ECサイトのセキュリティ対策：不正注文や詐欺を減らす5つの方法

EC事業を立ち上げるにはさまざまな準備が必要ですが、ECサイトのセキュリティ対策は重要な準備のひとつです。

世界のEC売上高（英語）は、2023年に推定5.8兆米ドルに達し、予測では今後数年間で39％成長して2027年に8兆ドルを超える見込みです。この数字はビジネスオーナーには嬉しいニュースですが、その分不正注文や詐欺も年々増大しています。日本サイバー犯罪対策センターに通報された悪質な詐欺や不正件数は2023年には47,278件となり、前年に比べて18,460件増加しています。

このように、ECサイトを運営したり利用したりすることで、詐欺師やサイバー犯罪者に標的とされる可能性は高くなってきているため、事業者自身と顧客を守ることは最重要課題です。

この記事では、ECサイト詐欺とは何か、詐欺の種類はどのようなものかを解説し、詐欺や不正注文を減らす方法などをくわしく解説していきます。経済産業省のECサイトセキュリティガイドラインも合わせて参考にし、ECサイトのセキュリティ対策を万全に行っていきましょう。

ECサイト詐欺とは？

ECサイト詐欺とは、オンライン取引で悪意をもって行われるすべての詐欺・不正行為を意味します。

ECサイト詐欺には個人情報やクレジットカード情報が必要なだけで、実店舗よりもハードルが低くなっています。情報は闇市で手に入ることもあり、サイバー犯罪者にとっては比較的簡単に実行できる犯罪です。そのためECサイト詐欺の件数は年々増え続けています。ECサイト詐欺の種類は何千もあり、警察や当局の追跡調査は困難を極めていることもあり、ECサイト詐欺は犯罪者にとって魅力的なものになっています。

ECサイト詐欺の種類

ストアを詐欺行為から守り、不正対策をするためには、まず、詐欺のタイプを理解し相手を知ることが大切です。以下に、主なECサイト詐欺の種類を紹介します。

1. クレジットカード不正利用

クレジットカード不正利用とは、クレジットカードやデビットカードを使って行われるさまざまな詐欺行為です。実店舗では支払い時に物理的なクレジットカードを店舗に差し出す必要がありますが、ECサイトではその必要がなく、非対面取引となるため不正利用が起こりやすくなります。

詐欺師は不正に入手したクレジットカード情報で商品を購入し、その商品を返品し返金してもらうことで金銭を手に入れます。通常、店舗が製品を発送した後やサービスを提供した後に返金が発生するため、販売者の手元には製品が残らず、銀行からはチャージバック料金が請求されます。

クレジットカードの不正利用をする際、詐欺師はまず盗難カードで少額のものを購入してキャンセルされないかを確かめ、その後大きな金額の買い物をする傾向にあります。

2. フレンドリー詐欺（本人不正使用）

フレンドリー詐欺（本人不正使用）はチャージバック制度を悪用した詐欺行為で、チャージバック詐欺とも呼ばれます。

チャージバック制度は、取引に使われたクレジットカード料金を購入者に返金するものです。この場合、銀行およびクレジットカード会社はカードの名義人に返金し、その返金額を事業者に請求します。カードの持ち主は、見覚えや許可なく引き落としがあった際にチャージバックを合法的に要求することができます。例えば、クレジットカード情報の詳細が盗まれ、その犯人がカードで何かを購入した場合などです。

フレンドリー詐欺（本人不正使用）では、詐欺師は物品を購入してその商品を受け取った後、購入に覚えがないとクレジットカード会社に申告し、取引に異議を申し立てて返金を要求します。

さらにやっかいなのは、ストアでチャージバックが頻繁に起こると、決済代行業者はそのストアでの特定のクレジットカード会社を通した決済業務を停止させる場合がある点です。また、1件のチャージバックにつき手数料が1300円程度かかり、件数が多くなると小規模経営者の足をすくうことにもなりかねません。

3. アカウント乗っ取り詐欺

アカウント乗っ取り詐欺は、個人情報盗難の一種で、サイバー犯罪者が顧客のログイン情報の詳細にアクセスし、アカウント保持者のパスワードや住所などの個人情報を変更して無断で買い物をする詐欺です。

アカウント乗っ取り詐欺が収集する顧客の情報は、ほとんどの場合フィッシング詐欺と呼ばれる手口で入手されます。フィッシング詐欺では、詐欺師が信頼できる会社を装いメッセージやメールを顧客に送り、個人情報やログイン情報を提供させます。2024年、世界でフィッシング詐欺の攻撃を受けた機関の8%がECサイトと小売業（英語）となっています。

アカウント乗っ取り詐欺は、EC事業者に非常に大きな損害を与える可能性があります。事業者は、チャージバックやその他手数料を支払うことになる上に、被害者が情報漏洩に対する苦情を公の場で訴えるとストアの評判にも影響する可能性があります。

