クレジットカード不正使用による被害は、2019年の時点で約273億円(日本クレジット協会調べ)にも及びました。
そのうち50億円以上は不正トラベルによると判明(2017年時の数値。日本サイバー犯罪対策センター(JC3)調べ)。被害が拡大しつつある不正トラベルに、旅行事業者はどのような対策がとれるのでしょうか?
この記事では産官学連携のサイバー犯罪対策組織である「日本サイバー犯罪対策センター(JC3)」が行っている呼びかけを元に、解説をします。
目次
不正トラベルの手口の実態
対策についてお伝えする前に、まずは不正トラベルの手口を大まかに解説していきましょう。
不正トラベルとは旅行サービス(宿泊施設・航空券・テーマパークのチケット等)を提供する事業者や、日本に訪れる海外からの旅行者を狙った手口です。
日本サイバー犯罪対策センター(JC3)は、以下の図のように不正トラベルの手口を解説し、注意を呼びかけています。
引用:不正トラベル対策の実施│日本サイバー犯罪対策センター事務局
- 犯人グループは、旅行者から宿泊などの旅行申し込みを受付(図①)
- 犯人グループは依頼された旅行を窃取したクレジットカード情報などで手配(図②)
- カードの名義人及びクレジットカード会社が情報窃取に気付かなければ決済は完了(図③)
- 受け付けた旅行事業者は宿泊施設などに予約者の情報を送信(図④)
- 犯人グループは旅行者に予約情報を伝達(図⑤)
- 旅行者は宿泊施設を利用(図⑥)
- 後日、旅行事業者やクレジットカード会社で当該サービス購入における不正決済が発覚
この流れを、関係するそれぞれの立場からまとめると、
- 犯人グループ・・・旅行者から支払い金を窃取できる
- カードの名義人・・・不正にクレジットカードを使用される
(キャッシュバックが適用されれば支払いの義務はなくなる) - クレジットカード会社や宿泊施設・・・支払い金が受け取れなくなる
- 旅行者・・・クレジットカード会社や宿泊施設が不正に気付いた場合、改めて支払い(旅行者からすると二重の支払い)を求められたり、サービスの利用ができない場合もある
といった形になります。
この記事では特に、利用者(=カードの名義人や旅行者)と、事業者(=クレジットカード会社や旅行事業者)の立場での不正トラベル対策についてまとめていきます。
なお、不正トラベルをより詳しく知りたい方はこちらの記事をご覧ください。
不正トラベルの対策
不正トラベルの対策として、日本サイバー犯罪対策センター(JC3)は以下の2つを利用者に呼びかけています。
- 国から旅行事業の許可を受けた正規旅行事業者を利用すること
- クレジットカード情報窃取の手口に注意すること
それぞれ見ていきましょう。
不正トラベル対策1.国から旅行事業の許可を受けた正規旅行事業者の利用
不正トラベルの手口として、不正業者はショッピングサイトやSNSで「旅行商品を安く提供する」などと書き込み、旅行者を勧誘します。
こうした業者の多くは、旅行業を営むために必要な手続きも行っていません。国から旅行事業の許可を受けた正規旅行事業者を利用しましょう。
事業者としては、こういった不正トラベルの手口を発信し、公式サイトやアプリの利用を呼びかけましょう。また「不正トラベル対策を行っている」というアピールも、不正者への抑止力となります。
不正トラベル対策2.クレジットカード情報窃取の手口に注意すること
2つ目はクレジットカード情報窃取の手口に注意することです。
具体的には
- フィッシングメール及びフィッシングサイトによる手口
- マルウェアによる手口
- ECサイト改ざん(フォームジャッキング)による手口
- スキミングによる手口
などが挙げられます。
フィッシングとは公的機関や金融機関、正規ECサイトを装い、カード情報を不正に入手する手口です。
利用者自身が「偽サイト・偽メール」と見抜くためのリテラシ向上が求められるほか、セキュリティソフトの導入、事業者などからの注意喚起も欠かせません。
マルウェアとは不正な動作をさせるために作成された悪意のあるソフトウェアやコードのことです。
利用者の側でメールに記載されたURLをむやみに開かない、セキュリティソフトの状態を最新に保つなどの対応を行いましょう。
フォームジャッキングとは情報を盗むためのコードをECサイトなどの注文情報入力フォームに仕掛け、決済ページや購入ページからクレジットカード情報を盗みだす手口です。
マルウェアと同じく。利用者としてはメールに記載されたURLをむやみに開かないようにしましょう。
事業者側ではサービスサイトなどに不正なコードを仕込まれないよう、脆弱性診断などに基づく対応が必要です。
この手口はオンラインスキミングと呼ばれることもあります。フォームジャッキング・オンラインスキミングの詳細はこちらの記事をご覧ください。
スキミングとはスキャナーを使って磁気データを読み取り、偽造カードにクレジットカードの情報をコピーする手口です。
カードそのものの盗難や悪質な加盟店での利用が原因として挙げられます。
こうした対策を事業者・利用者が行うことで、カード情報の漏えい・窃取を減らす、また、不正業者の利用を避けていく環境を作っていくことが重要です。
一方事業者としては、さらに不正にカード情報が使われた際の対策も講じておくことが欠かせません。
不正トラベル対策のセキュリティに投資する
不正に入手されたクレジットカード情報が使われた場合、クレジットカードを窃取されてしまった名義人や、一般の旅行者まで被害が及びます。
こうした事態を未然に防ぐべく、ターゲットとなる宿泊施設、航空券販売サイト、トラベル系のサービスには、不正検知システムの導入など、セキュリティ対策に投資をする企業もあります。
不正検知システムとは取引データや提供事業者それぞれのノウハウを活用し、決済前に取引の危険性を判断するシステムです。
不正トラベルだけでなく、様々な業界のECサイトなどで導入されており、割賦販売法改正を受けてクレジット取引セキュリティ対策協議会が発表した「実行計画」(現「クレジットカード・セキュリティガイドライン」)でも効果の見込める対策として紹介されました。
▼詳しくはこちらの記事をご覧ください。
こういった不正検知システムの中には不正トラベル向けに作られたものもあります。
例えば、かっこ株式会社の提供する「O-PLUX for トラベル」は航空会社・宿泊施設・旅行代理店・予約サイトに特化した不正検知システムです。
金融機関向け対策で培った端末特定技術を活用し、利用者の端末を特定・管理。累計120,000サイト以上の審査から不正利用のケースをモデル化しているため、高精度のセキュリティ対策が可能です。
対策として不正検知システムの導入をお考えの場合は、こちらもぜひご覧ください。
