株式会社リンクとかっこ株式会社は、カード情報流出事件に関する統計とECの不正利用傾向、手口などを詳しく解説した【キャッシュレスセキュリティレポート2024】を公開しました。
▼「キャッシュレスセキュリティレポート 2024」 ダウンロードはこちらをクリック
※個人情報を入力することなくダウンロードできます。無料ですので、ぜひご覧ください!
調査の概要
2023年のキャッシュレス決済比率は39.3%で、前年比3.3%増加し、政府の目標である「2025年に民間最終消費支出に占めるキャッシュレス決済比率40%」を前倒しで達成できる見通しとなりました。一方で、クレジットカードの不正利用は急増しています。2023年には前年をさらに上回り、年間540億円と調査開始以来最悪の記録をさらに更新しました。また、オンラインバンキングを悪用した不正送金が急増しており、被害額は2022年の5倍を超えています。
本年次レポートでは、独自に取りまとめた統計データである、リンクの独自調査によるDMARC対応状況、ECサイトにおけるカード情報流出やCaccoが提供する不正注文検知サービス「O-PLUX」の累計11万サイトの利用実績をもとにした不正利用の傾向および手法などを交え、情報流出、ECサイトの不正利用、不正送金、制度・政策ごとに現代のキャッシュレス社会が直面するセキュリティ課題を包括的に分析、解説しています。
ハイライト
大規模流出事件数が減少したことで、カード情報流出数は対前年比 31万件減少
2023年はカード情報流出件数が53万件で、2022年と比べて31万件減少しました。内訳としては、22年は40万件超えの大規模事件があったのに対し23年は最大でも29万件にとどまり、1万件を超える流出事件数が半分以下に減少したためと考えられます。
カード不正利用の低額化や巧妙化が進む一方で、事業者は対策に遅れ
カード不正利用の低額化が進行しており、6万円未満の被害が過去3年間で10%増加しました。不正手口の巧妙化が進む一方で、事業者における不正対策としての「EMV 3-Dセキュア」の導入率は36.1%にとどまっており、コストや優先順位の低さがその要因とされています。また、コード決済における不正手口が発生し、被害者が自ら送金してしまうケースが増えています。自らの送金は、補償対象外となるリスクがあり注意が必要です。
送信ドメイン認証「DMARC」は導入率59%まで上昇も、運用に課題
カード会社(イシュア)における2023年9月時点での「DMARC」導入率は36%でしたが、2024年3月末には59%に上昇しました。ただし、対策の実効性を高めるためには、ポリシーを強化した運用が不可欠ですが、最も厳しいポリシーである「拒否」を設定しているのは19.6%と低いままとなっています。
不正送金被害額は87億円。前年比5.7倍に急増
不正送金の傾向として、犯罪行為がますます分業化されていることが確認されています。特に、フィッシングによる不正送金の際には、専門的な知識がなくても簡単にフィッシングサイトを構築できる「フィッシングキット」が利用されるケースが増えています。さらに、身元を隠すために暗号資産を利用したマネーロンダリングが増加していることも、重大な懸念事項となっています。
クレジットカード不正利用対策のための制度・政策の改訂が進む
クレジットカード・セキュリティガイドラインが改訂され、2025年3月までにEMV3-Dセキュアの導入が必須化されます。また、セキュリティ・チェックリストの改定により、対象範囲が拡大されました。これにより、事業者に対するセキュリティ要求が一段と強化される見込みです。
キャッシュレスセキュリティレポート2024
▼「キャッシュレスセキュリティレポート 2024」 ダウンロードはこちらをクリック
※個人情報を入力することなくダウンロードできます。無料ですので、ぜひご覧ください!
2023年のカード情報流出事件の概況
・カード情報流出事件数・流出件数の推移
・カード情報流出事件の傾向
・2023年カード情報流出事件のトピック
2023年の ECサイトにおける不正利用の概況
・クレジットカード不正利用被害額の推移
・ECサイトにおける不正注文の傾向
・ECサイトにおける不正利用のトピック
・イシュア(クレジットカード発行会社)における送信ドメイン認証(DMARC)導入状況
2023年のオンラインバンキングを悪用した不正送金の概況
・ 被害の概況
・分業が進む不正送金犯罪
・ 暗号資産を利用したマネーロンダリング
制度・政策の動向
・クレジットカード・セキュリティガイドライン改訂
・ PCI DSS バージョン4.0.1の公開
・キャッシュレスを狙うサイバー犯罪に対する警察庁の取り組み
・経済安全保障とクレジットカード業界
本レポートに関するお問い合わせ
セキュリティプラットフォーム事業部 担当:滝村・加藤・相原
【免責事項】 本レポートの作成にあたり、かっこ株式会社と株式会社リンクは、可能な限り情報の正確性を心がけていますが、確実な情報提供を保証するものではありません。本レポートの掲載内容をもとに生じた損害に対して、かっこ株式会社と株式会社リンクは一切の責任を負いません。
【データの利用について】本レポート内の数表やグラフ、および記載されているデータ等を使用される際は、出典として「かっこ株式会社・株式会社リンク『キャッシュレスセキュリティレポート2024 』を明記下さい。