数字で見るECサイトの「アカウント乗っ取り」被害実態

この10年間、アカウント乗っ取りは企業を悩ませ続けており、その勢いは留まるところを知りません。国内でも不正利用検知サービスを展開するSift社が、2020年8月に実施した米国の1,000人以上の消費者を対象とした調査と34,000社以上の同社の顧客(さまざまな業種のECサイト)から得られたデータをもとに、アカウント乗っ取りの現状を解説します。

増え続けるアカウント乗っ取り

Comparitechによれば、2019年のアカウント乗っ取りの被害は1年間で169億ドル(約2兆円)に達しています。Siftがグローバルで監視しているサイトの総ログインのうち、アカウント乗っ取りの疑いありとして停止された割合は、2019年第2四半期から2020年第2四半期の1年間で2.8倍に増えています。また、PayPalの調査によれば、2019年に57%の企業が不正なアカウント開設やアカウント乗っ取りに関連した損失の増加を経験したとしています。

消費者から見たアカウント乗っ取り被害

アカウント乗っ取りについて、消費者も関心がないわけではありません。Siftの調査によれば、回答した消費者の半数以上が将来的にアカウント乗っ取りの被害に遭うことを懸念しています。被害経験者の割合も増えており4分の1はすでに何らかのアカウント乗っ取りを経験しています。そのうち約半数は被害を受けたのは1回のみですが、6回以上の被害を受けている人も1割を占めています。<

アカウント乗っ取り.png

乗っ取られたアカウントの用途

アカウントを乗っ取った犯人は、次にそこから金銭的な利益を得ようとします。アカウント乗っ取り被害の41%のケースで支払情報が不正な購入に使用され、37%の被害者が口座から直接お金を引き出されました。また、37%は、ポイントや残高を盗まれ、商品やサービスの購入に使用されました。
アカウント乗っ取り2.png

アカウント情報はどこで漏れている?

アカウント乗っ取りの経験者に、どこで認証情報が漏えいしたかをたずねたところ、オンラインデート、旅行、ストリーミングサービス、配送、銀行など、あらゆる種類のサイトが挙げられました。また、回答者の3分の1以上がアカウント乗っ取りの原因をソーシャルメディアでの活動としています。

Siftブログ4-アカウント乗っ取り4.jpg

消費者「アカウント乗っ取りの責任はサイト運営者にある」

平均的な消費者は、191件のIDとパスワードを必要とするサイトやサービスを利用しているといわれています。パスワード管理ツール「LastPass」を提供するLogMeIN社の調査によれば、約62%が複数のウェブサイトで同じ認証情報を使い回しています。サイバー犯罪者は1組のIDとパスワードを盗むことで、その何十倍ものオンラインアカウントを侵害できるということになります。

そのような状況であるにもかかわらず、消費者は、安全な取引を提供するのはサービス提供者の責務であり、アカウント乗っ取りの被害から消費者を守るのはサイト運営者であると考えています。そのため、ほとんどの消費者は自分のデバイスのセキュリティ強化やID、パスワードなどの認証情報管理に無頓着です。Siftの調査でも、回答者の3分の2はパスワード管理ツールを使用していない、もしくは使用しているかどうか把握していません。アカウント乗っ取りにあった被害者ですら、被害の発覚後に自分のIDやパスワードを変更することなくそのままサイトを使い続ける人が3割を超えています。

一方で、被害者にハッキングされたことをどのようにして発見したかをたずねたところ、半数弱の被害者は、ログイン時またはログイン後の不審な動きにより自分で発見したと答えています。一方、不正利用が行われたサイト運営者から通知を受けて気づいたのは4割弱にとどまりました。この結果から、消費者のサイト運営者への期待と実際の対応にはギャップがあることが示唆されます。



