損失を未然に防ぐ！ECサイトのための不正注文対策完全ガイド【かっこ　セミナーレポート】

たびたびニュースを騒がせている、クレジットカードの不正利用や初回限定価格商品等の不正な買い回り。いずれも転売目的で注文されることがほとんどだ。「まだ被害に遭ったことはない」というEC事業者も、用心しなければならない。

2024年12月に行われたミカタカンファレンスでは、不正検知サービス「O-PLUX」や「O-MOTION」を提供している「かっこ株式会社」の細川大旗氏が、不正注文対策についてレクチャーを行った。ECサイトの不正注文における現状や最新の手口に対応できる対策方法についても解説されたため、不正注文に不安を感じている事業者はぜひ参考にしてほしい。

クレジットカードの不正利用、事業者への影響は？

ECサイトでの不正注文といっても、様々な手口や被害がある。細川氏はまず、特に相談数の多い「クレジットカード不正利用」「初回限定商品不正取得・買い回り」について取り上げるとし、初めにクレジットカードの不正利用について詳細に解説した。

クレジットカードの不正利用については、盗んできた他人のクレジットカード情報を用いてECサイトで注文をし、手に入れた商品を転売して換金するという手法が代表的な被害例である。一方で、クレジットカードの有効性確認を行うことを目的とした被害も多発している。この被害は、不正者がBot等を用いて大量にアタックを仕掛け、決済が通ったカード情報をダークウェブ等で販売する行為であり、事業者側としては、大量アタックでECサイトに負荷がかかり、無駄なオーソリゼーションの費用が発生するうえ、ブランドイメージの毀損にもつながる原因となっている。

また、決済時に他人のカード情報を利用する不正注文とは別の手法として、ユーザーのアカウント乗っ取りという被害も多発しており、これは2024年によく見られた被害だという。不正者はフィッシングやダークウェブなどを用いて、ログインに使われるIDやパスワードを不正に入手する。そして会員登録情報の書き換えを行い、不正者の元に商品を届けさせることにするという。カード情報を用いずとも、不正購入ができてしまうのだ。

事業者への影響としては、アカウント乗っ取りの被害にあったユーザーへの信頼を失うことや、ブランディング毀損にもつながる原因でもあるが、アカウント乗っ取りの場合は事業者責任が問われかねないことと、個人情報漏洩の事案に該当するため、個人情報保護委員会や各種団体の報告等が求められることになるという。

架空アカウントを大量に作って行う買い回り

初回限定商品の不正取得は、個数制限のある初回限定品を何人にもなりすまして注文し、大量に購入して転売する手口だ。事業者にとっては、顧客の継続的な購買につながらないという被害になってしまう。また、細川氏によるとこの手口は巧妙化しているという。不正者がたくさんのアルバイトを雇い、同じ商品を1つずつ買わせて回収し、転売するというものだ。

画像提供：かっこ株式会社（カンファレンス登壇資料より）

最終的に安価に転売されてしまうため、値崩れやCRMに悪影響が及んでしまう。「これらを目視で検知するのは不可能であり、ツールの導入が不可欠」と、細川氏は続ける。

3Ｄセキュアの限界と今後求められる不正対策

セキュリティ対策として、2025年3月までにEMV 3Ｄセキュアを導入することが全てのEC事業者に義務化されている。導入すればカード不正利用の被害額は基本的に補償されるが、オーソリ承認率の低下により購入ができないお客様が出てしまったり、ブランドイメージが毀損したりといったリスクが発生する。

最新となるクレジットカードセキュリティガイドライン6.0では、ログイン時から不正が発生していることを鑑み、3Ｄセキュア導入と脆弱性対策、そして不正ログイン対策の3本柱が必須化される見込みだ。新規加入店ではこの3つがすでに必須となっており、既存加盟店でもチェックが開始される方針となっている（※）。

細川氏によれば、この新しいガイドラインが敷かれることにより「チェックリストに対応できていないと是正完了まで指導が入ったり、従わない場合や対応が見込まれない場合は、クレジットカードに関する契約が解除されたりという方針まで出てきている」とのこと。「情報をキャッチアップし、どのような対策をするのか検討することをお勧めします」としたうえで、かっこの不正検知サービス「O-MOTION」「O-PLUX」を紹介した。

（※）クレジットカードセキュリティガイドライン6.0版は3月上旬に上記内容を含み発表された。

カード「決済前」対策と「決済時」「決済後」対策で万全に

「O-MOTION」はアカウントの乗っ取りや不正アカウントの作成に有効な不正検知サービスだ。決済「前」の不正に対応している。多角的な手法で不正ログインを検知し、不正利用を未然に防ぐことを目的としている。

「O-PLUX」は、決済「時」と決済「後」の不正利用を対策できるソリューションだ。累計11万サイトの不正注文情報を蓄積しているため、新たに受注した注文と照らし合わせて不正チェックができる。他、国内外さまざまなデータとの連携により、多様な不正注文を的確に検知する。ローカライズされた視点での検知能力が強みだ。

実際にかっこのサービスを導入している企業の中には、目視チェックの課題が解消され、専任スタッフ2名分の工数削減につながった例があるという。月に300件前後の不正転売目的の注文が抑止された企業もある。決済前対策により、導入後半年でオーソリ承認率が10％向上したという事例も紹介された。

3Dセキュアだけでは万全と言えない

細川氏のセミナーでは、ECサイトにおける不正注文の現状が明らかにされた。不正注文はその手口が高度化・多様化しており、従来の対策だけでは十分とは言えない。3Dセキュアは重要な対策の一つだが、それだけに依存するのではなく、不正検知システムとの連携、そしてログイン段階からの多角的な対策が不可欠となるようだ。不正注文対策に悩むEC事業者は、改めて不正検知サービスの導入を検討してみてはいかがだろうか。