不正検知・ノウハウ

ECサイトで不正注文が起こる原因と加盟店ができる不正対策

ECや通販における不正注文では、クレジットカードの本来の持ち主ではない第三者によって行われた承諾のない取引(なりすまし)を指すケースが多いです。

その他、最初から転売を狙った大量注文なども不正注文と呼ばれる場合がありますが、今回はなりすましによる不正注文について注目し、まとめました。

加盟店(EC事業者)にとって不正注文による被害はできる限り防ぎたいものです。

この記事では

  • 不正注文が起こる原因とその手口
  • 不正注文を発生させないための対策
  • 仮に不正注文が起こってしまった場合に行われるチャージバックの仕組み
  • 加盟店が加入できるチャージバック保険について

などをご紹介します。

万が一に備え、不正注文に関する情報をぜひご一読ください。

業界全体の問題である不正注文

なりすましによる不正注文は、入手した商品を何らかの形で売却して利益を得るために、

  • ブランド品
  • 家電製品
  • AV機器
  • PC・周辺機器
  • チケット
  • ゲーム機器

などの換金性の高い商品が狙われてきました。

ですが、フリマアプリやネットオークションなどのCtoC市場で、消費者同士が直接売買できる環境が整ったことで健康食品やコスメといった低価格な商品もターゲットになっています。

ちなみに、クレジットカードの本来の持ち主(契約者)は、こういった不正注文の被害にあった際にカード会社へ異議申し立てを行えます。

その申立の結果、異議が認められた場合は注文を取り消され、代金も返金されます。

対して、EC事業者などクレジットカードの加盟店は異議申し立てがあった時点で取引の詳細を調査する必要があります。

この際、契約で定められた対策をとっていなければ、基本的に引き渡した商品の被害額はEC事業者の負担となります。

(実際に不正注文が行った後に行われる異議申し立て(チャージバック)については後述します。)

 

また、契約で定められた対策をとっていなければ、基本的に引き渡した商品の被害額もEC事業者の負担となります。

クレジットカード決済はECにおいて欠かせないものですが、不正注文とそれに伴うチャージバックの発生などリスクを把握し、適切な対策をとることが大切です。

ECサイトで不正注文が起こる原因とその手口

ECサイトで不正注文が起こる原因と手口は、主にクレジットカードがメインで以下のようなものがあげられます。

カード情報流出の例 手口 原因
フィッシング 公的機関や金融機関、正規ECサイトを装い、カード情報を不正に入手し悪用する 利用者が自らカード情報を入力してしまう
スキミング スキャナーを使って磁気データを読み取り、偽造カードにクレジットカードの情報をコピーし悪用する カードそのものの盗難や悪質な加盟店での利用

また、スキミングに関しては上記のケースが以前からありましたが、近頃は券面の情報だけを撮影やメモした後にECサイトで悪用する手法も発見されています。

こうした手口で盗用した情報を使い、第三者がクレジットカード決済を行うのを「なりすまし」と言います。

「なりすまし」に関して、詳しく知りたいという方は以下をご覧ください。

補足ですが、ECサイトのようなオンライン上で行われるものは「オンラインスキミング」と呼ばれます。

このオンラインスキミングの場合、ユーザーがフォームに入力したクレジットカード情報を盗み取られてしまいます。

カード番号や有効期限だけではなく、不正利用防止のために設定されているセキュリティコードまで盗まれてしまうため、対策が必要不可欠です。

「オンラインスキミング」に関しては、以下のページで解説しています。

不正注文を防ぐために加盟店ができる対策

上記の、クレジットカードでの不正注文の発生を未然に防ぐため、加盟店ができる対策は主に

  • 本人認証(3Dセキュア)の利用
  • 券面認証(セキュリティコード)の利用
  • 属性・行動分析(不正検知システム)の利用
  • 配送先情報の蓄積と利用

の4つが挙げられます。

これらは割賦販売法の改正に伴い、クレジット取引セキュリティ対策協議会が発表した「実行計画2019」にも記載されています。

実行計画2019とは2018年6月の改正割賦販売法施行を受けて発表されたセキュリティ対策の実務上の指針です。

これについて詳しく知り方は、以下をご覧ください。

本人認証(3Dセキュア)の利用

1つ目は本人認証(3Dセキュア)の利用です。

3Dセキュアとはカード会社が契約者に提供する本人認証の仕組みです。

従来はクレジットカード番号と有効期限の記載で購入ができました。3Dセキュアの場合、それに加えて独自のパスワードを設定し、カードの利用前に照合します。

これによりカードに記載されていない情報で本人認証が行えるため、紛失や情報の漏洩による不正注文の減少が見込めます。

また、3Dセキュアによる本人認証がなされた注文でチャージバックとなった際は、基本的にカード会社が売上・代金を負担します。

チャージバックが行われた場合は、クレジットカード会社が売上の取消をします。

その際に

  • カード利用者の本人確認がされている場合はカード会社
  • 本人確認がされていない場合は加盟店

が原則的に売上・代金を負担します。

ネットショップ(ECサイト)では、3Dセキュアがこの本人確認に含まれるため、不正注文の減少だけでなく、チャージバックによる費用負担リスクもなくせる対策となります。

