3社に1社は不正注文の被害経験あり！　減らないECの不正注文に2024年の対策は？

EC事業者のセキュリティへの意識は年々高まっているものの、クレジットカード不正利用やフィッシングなどの被害は減らず、むしろ増加傾向にある。

2025年3月のEMV 3-Dセキュア（3Dセキュア2.0）導入必須化を控えた2024年、EC事業者はどう準備を進めればいいのか？ EC業界でトップシェアを誇る不正検知システム「O-PLUX（オープラックス）」を提供する、かっこ株式会社 O-PLUX事業部 ディビジョンマネジャーの小野瀬まい氏に現状と対策について聞いた。

2023年も右肩上がりで増えるECの不正被害

──直近の不正被害の傾向や発生状況について教えてください。

クレジットカードの不正利用については、2025年3月末までにEMV 3-Dセキュアの導入が義務化されるなど、経済産業省としても不正対策に舵を切っているのですが、なかなか被害が止まないというのが現状です。一般社団法人日本クレジット協会が発表した2022年のカード番号盗用被害額が411億円だったのに対し、2023年は上半期（1月～6月）の段階ですでに245億円にのぼっており、不正被害は年々増加傾向にあります。

フィッシングについても、フィッシング対策協議会のレポートによると1年間でおよそ100万件もの被害が確認されています。さらに近年増えている置き配を悪用し、指定した住所に置いてある荷物を盗んで逃げるなど、手口も日を追うごとに巧妙化しています。

例えば情報が盗まれてしまうと、
「カード情報や個人情報が盗まれてダークウェブなどで売買される」
↓
「その情報を使ってセキュリティが弱いECサイトで不正決済される」
↓
「その商品がCtoCのフリマサイトなどで転売される」
というサイクルが延々と回ることになるので、まずは情報を取られないようにすることが大切ですし、盗まれた情報を不正者に使わせないことも重要です。

ECモールはプラットフォーマー側が対策を強化していますが、自社ECは自社で何とかしなければなりません。ECサイトで不正対策をするにあたって、事業担当者の目視では限界があり、「自動化したい」というご相談が当社に多く寄せられています。

3社に1社が不正被害を受けている

──そういった状況を受け、貴社がアンケートを実施したとお聞きしました。どのような結果が出たのでしょうか。

2023年11月、不正注文対策に携わっているEC事業担当者様549名を対象に、アンケートを実施しました。当社の不正検知ツール導入の有無を問わず、年商も幅広いレンジの事業者様を対象としました。

アンケート結果では7割以上の方が「クレジットカード不正利用防止措置の義務化について、内容まで理解している」と答えたことから、セキュリティへの意識は高まっているといえるでしょう。

その一方で、不正対策としての本人認証の仕組みであるEMV 3-Dセキュアの導入は36％にとどまっており、未導入の理由は
1）コストがかかる
2）リスク判定のカスタマイズができない
3）不正のすり抜けへの懸念
といった内容が上位でした。

また、不正注文の被害はEC事業者の約34％が経験していて、その内訳はクレジットカード不正利用が6割以上を占めています。フィッシング被害も約38％が経験していて、こちらは個人情報の漏えいが最多となっています。実に3社に1社が何らかの被害を受けており、もはや不正利用は他人事とはいえなくなっていると考えられます。

被害状況のアンケートでは、1年間で4～7回、金額にすると年間25万円～50万円という回答が最多でした。特に中小規模の事業者様にとって、50万円の売上がなくなってしまうのは非常に大きいですよね。

セキュリティ対策は売上アップのためにも必要

──アンケート結果から、不正対策への意識は高まっていても、対策が十分ではない状況がうかがえます。その原因と、今後必要なことを教えてください。

アンケート結果にもあるように、 “費用対効果”の要因が大きいと考えています。EMV 3-Dセキュアを導入するためには、パッケージやフルスクラッチのECサイトでは多額の開発費用がかかったとも聞いています。

しかしEMV 3-Dセキュアの本人認証のフィルターはカード会社側が定めたものを適用せざるをえず、自社の基準を反映させることができません。すり抜けも完全に防ぐことはできないため、その効果はあくまで限定的といえます。
そのため当社としてはEMV 3-Dセキュアと不正検知ツールを併用した重層的な対策をおすすめしています。

──不正対策の費用対効果を評価するのは難しいと思いますが、どのように考えたら良いでしょうか。

分かりやすい例を挙げると、せっかく販促費をかけて商品が売れたとしても、クレジットカード不正利用でチャージバックが発生してしまうと代金が回収できなくなるので、本末転倒ですよね。不正被害が増えたショップはクレジットカードのオーソリ承認率（※１）が下がり、販売機会の損失も増えることで売上減少に直結します。

仮に不正被害額は補償された場合でも、商品は不正者の手に渡ってしまっています。そうなると品質の担保が難しくなりますし、ブランド価値の棄損にもつながります。

他に特徴的な事例として、初回割引商品の不正購入・転売によって解約率が上がっていた単品リピート通販の事業者様がいらっしゃいます。当社の不正検知ツールを利用したことで「不正者を除外したことによって、正しいLTVが測れるようになった」というお声をいただきました。不正を防ぐことで正確なお客様のデータを収集して「何に投資すれば良いか」が判断できるようになったのです。マーケティングとセキュリティ対策の両軸に注力することで、事業の健全化を図れると考えています。

※１：顧客が使用するクレジットカードでの決済可否をカード会社が確認し、承認された割合

不正者の手口は常にアップデート！ 専門家への相談が不正対策の第一歩

──2024年、EC事業者はどのような不正対策を行うべきでしょうか。

まず「セキュリティ対策を全くしていません」という事業者様は、ぜひ見直しをしていただきたいです。ただ不正対策のノウハウは調べてもなかなか出てこないですし、難解な専門用語も多く、トレンドの変化も早いです。事業者様の商材や規模、使っているシステムによって対策はさまざまですので、当社のような専門家にご相談いただくのが近道です。

EMV 3-Dセキュアも不正対策ツールも「実装したら終わり」ではありません。不正者の手口も常にアップデートされていくため、状況をウォッチしていくことが重要です。不正検知システムを利用することで「最近クレジットカードの承認率が低くなっている」「リピート率が落ちている」といったデータ上の気付きに対して専門的な知見から対応策をご提示できますし、多くの事業者様の実例を通じて集められた情報やナレッジを使えるという恩恵は大きいと思います。

──最後に今後の展望を教えてください。

増え続ける不正被害に対して、業界を越えて対策を立てていかないと、根本的な不正の解消は難しいと考えています。

これまで当社は不正の“入口”であるフィッシングや不正アクセスから、不正決済という“出口”まで、EC事業者様向けに幅広い対策サービスを提供してきました。EMV 3-Dセキュアの必須化にともない、クレジットカード会社様へリスクが移ることが予想されます。そこで当社では、カード会社様向けに不正検知システムを提供されている株式会社インテリジェントウェイブ様との協業を進めています。

カード会社様向けとEC事業者様向け、それぞれの領域でトップシェアを持つ両社が持つノウハウやデータを合わせることで、業種の垣根を越えた不正対策の強化を図っていきます。今後の両社が生み出すシナジーにご期待ください。