「クラウドファンディング」に騙される

最近よく聞かれるようになってきた「クラウドファンディング」。
インターネットのなかった時代には考えつかなかった素晴らしい発想ではあるのですが、我々のような不正検査士からみると、実は不正の温床になる場合があるのです。
ほとんどの真っ当な善意が踏みにじられることがないよう、警鐘を鳴らす意味も込めて書いてみました。

1.クラウドファンディングとは
クラウドファンディングとは、群衆(crowd)と資金調達(funding)を組み合わせた造語で、不特定多数の人が通常インターネット経由で他の人々や組織に財源の提供や協力などを行うことを意味します(WikiPediaより)。
昔からこのような形で資金を集める方法は用いられていましたが、2000年代後半になってインターネットを活用する形が定着し、「クラウドファンディング(以下「クラファン」とします)」と呼ばれるようになったあたりからは世間でもごく一般的になってきました。

具体的な流れとしては、必要な目的や資金をWEB上でプレゼンテーションし、クレジットカードで寄付、そして寄付者には金額などに応じて謝礼するなどといった形が一般的です。
現在では、慈善目的の寄付などにとどまらず、飛び抜けた発想をもった製品開発やゲームなどの開発、果ては結婚式の資金集めにまで(!)使われるようになってきました。

crowdfunding
(出典:朝日新聞社A-port)

しかしこのクラファン、素晴らしい目的をもった用途の中に、大きな不正の問題を抱えているのです。

2.不正な目的のクラファン
クラファンは、会社が上場するときのような厳格な審査や監査を受けているわけではありません。
また、サービスが充実してきたため、どんな者でも簡単に、ほとんどの場合無料でクラファンサイトを開くことができます。

このため、たとえば嘘の目的で寄付を集め、持ち逃げしてしまうことも比較的簡単に可能となります。

また、マネーロンダリング(資金洗浄。違法薬物や脱税、横領といった犯罪資金などを合法な資金として見せかける犯罪行為)にも利用が可能です。
たくさんのクラファンプロジェクトを作り、少しずつ多数の寄付を出したように見せて再度集めると、表向きはその集めた資金は合法な資金に見えてしまいます。

その他、薬物などの違法取引を返戻品に偽装して行ったり、様々な不正・犯罪の手口に利用される可能性があります。

クラファンの運営会社もこれらの不正に手をこまねいている訳ではなく、たとえば下記のようにチェックにかかったプロジェクトを停止するような措置は行っていますが、根絶するには至っていないようです。

fusei
Campfireの不正対処例

なお、事実と異なるなど不正なプロジェクトで資金を集めた場合 詐欺罪として処罰の対象となります(刑法246条 人を欺いて財物を交付させた者は、10年以下の懲役に処する)。

3.クラファンサイトのオーソリ不正
まだあまり知られていませんが、「クラファンサイト自体が悪事に利用される」場合もあります。それは、クレジットカード不正との組み合わせによるものです。

クラファンの寄付の支払いは、ほとんどの場合クレジットカードで行われます。
この支払~決済に至る流れは、通常のネット通販と全く同じです。
ただ少し違うのは、「すぐに物品を発送せず(後ほどお礼は送られたりします)、支払い金額が少額な場合も多いので、申込者のチェックが甘い場合がある」という点です。

通販などでクレジットカード決済を行う場合は「オーソリゼーション」と呼ばれる信用チェック手続きを必ず利用します。この手続きは、カードそのものが有効か、また限度額を超過していないかなど、カードの利用可能性をチェックする必須の手続きです。

オーソリ
三井住友カード のサイトより

しかし、不正実行者はここを悪用します。

情報流出などによって不正に取得したカード番号などを使い、自動的に多数の申込手続(実際の決済までは進ませない)を行って、そのカードが有効かどうかをチェックし、不正利用するのです。

このチェック手続きは通常ボットと呼ばれる自動プログラムで行われます。また、最近はカード会社の番号法則に基づきランダムに作成した番号が有効かどうかをチェック(ランダムアタック)するためにも使われているそうです。

一般の物販サイトは、通常多数の人間から多くの注文があり、キャンセルされるなどの異常な取引があればすぐにわかりますが、クラファンの場合は少額でたくさんの取引が発生しやすく、チェックがかからない場合があると言われています。

こうなると、「データ漏洩で不正に取得されたカード番号」だけではなく、「全くどこにも提示すらしていないあなたのカード番号」すら、場合によっては不正利用される可能性もあるのです。

4.不正を防止するには

クラファン運営会社やカード会社は不正対策を進めていますが、まさに「いたちごっこ」であり完全に防ぐことは難しいと思います。また不正を野放しにしておくと、クラファンというせっかくの良い仕組みが悪いものとみられ、衰退してしまうかもしれません。
このため、利用者である我々としても、できるだけ不正を防止する努力をする必要があると思います。

たとえば以下のような防止策が考えられます。

①利用者側
まず、運営者が適切な目的でクラファンを立ち上げているか見抜く必要があります。SNS上の書き込みであっても、不正が見抜かれないよう良い評判を書き込ませることが可能ですので、クラファンの内容や目的自体が適切・合法なものかを複数の情報源で確認しておく必要があります。
また通常のカード不正利用防止の注意(カードを自分が見ていない所で切らせない、預けないなど)だけであれば、前述のランダムアタックには対処不可となってしまいます。
このため、自らのカード明細は頻繁にチェックし、細かい金額でも不明な支出は確認しておくことが必要です。

②クラファン運営側
運営側となる場合、すなわちクラファンを立ち上げる場合には、上記のような悪用を防ぐ対策(モニタリングやCAPTCHA認証といった、ロボットによる自動操作を発見・防止する手法)が適切になされたサイトを利用しましょう。これらも完璧なものはなく、不正実行者は様々な新しい手法を生み出してきますが、皆が少しずつでも対策をしていれば数を減らすことができます。

chapcha
CAPCHA認証の例