 

ただし、本来の利用者がパスワードを覚えていない、別画面に遷移することによる心理的負担がある、といった理由から購入者が途中で購入をやめてしまう「カゴ落ち」発生のリスクが大きくなります。

また、3Dセキュアに対応していないカード会社も存在していることにも留意しましょう。

属性・行動分析(不正検知システム)の利用

2つ目は不正検知システムの導入です。

これは、購入者の情報から不正注文かどうかを発送前に判断できる仕組みのことで、不正検知サービス・不正検知ソリューションなどとも呼ばれます。

  • 取引データ
  • 統計分析
  • 検知サービスそれぞれのノウハウ

といった情報から、決済を行う前に危険性を判断します。

参考:かっこ株式会社不正検知サービス「O-PLUX」

 

各不正検知サービスによって内容は異なりますが、単に検知するだけでなく、導入により不正者が敬遠することから不正注文の根本的な削減につながるほか、

  • 審査時間削減による工数・コスト削減
  • 注文フローは変化しないため購入者への負担がない

といったメリットが見込めるサービスも存在します。

券面認証(セキュリティコード)の利用

3つ目は券面認証(セキュリティコード)の利用です。

決済時にカード番号や有効期限等の情報に加えて、セキュリティコードでも認証を行います。

セキュリティコードはクレジットカードに記載されている3桁もしくは4桁の数字で、カード毎に設定されています。

セキュリティコードも含めて情報が流出していることも多いため確実とは言えませんが、決済に必要な情報が増えることでセキュリティ精度が高まります。

配送先情報の蓄積と利用

4つ目は配送先情報の蓄積と利用です。

不正配送先情報を蓄積することで、その情報と合致した場合には商品を送らないことで、不正注文の対策となります。

ただ、自社だけでの対策では限界があるため、前項の参考情報で記載した「O-PLUX」のように配送先情報も活用できる不正検知サービスを入れれば一挙に解決が可能です。

このような対策に関しても、他の記事でも詳しく解説しているので参考にしてください。

参考:不正注文の対策として挙げられる「オーソリ処理」とは

補足ですが、不正注文の対策としてオーソリ処理(オーソリゼーション)が挙げられる場合もあります。

ただし、カード番号と有効期限のみの確認となっていることが大半で、あくまでカードの有効性確認に過ぎないことを理解しておいてください。

オーソリ処理とはクレジットカードで決済時にカードの利用が可能かを確認し、他の取引で利用されないよう「与信枠」として確保するシステムのことです。

与信枠の確保後に売上の処理を行い、そこでカードの利用が確定します。

 

このオーソリ処理を行うことで、

  • 所有者の支払い能力を逸脱した決済を防ぐ
  • 仮にキャンセルがあった場合の処理を簡易化する

などのメリットがあります。

 

ただ、オーソリ処理はあくまで与信枠の確認であり、枠内の取引を止める方法ではありません。

不正注文を直接的に防ぐ対策としては、先ほどご紹介した

  • 本人認証(3Dセキュア)の利用
  • 券面認証(セキュリティコード)の利用
  • 属性・行動分析(不正検知システム)の利用
  • 配送先情報の蓄積と利用

という4つの対策から検討されるのがよいでしょう。

不正注文が起きた後に利用されるチャージバックの仕組みと流れ

仮に不正注文が起きた場合、クレジットカードの契約者はカード会社へ異議申し立て(チャージバック)を行うことができます。

このチャージバックが申請されると、以下の手順で取引の審議が行われます。

  1. 契約者がカード会社に異議申し立てを行う
  2. 加盟店舗とカード会社で「受入」もしくは「反証」のどちらで対応するかを審議する
  3. 不正注文と認められた場合は売上が取り消しされる
  4. 各クレジットカード毎に返金方法の通知が消費者に通知される

この審議で取引が不正なものだと判断されれば、売上が取り消しされます。

 

チャージバックは契約者を守るための大切な仕組みです。

しかし、加盟店としてはチャージバックが行われることで、審議のために取引内容を精査する時間や人件費といったコストが発生します。先に挙げた不正対策の中で、決済時に「本人認証(3Dセキュア)の利用」をしていない場合には基本的に加盟店(EC事業者)が被害額を負担することになり、チャージバック後に不正な注文者から代金や商品を取り戻すことはまず不可能です。