4. インターセプト詐欺

インターセプト詐欺は、詐欺師が盗んだ決済情報を使って商品を購入し、自分の住所に配送させるものです。

注文や支払いプロセスが通常通りに行われると、オンラインストアは注文情報にある配送先住所に商品を配送します。注文が発注されて確定した後、詐欺師はその発送をさまざまな方法で横取りし、自分の希望する場所へ配達させます。例えば、ストアのカスタマーサービスに連絡をして配送先住所を変更したり、配送業者に直接連絡して商品を違う場所に送るように指示したりします。

5. 三角詐欺

ECサイトにおける三角詐欺とは、詐欺師が盗んだ個人情報を使って物品を購入し、それをネット販売して金銭を稼ぐというものです。三角詐欺は3段階のステップを踏み、詐欺師、ECサイト事業者、購入者の3つの当事者をからめて行われます。

初めに、詐欺師は偽のオンラインストアを作り、購買者を惹きつけるために人気商品を大安値で販売します。次に、詐欺に気づかない買い物客はその偽オンラインストアで商品を購入し、詐欺師から商品を受け取ります。偽のオンラインストアで販売している商品は、詐欺師が盗んだクレジットカード情報を使って購入したものです。三角詐欺の被害者となった購入者はバーゲン料金で買い物ができたと思っていますが、実は引き換えに個人情報を提供しています。そして、もちろんその情報も次の犯罪に悪用される可能性があります。

被害者の一人である購入者は実際に商品を受け取るため、三角詐欺は長い間気づかれないことがあります。特に偽のオンラインストアが合法で信頼がおけるものであるように見えると発覚が遅くなります。

6. アフィリエイト詐欺

アフィリエイト詐欺は、詐欺師がアフィリエイトのコミッションを通して金銭を得ようとするものです。

アフィリエイト詐欺を行う詐欺師は、別のIPアドレスになりすますIPスプーフィング、不正な手法でクッキーを操作するクッキースタッフィング、マルウェア、URLの入力ミスを利用するタイポスクワッティングのような手法を通して不正にアフィリエイトの報酬を受け取ります。

7. 返金詐欺

返金詐欺はサイバー犯罪者がさまざまな正当な理由を装ってオンラインでの購入品の返金を得ようとするものです。

以下に返金詐欺のよくある例を紹介します。

• 注文品が届いていないと虚偽の申告をして、ギフトカードや電子マネーなどの通常以外の方法で返金を請求する。
• 配達品が空だった、または欠陥商品だったと偽の苦情を言う。
• 購入していない商品を、偽の領収書や注文確認情報を提示して返金を要求する。
• 盗んだクレジットカードを使い商品を購入し、使用したクレジットカードがキャンセルされたために通常以外の方法で返金するよう要求する。

ECサイト不正注文・詐欺を減らす5つの方法

1. Shopifyの不正検知・解析ツールを活用する

Shopifyでは不正解析ツールを提供しており、いち早く不正行為を検知することができます。

不正解析ツールは、アルゴリズムで全ネットワークのデータを駆使して不正行為のリスクレベルを判断します。次は、その指標の一部です。

• 発送先住所と発注者住所が一致しているか
• 注文の量がストアの平均注文量を超えていないか
• 購入者が短い期間で大量の注文を発注していないか

このツールにより、中程度または高いリスクがある注文が警告されます。その警告を受けたストアは以下のような予防策を取ることができます。

• 地図で発送先住所を調査し、偽の住所や疑わしい建物でないかどうかを確認
• メールを送り顧客の身元を確認
• 必要に応じて注文をキャンセル
• 疑わしいアカウントをブロックするリストに記載

2. 不正チャージバックの補償サービスを利用する

不正なチャージバックから身を守る補償サービスを利用することも有効です。

チャージバックの補償サービスは、チャージバック保険とも呼ばれ、保険料を定期的に支払うことでチャージバックが発生した場合に被害の一定額が補填されるものです。保険会社や決済代行会社などが取り扱っており、楽天ペイチャージバック補償団体保険制度やGMOペイメントゲートウェイチャージバック補償団体保険などがあります。

3. 不正行為を円滑に処理するためのワークフローを作成する

不正行為の予防対策ツールを導入した後は、ワークフローを作成しておくと不正が起きた時に素早く簡単に対応することができます。

Shopify Flowは、ECサイトでの業務を自動化できるツールで、「高リスク」の警告がついた注文の決済を自動的に遅らせるなど、不正行為にどのように対応するか作業の流れを設定できます。「予防は治療に勝る」ということわざ通り、この方法は、顧客から支払い金額をまだ受け取っていない時点で対策するので、返金のトラブルを避けることができます。

自動化された機能でなく自分の目で購入を確かめたい場合、メールで疑わしい注文を通知するように設定することもできます。さらに、注文を何度も繰り返すような詐欺師をブロックリストに載せて防ぐこともできます。

また、リスクの高い取引や疑わしい行動をチェックするBeaconアプリや、多重注文などの不正注文を防止するFraud Guardianアプリの導入も有効です。

4. PCI DDSに準拠する

クレジットカードで決済支払いを受け付けるすべてのオンラインストアはPCI DDSに準拠している必要があります。

PCI DDSの基準はオンラインでの取引が安全に行われるために設けられているものです。クレジットカードおよびカード名義人情報の処理・管理業務はこのガイドラインを遵守し基準に適合させなければなりません。