アカウント乗っ取り3.png

チャージバックのもたらす損失と信頼性低下

最近のECサイトは、モバイルでの注文やワンクリック購入、サブスクリプションサービスなど、利便性やスピードを求める消費者に対応するさまざまなソリューションが提供されています。これに対応して、アカウント乗っ取りを行うサイバー犯罪者たちは、ECの消費者に特化したより洗練した戦略を編み出しています。

だからといってこれに対抗するために多要素認証やreCAPCHAなどの認証手段を追加すると、顧客体験が損なわれ、ユーザが途中で購入を中止する「カゴ落ち」につながりかねません。また、ユーザがパスワードを忘れて何度も入力しなおしたり、生体認証のスキャンに何度も失敗したりすれば、アカウント乗っ取りと誤認識され、サイトの利用を停止されてしまうこともあります。

一方でカゴ落ちや誤検知を恐れてチェックを甘くしすぎると、すり抜けたサイバー犯罪者にアカウント乗っ取りを許してしまいます。サイト運営者にとってのアカウント乗っ取りがもたらすリスクは、サイトの信頼性低下とチャージバックの増加です。

Siftの調査によれば、自分が所有するアカウントが乗っ取られた場合、回答した消費者の約3分の1が、影響を受けたサイトやサービスの利用をやめ、直接の競合他社に切り替えると答えました。

1人のユーザが去ったことによる被害額はLTV(ライフタイムバリュー)や顧客獲得コストを考慮すると指数関数的に大きくなります。加えて、ネガティブな口コミやレビューの影響によりサイトのユーザが失われることでさらに損失が発生します。また、被害を受けた後もサポートに報告するだけでパスワード変更などを行わないユーザ(20%)や、それすらもしないユーザ(12%)のアカウントが再度乗っ取りの被害を受ける可能性もあります。

アカウント乗っ取り4.png

アカウント乗っ取りはチャージバックの大幅な増加につながります。Clearsaleの調査によれば、2019年にはチャージバックの請求の約30%が、盗まれたアカウントやクレジットカード情報によって購入されたことで生じています。

新型コロナウイルス感染拡大による新たな被害

2020年は新型コロナウイルス感染拡大により、多くの国や都市でロックダウンが行われ、対面での商取引の機会が著しく制限されました。パンデミックをきっかけに対面販売からECに参入する事業者が急増しています。

これに伴い、決済はオンラインで、商品の受け渡しは店舗で行う「クリック&コレクト」が一般的になっています。この流れを受けて、物販を行うECサイトでのアカウント乗っ取り被害は、2020年3月から8月の5か月間で3.8倍に急増しました。犯人は盗んだクレジットカード情報を使ってオンラインで注文し、店舗で商品を受け取ります。受け取った商品を返品して返金を受けたり、あるいは転売したりするなどの方法で現金化されることもあります。

「不正利用検知ソリューション」はサイトの成長に必須

サイト運営者に大きな被害をもたらすアカウント乗っ取りへの正しい対応は、さまざまな認証手段を複雑に組み合わせることではありません。信頼できるユーザに対してはシームレスで、サイバー犯罪者に対してはアカウント乗っ取りの障壁となるソリューションを導入することです。

Siftの不正利用検知ソリューションはユーザのふるまいを元に、サイバー犯罪者に対しては厳重な認証を要求することでアカウント利用を阻止します。一方で、問題の無いユーザに対しては、何度も認証を求めることなく、スムーズで合理的な購入体験を提供します。

これにより、サイト運営者は、利便性やスピードと安全性の両方を求める消費者の期待に十分応えながら、リアルタイムにアカウント乗っ取りによる被害を防ぎ、成長し続けることが可能になるのです。

▼不正利用防止ソリューションの事例はこちら

売れるEC・通販の不正防止対策とは?6.JPG

売れるEC・通販の不正防止対策とは?7.JPG

吉野家様.png

▼オンデマンド動画はこちら

売れるEC・通販の不正防止対策とは?8.png

売れるEC・通販の不正防止対策とは?9.png

▼セミナー案内・ブログ更新情報 配信登録メルマガ登録バナー(セキュリティ).jpg