現在小売の主戦場がネットに移行しECサイト・ネットショップが増えてきています。ECサイト運営で発生する特有の問題というものがあり、その中で最近確認した決済に関するものをご紹介。
送り先の住所が不明な注文情報が発生
コンテンツ
物販のECサイトで買い物をする際には、個人情報の入力が必須になります。それは当然のことながら商品を送り届けるためには、届け先住所の情報が必要だからです。
しかし最近クライアント先が運営するECサイトで、顧客の住所で番地以降が未入力の注文情報がいくつか発生していることを確認しました。
購入の際に顧客が入力する情報は当然手入力であるため、入力を誤ってしまうケースが発生する場合があります。ただ通常は住所情報が間違っている場合、最も不利益を被るのは顧客自身であるため(商品が届かない)、住所情報の誤入力というのは最も起きにくい現象ではあります。
また仮に住所情報が間違っている場合でも、他にメールアドレスや電話番号のデータもあるため、配送できない場合はECサイト運営側から顧客へ正しい住所情報の確認を行うことで修正されます。
顧客氏名、メール、電話番号も不明のケース
また、顧客の氏名、メールアドレス、電話番号も正しく入力されていないケースを確認しています。この場合、顧客側に確認する手段がなく、商品を送り届けることができない状態になってしまいます。
ただ、おおよそ個人情報のほとんどが間違っている場合、決済が完了していないので、その時点で商品を配送する処理までは行われません。
そういう場合は、おそらくはいたずらのケースであると想定できます。
個人情報は間違っているがクレジット決済は完了しているケースの発生
しかし、最近増加しているケースが、
住所やメールアドレス、電話番号等の個人情報は間違っているが、クレジット決済だけは完了している
という注文です。
最初にこのケースを確認した直後は、注文者の意図がわからず、なぜこのようなケースが発生しているか疑問でした。
住所が間違ったままでクレジット決済が通ってしまうと不利益を被るのは顧客のため、当然顧客側は住所データを最も慎重に入力するものと思っていたところ、
クレジットカード番号のみ正しく、他の個人情報が間違っているというケースがなぜ発生するかがわかりませんでした。
以前にあったのは、「銀行振込」または「代引き」での注文を第三者が行い、嫌がらせで相手に送りつけるというケース。
この場合は、
1)銀行振込の場合 > 入金確認の際に発覚
2)代引きの場合 > 受取時に発覚
代引きの場合はECサイト運営側に被害が発生するため、代引き注文の場合は電話で本人確認する、などでとりあえずの対応が可能です。
しかし、決済情報のみが正しいケースということで不利益を被るのは顧客側であり、その場合注文者の意図がよくわからないという問題が残ります。
少額商品の1点のみの注文
クライアントに、どのような商品を注文しているかを尋ねると、どの注文情報も共通して「少額商品を1点のみ」購入しているケースを確認。
それもいわゆるコモディティ商品であり、その少額商品を1点だけ購入する場合は送料の方が高くなってしまうのにも関わらず、どの注文も共通して「少額商品1点」の購入でした。
クレジット決済情報の調査・連続して決済失敗の形跡
クライアントにはとりあえずの対応として、顧客情報を正しく入力することをサイト上に掲載し、注意喚起を行うようにアドバイスと、決済情報の確認を依頼をしました。
ECサイトの多くは決済代行サービスを利用しています。
決済代行サービスは管理画面があり、そこでクレジット決済情報が確認可能です(カード番号は非表示)。
管理画面の確認をしてもらったところクライアントから、
「このお客様だけ、何個も決済の情報がありますね。」
どうやら住所情報が誤っている顧客の決済だけが連続してエラーになっている模様。
流出クレジットカード番号の利用検証されている可能性
通常、クレジット決済情報は連続して間違える場合は非常にすくないところを、この顧客のケースでは
5回
エラーが発生しているとのこと。
今までの情報をまとめると、
- 住所情報に誤り(番地以降の情報がない)
- 電話番号、メールアドレスも不正データで、顧客と連絡がとれない
- 少額商品1点の購入
- クレジット決済だけは完了している