ShopifyはPCI準拠のホスティングプロバイダーです。Shopifyを利用するすべてのストアは、デフォルトでこの基準に適合しています。

5. ショッピングシーズンはセキュリティをさらに厳重にする

年末年始などのショッピングシーズンは、トラフィックや売り上げが上昇し、ストアの年間収入に大きく寄与します。しかし、この期間は詐欺･不正行為に特に注意しなければいけません。

ある統計では、2023年12月から2月までのショッピングシーズンに起きたサイバー攻撃は、他の四半期と比べて2倍以上の件数だったとあります。繁忙期は、詐欺を監視する時間が少なくなるのに加え、購買意欲の高まっている消費者はクレジットカードでの買い物の際のセキュリティを甘く考え、詐欺の被害者になる傾向が強まります。つまり、ショッピングシーズンはサイバー攻撃者にとって詐欺犯罪を起こす最高の時期となるので注意が必要です。

チャージバックの発生率を低く維持する

チャージバック発生率を常に下げておくことはECサイトビジネスにおいて重要です。不正なチャージバックは利益を減らし、対応には事業者の貴重な時間やリソースを無駄遣いすることになります。

さらに、VisaやMastercardなどには一定のチャージバック基準額があり、チャージバック発生率が高い事業者はカード会社の監視プログラムの管下におかれます。チャージバック率が下がるまで月毎の罰金や追加料金が課せられるだけでなく、チャージバック率を一定の期間までに下げられないと、最悪の場合、マーチャントのアカウントを解約させられることもあります。

チャージバック発生率を低くし続ける方法の一つは、チャージバックのデータをよく調べて高いチャージバックが起こっている理由を突き詰めることです。原因が分かりさえすれば予防策に取り組むことができます。

ECサイト詐欺は防げる

次から次へと新手の手口で不正を働こうとするサイバー犯罪ですが、ECサイト詐欺は適切な対策で防ぐことができます。日頃から警戒を怠らずに不正予防ツールを活用し、不正が起こる前に攻撃を検知し管理すれば、ビジネスと顧客の安全を守ることができます。

ECサイトの不正注文や詐欺を減らすには、不正検知・解析ツールを活用したり、疑わしい注文に対応するワークフローを作成したりしておくのが有効です。また、万が一詐欺が起きた場合でも、不正チャージバック補償サービスなど保険に入っておくことで被害を最小限に抑えることができます。

カード会社からの信用にも影響する不正チャージバックは、アプリの使用やデータの監視などで発生率を常に低く維持しておくようにしましょう。また、年末年始などのショッピングシーズンにはセキュリティをさらに厳重にすることも忘れないようにしましょう。

また、ShopifyはPCI DDS準拠のホスティングプロバイダーで、すべてのShopifyストアにこの準拠が適用されるため、オンライン取引の安全性も高くなっています。

ECサイトのセキュリティ対策を怠ると、不正注文や詐欺により多大な損害を受けることになるかもしれません。まずは、ECサイト詐欺の状況や種類を理解し、セキュリティ対策を最重要課題の一つとして認識して常に最新の情報を入手するようにしましょう。今回紹介したECサイトのセキュリティ対策を参考に、自社に合った不正対策を講じてサイバー攻撃の脅威からECサイトを守りましょう。

ECサイト詐欺について理解を深めよう

ECサイト不正利用の被害額はどのくらいか

2024年に世界で起きたECサイト詐欺の被害額（英語）は443億ドル（約6兆259億円）で、2029年には1070億ドル（約16兆746億円）に増加し141%増加すると推定されています。

国内でみると、一般社団法人日本クレジット協会の発表では、クレジットカード情報の盗用被害が2023年度は過去最多の504億円になり、前年と比べて約100億円増加しています。

ECサイト詐欺はどのように検知できるか

ECサイト詐欺は、手動またはShopify不正解析ツールやShopify Protect、Shopify Flowなどのツールを活用することにより検知できます。

ECサイト詐欺に共通したサインは以下の通りです。

• 同じ購入者から短い期間に大量の注文が発注される
• 何回も支払い手続きが行われる
• 発注先の国と請求書送付先の国がちがう

3Dセキュア（本人認証サービス）とは？

3Dセキュアは、クレジットカードおよびデビットカードによるオンライン取引に追加されたセキュリティレイヤーです。オンライン決済の認証手順が追加され、ユーザーはカード発行元のドメインにリダイレクトされてから、オンラインストアのドメインに戻って決済を完了します。

3Dセキュアで決済が認証されると、不正なチャージバックや異議申し立てに対する責任は、事業者からカード発行会社に移行されます。この責任の移行により、事業者はチャージバックや異議申し立てにかかる費用の責任を負う必要がなくなります。このように利点が大きいため、3Dセキュアの利用が推奨されています。

文：Harumi Miyabayashi