ECサイトを狙った詐欺は、近年ますます増加しています。LexisNexis Risk Solutionsの前年比調査によると、その増加率は30%にも上ります。さらに、Digital Commerce 360のデータでは、これはEC売上の成長率のほぼ2倍にあたるとされており、状況の深刻さがうかがえます。
さらに厄介なのは、EC事業者が二方向から詐欺対策を講じなければならない点です。まず、不正なチャージバックや偽サイトの作成など、販売者である運営者自身を狙った詐欺から身を守る必要があります。
その一方で、顧客を詐欺被害から守る責任もあります。たとえ運営者自身も被害者の立場であったとしても、オンラインストア上で詐欺行為が発生すれば、その管理責任を問われる可能性があります。
幸いなことに、EC向けの不正対策も日々進化しています。詐欺の手口が巧妙化する一方で、防止技術もそれに対応する形で高度化しています。この記事では、特に被害が大きく、発生頻度も高い7種類のEC不正行為について解説します。それぞれの仕組みや注意すべき兆候、有効な対策に加え、セキュリティ強化に役立つ10種類の不正対策ツールもあわせてご紹介します。
ECサイトで注意したい7つの不正行為
EC不正対策の第一歩は、どのような手口があるのかを知ることです。オンラインストアが脆弱になりがちな7つの不正行為をご紹介します。
1. フィッシングメール
ほとんどの人は、「フィッシング詐欺」という言葉を一度は耳にしたことがあるでしょう。これはインターネット黎明期から存在する古典的な手口で、見知らぬ相手からアカウント情報や個人情報の入力を求める不審なメールを受け取った経験がある人も少なくありません。
近年では、かつて有名だった「ナイジェリアの手紙」のような典型的な詐欺メールよりも、ECサイトを装ったフィッシング詐欺が増加しています。注文確認や配送通知を装ったメールを送りつけ、ログイン情報や決済情報などの機密データを盗み取ったり、偽サイトへ誘導したりするのが主な目的です。
軽いケースであれば、リンク先は公式ストアではなく、無関係な広告ページ程度で済むこともあります。しかし、悪質なケースでは、ウイルスやマルウェアが仕込まれたサイト、あるいはハッキングを目的とした不正サイトへ誘導されることも少なくありません。そのため、不審なリンクは安易にクリックせず、まずはカーソルを合わせてリンク先URLを確認するようにしましょう。
2. なりすまし(アカウント・個人情報の不正利用)
フィッシング詐欺によってログイン情報や個人情報が盗まれると、その次に起こるのが「なりすまし」です。詐欺師は盗み出した情報を使い、被害者本人になりすまして高額商品を購入します。当然、その請求は本来の所有者に届くことになります。このように、他人の個人情報や決済情報を不正に利用して買い物を行う行為は、「なりすまし」や「個人情報の不正利用」と呼ばれています。
厄介なのは、この被害で最も大きな損失を受けるのが、実はEC事業者であるケースが多いことです。クレジットカード会社は、不正利用が確認されると購入者に対してチャージバック(支払い取り消し)を行います。しかし、販売済みの商品が返送されるとは限りません。仮に商品を回収できたとしても、多くの場合は中古品扱いとなり、損失は避けられません。そのため、EC事業者にとって最も重要なのは、不正利用が発生する前に兆候を検知し、未然に防ぐことです。
また、オンラインストア自体が、知らないうちに個人情報窃取の温床になってしまうケースにも注意が必要です。サイトのセキュリティが不十分だと、ハッカーが顧客情報を盗み出す可能性があります。実際に、2013年に発生した米Target社の大規模情報漏えい事件では、数千万件規模の顧客情報が流出し、莫大な被害が発生しました。
3. 偽ログインページへの誘導
普段から利用しているサイトを閲覧していて、「何か違う」と感じた経験はないでしょうか。そんな違和感がある場合、そのページが改ざんされていたり、偽ページへ誘導されていたりする可能性があります。攻撃者は正規サイトそっくりの不正ページを作成し、ユーザーを騙してアクセスさせます。
高度なケースでは、検索結果で上位表示される人気サイトを悪用し、検索エンジン経由のアクセスを不正ページへ誘導することもあります。また、こうしたサイトでは「マウストラッピング」と呼ばれる手法が使われることもあります。これは、ブラウザを閉じようとすると新しいウィンドウや大量のポップアップを表示し、ユーザーが離脱できないよう妨害するものです。
ECサイトにおいては、こうした攻撃は主にフィッシング詐欺の一種として行われます。たとえば、本物そっくりのログインページを表示し、ユーザー名やパスワードを盗み取るといった手口です。ECブランドにとって、顧客がログインのたびに「本当に正規サイトなのか」と不安を感じる状況は避けなければなりません。そのため、サイトの安全性を維持し、利用者に安心感を与えることが重要です。
