「IPアドレス」を、ブラックリストに入れて管理する方法。繰り返し不正アクセスを試みるIPアドレスをブラックリストに入れておけば、ECサイトへの訪問をブロックできます。
ただし、ブラックリストに入れたIPアドレス以外でアクセスしてくる可能性もあるため、一時的な措置にしかなりません。
6.リスクベース認証
不正アクセスが疑われる行動をしているユーザーに対して、追加質問を実施するログイン認証の仕組み。
たとえば、普段とは異なるブラウザや端末からアクセスした場合などに、追加の質問が表示されます。質問に答えられなければ「本人ではない」という判定になり、なりすましによるアクセスを防ぐことが可能です。
リスクベース認証については、以下の記事にて詳しく解説しています。あわせてご一読ください。
7.ワンタイムパスワード(OTP)7.ワンタイムパスワード(OTP)
ログインの際に一度だけ有効になるパスワードのこと。
ワンタイムパスワードは繰り返し使用しません。また、ワンタイムパスワードが有効になる時間も短いため、不正アクセスやなりすましログインの対策を強化できます。
クレジットカード情報の不正入手に関する3つの用語
ECサイトでは、第三者のクレジットカード情報を利用した不正注文が起こるケースもあります。では、悪質な利用者は、どのような手法でクレジットカード情報を入手しているのでしょうか。
ここでは、クレジットカード情報を不正入手する手法として、代表的なものを3つ解説します。
それぞれ見ていきましょう。
1.クレジットマスター
クレジットカード番号の規則性を悪用し、利用可能なクレジットカード番号を割り出す方法。パソコンを使い、使われていそうなクレジットカード番号を生成したあと、有効期限やセキュリティコードを割り当てて、利用可能なカードを探し出します。
機械的に割り出していくため、自宅で保管しているものや長期間使っていないクレジットカードでも不正利用に使われてしまう恐れがあります。クレジットマスターの手口や被害については、以下の記事をご覧ください。
2.スキミング
専用のスキャナーを使ってクレジットカードの磁気データを読み取り、偽造カードにクレジットカードの情報をコピーして悪用する手法。
店員がクレジットカードを受け取ったあとに専用スキャナーで読み取ったり、ATMがスキミングできるように細工されていたりすることで、カード情報の流出が起こります。
スキミングの中には、Webサイト上でクレジットカード情報を抜き取る「オンラインスキミング」の手法も登場。オンラインスキミングの手口や被害については、以下の記事をご覧ください。
3.フォームジャッキング
専用のコードを決済情報の入力ページに仕掛け、ECサイトからクレジットカード情報を盗み出す手法です。ECサイト内に偽装した決済画面を用意し、そこで入力された情報を盗み取る手口もあります。
フォームジャッキングを防ぐには、不正アクセスされないようにECサイトを強化していくことが重要です。具体的な対策については、以下の記事にてまとめてありますので、あわせてご一読ください。
クレジットカードによる不正注文対策に関する5つの用語
不正入手したクレジットカード情報を使い、商品が購入されるケースもあります。クレジットカードによる不正注文対策の用語として、以下の5つをピックアップしました。
それぞれ見ていきましょう。
1.オーソリ
クレジットカードでの決済時に、カード会社に利用が可能になっているのかを照会する作業のこと。「オーソリゼーション」とも呼ばれます。
決済時には毎回、カード会社に確認作業が行われるため、クレジットカード情報を不正入手した第三者の不審な動きを見つけて、利用を食い止めることが可能です。
また、ほかの取引で利用されないように、決済金額を「与信枠」として確保し、ユーザーの支払い能力を超えた購入を防ぐこともできます。
2.3Dセキュア
VisaやMastercardなどのカード会社が提供する、インターネット上でクレジットカードを安全に使うための本人認証の仕組み。
3Dセキュアが設定されていると、ユーザーがあらかじめ決めておいた専用のパスワードを入力しないと決済が完了しないようになっています。クレジットカードの不正利用を防ぐには有効な方法です。
またECサイト側には、チャージバックが発生した場合の費用負担を軽減できるメリットがあります。
3Dセキュアについては以下の記事にて解説していますので、あわせてご覧ください。
なお、3Dセキュア2.0(EMV 3Dセキュア)からはワンタイムパスワードが使われています。詳細については、以下をご一読ください!