 

取引のうちチャージバックになる確率は非常に低いです。

ただ、商材によっては1度に受ける被害額が大きいため、EC事業の規模によっては経営に影響が及ぶ可能性も考えられます。

そこで、チャージバック保険へ加入するクレジットカード加盟店もあります。

不正注文による被害を抑えるチャージバック保険という選択肢

チャージバック保険とは、チャージバックの発生時に保険会社がその金額を保障してくれる仕組みです。

毎月の保険料という形で費用を平準化し、チャージバック発生時の突発的な費用発生を防げることは大きなメリットです。

 

ですが、扱っている商材によっては加入が難しいこともありますし、チャージバック発生後には保険料の増額や、ときには契約更新拒否なども起こりえます。

さらに、チャージバック保険はあくまでも被害に遭ってからの保証です。不正注文そのものを抑止するわけでなく、不正者に狙い続けられてしまうことも多いのが現実です。

やはり不正注文の対策としては、

  • 本人認証(3Dセキュア)の利用
  • 券面認証(セキュリティコード)の利用
  • 属性・行動分析(不正検知システム)の利用
  • 配送先情報の蓄積と利用

という4つの方法が有力と言えます。

不正注文によるリスクを把握して事前に対策する

この記事では不正注文が起こる原因と、その対策をご紹介しました。

不正注文による被害は、ECサイト事業者にとって予期しきれないものです。

経営の上で、どれだけの被害が発生するかわからないものにコストをかけるのは難しい面もあるかもしれません。

しかし、不正注文に関しては、起きてしまうと大きな被害が予想されますしユーザーからの信頼も失ってしまいます。被害後の対応にかかるコストを考えると、事前に対策をとるのがおすすめです。

また、不正対策をしているという事実そのものが、不正者を遠ざける一歩となります。

例えば、今回ご紹介した対策方法の1つである不正検知システムを提供する事業者の中には、導入に関する無料相談を受け付けているケースもあります。

国内導入実績No.1を誇るかっこ株式会社の「O-PLUX」も実施しており、独自の検知ロジックで審査したい方やコストを抑えながら対策を始めたいという方など、ニーズ別にプランを用意しています。

まずは、以下から不正対策の方法や不正対策の実態が分かる資料をダウンロードしてください。

不正検知サービスO-OLUX かっこ株式会社

<不正対策についての資料をもらう>

こういったものを導入していき、自社にあった不正注文対策を行いましょう

ピックアップ記事

  1. 【購入者向け】受取拒否や身に覚えのない荷物への対応について
  2. eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!
  3. キャッシュレスとは?増加で起こる消費者・事業者の変化を解説
  4. 【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?
  5. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策とは?

関連記事

  1. 不正検知・ノウハウ

    改正割賦販売法の内容とは?実行計画も含めて解説

    割賦販売(かっぷはんばい)やクレジットカードでの後払いを適切に規制…

  2. 不正検知・ノウハウ

    【保存版】企業ができるサイバー攻撃への対策

    外部からのサイバー攻撃に耐える準備はできていますか?年々、サイ…

  3. 不正アクセス

    ECサイト事業者向け「なりすまし」への対策と「なりすましECサイト」について

    窃取した情報を使用し、第三者が本人になりかわる行為を指す「なりすまし」…

  4. 不正検知・ノウハウ

    企業が行うチケットの転売対策と購入者がやむなく転売する際の注意点について

    平成30年法律第103号として「特定興行入場券の不正転売の禁止等による…

  5. 不正検知・ノウハウ

    EC受注の拡大と安全性に関する講演レポート「かっこ株式会社」

    売上拡大に繋がるECサイトの構築手法や在庫管理のノウハウについて、20…

おすすめ記事

  1. ECサイトでの情報漏洩対策とは?どんなセキュリティ強化をする…
  2. 事業者が不正なチャージバックを防ぐ対策3つ!不正注文を防いだ…
  3. 個人情報漏洩時の3つの罰則規定を詳しく解説|企業の漏洩リスク…
  4. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策…
  5. ECサイトはセキュリティ対策が必須!導入時の重要なポイント5…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. ニュース・業界動向

    GoToトラベルの地域共通クーポン(電子版)を狙った不正取得被害が続出
  2. 不正アクセス

    ECサイトでの情報漏洩対策とは?どんなセキュリティ強化をするべきか
  3. ニュース・業界動向

    インバウンド需要に応えるスマホによるQR/バーコード決済の連携やサービス充実につ…
  4. データ&レポート

    【2020年最新】クレジットカードの不正利用の発生状況と不正被害額まとめ
  5. 不正検知・ノウハウ

    不正検知の仕事に転職するには?仕事内容や資格、働くメリット・デメリットをご紹介
PAGE TOP