4. チャージバック詐欺
チャージバック詐欺は、ECサイトで特に多く見られる不正行為のひとつです。手口は比較的単純で、詐欺師はオンラインストアで商品を購入した後、商品が発送・到着した段階で支払いの取り消しを申請します。つまり、商品だけを受け取り、代金を支払わずに済ませようとするわけです。
チャージバックを成立させる方法もさまざまです。たとえば、クレジットカード会社に対して「カード情報が盗まれた」「身に覚えのない請求だ」と虚偽の申告を行うケースがあります。
また、「商品が届いていない」と主張し、返金や再発送を要求するケースもあります。たとえ販売者側が不正を疑ったとしても、こうした申し立てには調査対応が必要になるため、大きな負担になります。
さらに厄介なのが、「意図しないチャージバック(フレンドリーフラウド)」の存在です。これは、悪意のない一般消費者が、結果的にチャージバックを引き起こしてしまうケースを指します。
たとえば、商品がすでに配達されているにもかかわらず受け取りに気づかなかったり、請求内容を誤解してしまったりするケースです。販売者側は、そのチャージバックが悪質な不正なのか、単なる勘違いなのかを判断しなければなりません。しかし、十分な証拠がないまま顧客を疑えば、正当な利用者との信頼関係を損なう可能性もあります。
特にサブスクリプション型サービスでは、このような「意図しないチャージバック」が頻繁に発生します。利用者が定期課金であることを十分理解していなかった、と主張するケースが少なくないためです。そのため、サブスクリプションを提供する場合は、料金体系や更新条件を事前にわかりやすく提示することが重要になります。
5. トライアングル詐欺
トライアングル詐欺は、EC業界で見られる不正行為の中でも特に巧妙な手口のひとつです。詐欺師は複数の取引を組み合わせることで、不正を発覚しにくくしています。以下が典型的な流れです。
- 詐欺師が、実際には在庫を持っていない商品をオンライン上に出品。価格は通常より高めに設定されていることが多く、マーケットプレイス型サイトでは比較的容易に掲載できてしまう。
- ユーザーがその商品を購入し、氏名や住所、決済情報などの個人情報が詐欺師の手に渡る。
- 詐欺師は、入手した情報や盗難カード情報を使い、別のECサイトで同じ商品をより安く購入し、購入者へ直接発送。
- ユーザーは商品を受け取るため、一見すると正常な取引に見えるが、実際には詐欺師が価格差を利益として得る。
この詐欺の悪質な特徴として、被害者は自分が騙されたことに気づかない傾向にあります。
さらにこの詐欺の特徴として、実行者は膨大なアカウント、クレジットカード情報を蓄積することになり、多くの場合、上記のステップ3で、様々なクレジットカードを使い分けて、追跡の手から逃れます。
つまり、この詐欺の被害者は、数か月または数年後に無関係な詐欺でまたデータが使用されてしまう可能性があります。
6. アフィリエイト詐欺
アフィリエイト詐欺は、アフィリエイトプログラムを導入しているEC事業者を狙った不正行為です。詐欺師はアフィリエイトリンクを不正に操作し、本来より多くの成果報酬を得ようとします。代表的な手口としては、実際には購入や成果につながっていないアクセスを「成果が発生した」と偽装するケースがあります。たとえば、アフィリエイトリンク経由で訪問したユーザー全員が商品を購入したように見せかけ、不正に報酬を受け取るといったものです。
この種の不正には、ボットや自動化ツール、ハッキング技術などが使われることが少なくありません。一方で、偽アカウントや架空プロフィールを大量に作成するといった、比較的単純な手法が用いられるケースもあります。また、アフィリエイト詐欺を行う人物は、不正検知システムを回避するための知識や技術を持っていることが多く、発見が難しい点も特徴です。そのため、EC事業者には、アフィリエイト経由のトラフィックや成果データを継続的に監視し、不自然なパターンを早期に検知する体制が求められます。
7. サプライヤーなりすまし
EC事業者そのものを標的にしたものもあり、詐欺師は製造業者や卸売業者、あるいは正規のB2B企業を装い、実際には存在しない商品やサービスの提供を持ちかけます。EC事業者が契約を結んだり、前払い金や初期費用を支払ったりすると、その後は連絡が取れなくなるケースがほとんどです。当然、約束された商品やサービスが提供されることはありません。
この種の詐欺では、フィッシングや偽サイトなど、他の不正手法が組み合わせて使われることもあります。ただし、大きな違いは、一般消費者ではなく企業が標的になる点です。そのため、新しい取引先と契約を結ぶ際は、企業情報や所在地、運営実態などを十分に確認し、信頼できる相手かどうかを慎重に見極めることが重要です。