3.セキュリティコード
クレジットカードの表面や裏面に記載されている、3桁もしくは4桁の数字のこと。クレジットカードの決済時にセキュリティコードの入力も求めることで、カード番号や有効期限だけの決済と比較して不正注文を防ぐ効果があります。
ただし、スキミングなどによって悪用されている場合もあるため、セキュリティコードの入力で確実に不正注文を防げるとは限りません。
4.チャージバック
クレジットカードユーザーが同意しない決済が発生した場合に、クレジットカード会社が売上を取り消してユーザーに返金する仕組みのこと。クレジットカードユーザーが安心して利用できる仕組みになっています。
しかし、ECサイト側はクレジットカード会社に売上金額分を返金しなければなりません。さらに、発送した商品は戻ってこないため、大きな費用負担になります。
チャージバックの詳しい仕組みや具体的な対策については、以下の記事をご一読ください。
5.チャージバック保険
チャージバックが発生した場合に、ECサイトが負担しなければならない損失額を保険会社が保障してくれる仕組みです。
突発的に起こるチャージバックの費用負担を抑えられる一方、商品によっては加入できない、更新時に保険料が高くなるといったこともあります。
そのほか知っておきたい8つのEC業界用語
EC業界用語は、まだまだたくさんあります。その中でもEC担当者が知っておきたい用語を8つ見ていきましょう。
1つずつ解説していきます。
1.アクワイアラ
クレジットカード加盟店を管理する会社のこと。
国際ブランドのVisaやMastercardなどからライセンスを受け、クレジットカードの加盟店開拓や管理などの業務を行っています。
2.イシュア
クレジットカードを発行する会社のこと。
ユーザーはイシュアと契約することで、国際ブランドの付いたクレジットカードを利用できるようになっています。
3.割賦販売法
クレジットカードの加盟店に対し、カード情報の漏えい対策や偽造カードによる不正利用対策を義務づけている法律です。ユーザーが安心して買い物ができるように、ECサイト側の対策強化が求められています。
割賦販売法の詳しい内容については、以下をご覧ください。
4.債権譲渡型後払い
商品の代金を、後払い決済事業者が立て替えてくれる仕組みのこと。ECサイトは後払い決済事業者から売上金を受け取り、ユーザーは後払い決済事業者へ商品代金を支払います。
ECサイト側には手数料の負担が発生しますが、請求管理や督促などにかかる業務を削減できるところがメリットです。
5.代引注文時の受け取り拒否
転売で使われる悪質な手法です。
代引決済で購入すると同時に、オークションやフリマサイトなどで商品が出品されます。売れなかった場合は、購入した商品の受け取りが拒否される流れです。
ECサイトに商品は戻ってきますが、往復送料の負担が膨れ上がります。
6.なりすまし
不正に入手したID・パスワードを使って、ECサイトへ不正アクセスすること。また、不正に入手したクレジットカード情報を使って第三者が決済することも、なりすましに該当します。
なりすましによる不正アクセスの被害や手法は、以下にて解説しています。あわせてご覧ください。
7.PSP
Payment Service Providerを略した用語です。
クレジットカード決済や口座振替などの支払い手段を提供する、決済サービスプロバイダーのことを指します。「決済代行会社」と呼ばれることも。
PSPの詳しい説明や利用するメリットは、以下の記事にて解説しています。
8.後払い決済時の代金未払い
ユーザーが後払い決済を選択して商品だけを受け取り、代金は支払わないケースも。その際は、売上金が未回収となってしまいます。場合によっては、悪質なユーザーによる不正注文かもしれません。
未払いのユーザーには督促対応が必要となり、ECサイト側の業務負担が大きくなります。
未払いが発生したときの督促手順は、以下にて解説していますので、あわせてご一読ください。