- 複数の決済エラーが発生していた
となりピンと来たのは、
流出クレジットカード番号リストから、利用可能なクレジットかどうかを検証されている可能性
ということです。
正しいデータがクレジット決済だけ & 複数回のチャレンジ => 利用可能なクレジットカード番号かどうかを確認している
少額商品であることも、おそらくは気づかれることを最小限に抑えるため。
いわゆる不正に取得したクレジットカード番号を、上から順番に利用可能な状態かどうかを、ECサイトを利用して検証しているのだろうと思いつき、クライアントには早急に決済代行への連絡と対処方法、また警察への連絡等の準備を依頼しました。
おそらく本件のような事象が発生するECサイトは、一般的な商品、さらにいうと少額かつ転売がしにくい商品を扱っているサイト、例えば食品や少額な雑貨などのサイトが狙われ、現在多発していることが予想されます。
転売しにくいサイトで、利用可能なクレジットカード番号を検証し、本番で高額商品のECサイト、いわゆる家電製品やゴルフ用品、宝飾品などの転売がしやすいサイトで利用するという流れでしょう。
多発するクレジットカード不正利用・ECサイト運営での問題
ECサイト運営者は、今回のように電話番号やECメール、住所情報が不正な注文情報で、クレジット決済が通っているものは早急に決済代行会社、関係各所へ連絡しましょう。また今もフィッシングサイトなどでクレジットカード番号が不正に流出してしまったり、利用先のサイトで流出、サーバーへの不正アクセスで流出など、個人情報の流出被害の可能性はほぼすべての人に身近になっています。
しかもそれは今後さらにに増加すると思います。
これ以外にも今後はサイバー攻撃は多発し、常に個々で防衛するようにしていく必要があります。ECサイト自体も攻撃を受ける可能性も高まり、多店舗での展開が必須になってくる可能性もあります。
番外)カードの不正利用でどうやって商品をうけとるのか?
じゃあ高額商品のECサイトでクレジット不正利用した場合、どうやって商品をうけとるのか?その際に足がつくんじゃないか?という疑問を持たれる方もいらっしゃると思いますが、よくあるケースは、アパートなどの空き室を狙い、空き室の住所宛てに指定時間配送での購入を行い、指定時間の前に空き室のドアの前に待機する、という事例があります。(よくあったのはレ〇パ〇スなど)
[追記]クレジットカード不正利用への対策方法
住所不明ユーザーに注意喚起文の掲載
まずは住所部名のユーザーに向けて、ECサイト上で注意喚起文を掲載しましょう。
正確な入力を促し、かつ住所不明な情報、個人情報が不明な場合は注文をキャンセルする趣旨の文言の掲載を行います。
IPアドレスをブロック
不正利用と思われるユーザーのIPアドレスをブロックします。カートサービスを利用している場合は、注文管理画面に「このIPアドレスをブロック」する機能があるものが多いです。
ただ、プロキシサーバー等を利用しIPアドレスを偽装しているものに関しては防ぐことは難しいです。
reCaptchaの設定
クレジットカード不正利用を行うユーザーは、多くはプログラムで自動操作を行っています(いわゆるbot)。GoogleのreCaptchaを利用することで、ほぼ100%不正利用を防ぐことができています。
Google reCaptcha
https://www.google.com/recaptcha/about/
カートシステムを利用している場合は、カートシステム管理会社に問合せて利用できるかどうか確認してみてください。
正に今、この事象に直面しておりました。
食品のECサイト運営をしております。
参考にさせていただきまして、対応していこうと思います。
追記で取り急ぎの対応策を掲載しました。
クレジット不正利用アタックは段階的に行われているようです。
数件程度不正利用を行い、対応がないサイトと判断された場合に数十万件の不正利用購入を行っている事例を確認しました。
クレジットの不正利用に関しては、ECサイト運営側が100%の責任を負わなければならず、返金対応、またトランザクション費用の支払いが義務付けられています。
数十万件の不正利用を行われた場合、トランザクション費用だけでも数十万円の損害が発生しますので、どのECサイトも至急の対応が求められています。