EC不正のサインと被害を未然に防ぐポイント
不正被害を防ぐ最も効果的な方法は、危険な兆候を早い段階で見抜くこと。以下は、ECサイト運営者が注意すべき代表的なサインです。
- 配送先住所と請求先住所が異なる:なりすましやトライアングル詐欺では、カード所有者本人が商品を受け取らないケースが多く見られます。
- 同じ商品を何度も注文している:詐欺師は換金しやすい高額商品を狙う傾向があります。気に入った商品を見つけると、繰り返し大量購入することも少なくありません。
- 同じ住所への複数注文(異なるカードを使用):盗難カードを使い続けると発覚リスクが高まるため、複数のカード情報を使い分けるケースがあります(Stripe Radarを活用してクレジットカード詐欺を98%削減した事例はこちら)。
- 不自然な大量注文(特に即日・速達配送):詐欺師は短期間で利益を得ようとするため、高額商品をまとめ買いし、できるだけ早い配送方法を選ぶ傾向があります。
- 不審なメールアドレスや電話番号:名前とメールアドレスが一致していない、請求先住所と電話番号の国番号が異なるなど、不自然な情報には注意が必要です。
- 決済エラーが何度も発生している:単純な入力ミスの場合もありますが、繰り返し失敗する場合は、盗難カード情報の利用を試みている可能性があります。
EC不正行為対策─オンラインストアを守るためにできること
ここまで、ECサイトで起こりうるさまざまな不正手口をご紹介してきました。ここからは、オンラインストアを不正被害から守るために実践したい対策を見ていきましょう。
PCIコンプライアンス
まず確認しておきたいのが、ECサイトのセキュリティ対策における代表的な基準であるPCI DSS(Payment Card Industry Data Security Standard)です。PCI SSC(Payment Card Industry Security Standards Council)が策定したセキュリティ基準で、主要なクレジットカードブランド各社が協力して運営しています。PCI DSSには、クレジットカード情報を安全に取り扱い、不正利用を防ぐために実施すべきセキュリティ要件が定められています。EC不正対策の基本とも言える重要なガイドラインです。
幸い、多くの決済サービスや支払いゲートウェイでは、PCI DSS準拠の仕組みがあらかじめ提供されています。そのため、安全性の高いサービスを選ぶことで、セキュリティ対策の負担を大きく軽減できます。PCI DSSへの準拠方法についてはこちらをご覧ください。また、より詳細な情報はPCI SSC公式ブログでも確認できます。
AVSとCVV
より基本的かつ効果的な不正対策として、AVS(住所確認サービス)とCVV(カード検証値)の導入があります。現在では、多くのECサイトにおいて“推奨”というより、ほぼ必須のセキュリティ対策と言えるでしょう。
AVS(Address Verification Service)は、購入時に入力された請求先住所が、カード会社に登録されている住所と一致しているかを確認する仕組みです。一方、CVVはカード裏面(または表面)に記載されたセキュリティコードの入力を求めるもので、カード番号だけを盗まれたケースで特に効果を発揮します。
これらの機能は多くの場合、決済代行サービスや支払いゲートウェイに標準搭載されています。そのため、決済サービスを選定する際は、AVSやCVVに対応しているか事前に確認しておくことが重要です。
配送時の署名確認を必須にする
配送時の署名確認は、なりすましやチャージバック詐欺など、多くのEC不正対策として有効です。配送方法によっては追加料金が発生する場合もありますが、個人情報の不正利用や「商品が届いていない」といった虚偽申告への対策として、高い効果が期待できます。
特に、第三者が別人になりすまして商品を購入しているケースや、購入者が後から「商品を受け取っていない」と主張するケースでは、配送時の署名記録が重要な証拠になります。
不審な注文には個別確認を行う
詐欺師は、「細かく確認されない環境」を好みます。逆に言えば、少し踏み込んだ確認を行うだけでも、不正の抑止につながるケースがあります。
そのため、疑わしい注文に対しては、個別にフォローアップを行うことが有効です。少し手間はかかりますが、簡単な確認だけで不正を見抜ける場合もあります。たとえば、次のような方法があります。
- 顧客へ確認メールを送る:メールアドレスが有効かどうか、注文内容に問題がないかを確認します。正規の購入者であれば、多くの場合は丁寧に対応してくれるはずです。また、文章の不自然さや返信内容から違和感に気づけることもあります。
- SNSやオンライン上で情報を確認する:注文者名やユーザー名を検索し、実在する人物かどうかを確認する方法です。プロフィール情報と注文内容に矛盾がないかを見ることで、不正を見抜ける場合があります。
- 電話で本人確認を行う:注文時に登録された電話番号へ直接連絡することで、購入者本人かどうかを比較的早く確認できます。
- あえて発送を保留する:詐欺師は、不正が発覚する前に取引を完了させようとするため、即時発送を好む傾向があります。そこで、あえて発送を少し遅らせ、追加確認を行うことで、不正利用を諦めさせられる場合があります。ただし、正規の顧客にとっては不便になるため、本当に不審なケースに限定して行うべきです。
もちろん、すべての注文に対して個別対応を行うのは現実的ではありません。まずは、不自然な注文や違和感のある取引に気づけるよう、日頃からチェックポイントを意識することが重要です。少しでも「怪しい」と感じた場合は、その違和感を見過ごさないようにしましょう。
常にHTTPSを使用する
HTTPとHTTPSの違いをご存知でしょうか。大きな違いは、HTTPSではSSL/TLSによって通信内容が暗号化される点です。これにより、ユーザーとサイト間で送受信されるデータが保護され、第三者による盗聴や改ざんのリスクを大幅に軽減できます。一方、HTTP(末尾に「S」がないもの)では通信が暗号化されないため、ログイン情報や決済情報が漏えいする危険性があります。そのため、ECサイトではHTTPSの利用が事実上必須と言えるでしょう。「S」は“Security(セキュリティ)”の意味だと覚えておくとわかりやすいかもしれません。
また、HTTPSにはセキュリティ面だけでなく、SEO評価の向上や、より正確なアクセス解析データを取得しやすくなるといったメリットもあります。WordPressサイトを運営している場合は、HTTPからHTTPSへ移行する方法はこちらをご覧ください。WooCommerceストアを利用している場合は、SSL証明書を正しく導入し、安全な通信環境を整備することが重要です。
強力なパスワードを必須にする
アカウントのセキュリティを強化するには、ユーザーに強力なパスワードを設定してもらうことも重要です。確かに、複雑なパスワードは覚えにくく、不便に感じられることもあります。しかし、不正ログインやクレジットカード情報の漏えい被害を防ぐことを考えれば、その手間には十分な価値があります。
現在、多くのサービスでは「8文字以上」「大文字を含む」「特殊文字を含む」といった条件が一般的な基準となっています。これより簡単なパスワードは、セキュリティ上のリスクが高いと見なされることも少なくありません。
さらに安全性を高めるには、数字の使用を必須にしたり、ランダム生成されたパスワードを推奨したりする方法も有効です。また、可能であれば二要素認証(2FA)を導入することで、不正アクセス対策をさらに強化できます。
EC不正行為対策に役立つおすすめツール10選
以下、EC不正阻止に使えるツールをいくつかご紹介します。
1. Signifyd
大企業と中小企業の両方に対応するスケール面での柔軟性を備えたSignifydは、不正防止ソフトウェアを探す人がまずチェックすべき選択肢の一つ。ストアのバックエンドで機能し、すべての購入に対して、「不正である可能性」に基づいて「スコア」を割り当てます。
ユーザーは、個別の案件を自分で処理するか、Signifydチームのヘルプを利用するか選択できます。また、確信の持てない疑わしきケースについては、特定の注文に対する保険も利用できます。
2. Sift
詐欺予防ツール Sift(以前の名前はFormerly Sift Science)は、ハイエンドストア向けに構築されています。金額は上がりますが、機能が充実しています。個別のパッケージの購入ができ、フルパッケージになると、以下の機能が含まれています。
- 注文の精査
- 偽アカウントの阻止
- アカウント乗っ取りの阻止
- プロモーション不正使用の防止
- コンテントスパムの防止
- デバイスの指紋API
Siftは、そのマシンラーニングの性能を、業界で最も優れたものの1つとして宣伝しています。これこそが(その他のあらゆる機能とあわせて)その値段の高さを正当化していることでしょう。
3. Simility
Similityは、デバイスでの指紋認証に特化しており、その脅威レベルを評価します。デバイスのデータ(場所、OS、言語、ブラウザー、ユーザー名、バッテリー残量など)を監視し、ブラックリストと照らし合わせることで潜在的危険を判断します。
4. DupZapper
使いやすく、すぐにインストールできて、APIの統合は不要。DupZapperは、少ないメンテナンスで、多くのリターンが期待できるソフトウェアです。オンラインゲームを規制するために設計されたアルゴリズムで、アカウントの重複、地理的な整合性、クッキーのブロック、プロキシの使用などを検出します。簡単に使いこなせる詐欺防止ツールをお探しなら、こちらがおすすめです。
5. Kount
Chase BankやGNCのようなグローバル企業が愛用するKountは、高コストでありながら高品質のオプションです。予算がある方は検討する価値があるでしょう。Kountは200を超えるデータ変数を利用。トランザクションのリスクを未然に察知する先進的なテクノロジーを採用しています。そのシステムの応答時間は1秒未満(正確には300ミリ秒)で、業界最速のシステムの1つでもあります。かなりの予算がある大企業にとっては、毎日の注文を迅速に処理するために、この速度が力を発揮します。
6. Subuno
Subunoは、低価格でありながら多くを提供してくれます。20を超える不正検出ツールが、100を超えるリスク要因を分析。予算はそれほど多くないものの、サイトの安全性を優先したい、という場合には、この選択肢が便利です。特にShopifyやWooCommerceなどのECサイトで機能する点も注目に値します。
7. Riskified
Riskifiedは、いくつかの点で他のEC不正防止ソフトウェアとは一線を画します。まず、リアルタイムで超高速レポートを生成します。Kountのようなハイエンドソフトウェアの速度が必要な場合にうってつけです。エンタープライズレベルの価格設定はありません。
Riskifiedでは「不正スコア」モデルに加えて、各注文についての明確な「承認/拒否」分析まで確認できます。また、売上を生む承認済みの注文に対してのみ支払いを行うスライディングスケール方式でも機能し、小規模なオンラインストアにとってのスマートな代替手段となります。
8. FraudLabs Pro
FraudLabs Proには、このリストにある他の不正防止ツールを上回る強みがあります。メール(メールドメインが作成されてからの年月)、ソーシャルメディア、ISP、ユーザー名の信頼性チェックなど、独自の検出方法が使用できます。
もう1つの特徴はさらに魅力的です。1か月あたり最大500件のクエリを扱うプランは無料。立ち上げたばかりの小さな店やブランドにとって、これはオンラインセキュリティを改善する幸運な発見だと言えるでしょう。
9. Forter
モバイルトランザクション向けに最適化されたForterは、位置情報や支払い方法に関係なく、ほぼすべてのトランザクションを包括的に扱います。優れた機能の1つが、カスタマイズオプション–ユーザーは特定のリスクプロファイルまたは支払いゲートウェイに焦点を合わせることができます。また、詐欺スコアではなく、単純な「はい/いいえ」形式のレポートを使用し、リアルタイムのレポートを生成します。
10. Bolt
技術的に言えば、 Boltは詐欺防止ソリューションというよりは決済UIソリューションです。しかし、詐欺防止がシステムに組み込まれているため、両方に該当します。Boltは、不正行為の検出とユーザーエクスペリエンスの両方向けに最適化された決済システムであり、使いやすさ向上で売り上げの増加とカートの放棄減少を目指しています。
ボルトは、決済中に200を超える行動データポイントをスキャンし、リスクを評価します。その使いやすさという利点と相まって、単にオンラインセキュリティよりも多くの分野で助けを必要とするオンラインストアにとって最適な選択肢です。
まとめ
不正防止策は、EC事業の成功へと寄与します。より正確には、不正スキームを防止できないと、成功への妨げとなるでしょう。そして、EC不正行為が増加する最中、オンラインストアにとってセキュリティはかつてないほど重要視されています。
幸いなことに、用心をやめない限り、多くの危険を避けることができます。上記の最も一般的な7つの詐欺を理解し「敵を知る」ことからあらゆる事態に備えましょう。同様に、警告サインと注意事項を念頭に置き、不正行為がまだ「迫り来る」段階で阻止できるように努めてください。
EC不正行為を防止する効果的な方法をご紹介しました。最初に扱ったものは誰でも、オンラインストアに実装できるシンプルな技術ばかり。そして、EC事業が大きくなるにつれて、外部からの支援が必要になります。今回ご紹介したツールの中から、気になるものをぜひ導入してみてください。
ECとデジタルマーケティングを専門とするフリーランスのコンテンツライター。10年以上にわたり電子書籍、ウェブサイトのコピーライティング、ブログ記事を通じて、知識を共有している。ライティングサービスに関する情報は、www.mattelliscontentwriter.comで公開中。
