ECサイトの不正注文対策|チャージバック被害を防ぐ実務ガイド
ECサイトの不正注文は過去最多規模で拡大中。チャージバック被害の仕組み、EMV 3-Dセキュア義務化への対応、Shopifyで取れる具体策までを実務目線で体系的に解説します。
はじめに
ECサイトを運営するうえで避けて通れないリスクが「不正注文」です。クレジットカード番号の盗用、アカウントの乗っ取り、転売目的の買い占め、受取拒否を前提とした偽装注文など、手口は年々巧妙化しています。
2024年のクレジットカード不正利用被害額は過去最多の555.0億円に上りました。 これは同年のクレジットカード信用供与額(利用額)の「0.047%」に相当し、前年に比べて「0.004%」減少しました。 被害額の内訳をみると、そのほとんど(92.5%)をインターネット取引における「番号盗用」の被害が占めています。
経済産業省は割賦販売法に基づくセキュリティガイドラインを改訂し、原則すべてのEC加盟店に対して2025年3月末までにEMV 3-Dセキュアの導入を求める方針を打ち出しました。
本記事では、EC事業者が押さえておくべき不正注文のパターン、被害構造、法的要請、そしてShopifyをはじめとする主要プラットフォームで取れる実務的な対策を整理します。
ECサイトにおける不正注文とは?
不正注文とは、第三者のカード情報やアカウントを悪用して商品を詐取したり、運営側が想定しない手段で損害を与えたりする行為の総称です。被害はクレジットカードに限らず、コンビニ後払いやキャリア決済、ポイント不正取得など多岐にわたります。
主な不正注文のパターン
- クレジットカード番号盗用:フィッシングやマルウェアで流出したカード情報を使い、商品を購入して転売するケース。被害額の大半を占めます
- アカウント乗っ取り(リスト型攻撃):他社から流出したID・パスワードを使い回し、既存会員として注文する手口
- なりすまし新規登録:他人の個人情報を使って新規会員登録し、後払い決済などを悪用
- 大量転売・買い占め:限定商品や人気商品を自動化ツール(bot)で買い占め、フリマアプリ等で転売
- 配送先偽装・受取詐欺:空き家や転送業者を受取先に指定し、配送後に連絡が取れなくなるケース
- 返品詐欺:別商品や不良品に差し替えて返品を申請するケース
特に増えているのは「番号盗用によるEC被害」
対面のICチップ決済が普及したことで偽造カード被害は減少しましたが、その分オンラインでの番号盗用に攻撃が集中しています。2024年の番号盗用被害額は513.5億円に達し、前年比で微増ながら高止まりが続いています
(資料:クレジットカード不正利用被害の集計結果について 一般社団法人日本クレジット協会)
不正注文がECサイトに与えるダメージ
不正注文の怖さは、カード会員本人だけでなく、最終的にECサイト側が金銭的・業務的ダメージを負う点にあります。
チャージバック(売上取消)の負担
カード会員が「身に覚えのない請求」と申告した場合、カード会社は調査のうえ決済を取り消し、加盟店に請求が戻ってきます。これがチャージバックです。原則として、EC加盟店側が本人認証などの不正防止措置を十分に講じていない場合、商品代金は戻らず、送料・手数料・発送済み商品のすべてが損失となります。
業務負荷と機会損失
- カスタマーサポートへの問い合わせ対応
- 警察・カード会社への報告、証憑の提出
- 在庫の再確保、発送停止オペレーション
- 同一手口の横展開を防ぐためのログ分析
これらの工数は売上に直結しない「ディフェンス業務」であり、スタートアップや少人数運営の事業者ほど痛手になります。
ブランド毀損と販売停止リスク
不正利用が多発するEC加盟店はカード会社の監視対象となり、最悪の場合は加盟店契約を解除される可能性があります。
(参考:「クレジットカード・セキュリティガイドライン」が改訂されました (METI/経済産業省))
カード決済が停止すればEC事業の継続自体が困難になります。
EMV 3-Dセキュア義務化と法的背景
2025年3月末を区切りとして、EC事業者を取り巻く法規制は大きく変わりました。対応していない場合のリスクを正しく理解しておく必要があります。
EMV 3-Dセキュア(3Dセキュア2.0)とは
EMV 3-Dセキュアは、クレジットカード決済時にカード会社が不正リスクを判定し、必要に応じてワンタイムパスワードや生体認証で本人確認を行う仕組みです。従来の3Dセキュア1.0と比べて、リスクベース認証によりカゴ落ちを抑えつつ、不正取引のみを追加認証に回せる点が特徴です。
2025年3月末までに全EC加盟店が対象
経済産業省が所管する「クレジットカード・セキュリティガイドライン」では、原則すべてのEC加盟店に対してEMV 3-Dセキュアの導入を求めています。割賦販売法の「実務上の指針」として位置づけられており、同等以上の対策を講じていない事業者は、カード会社から改善指導や加盟店契約解除の対象となり得ます
(参考:「クレジットカード・セキュリティガイドライン」が改訂されました (METI/経済産業省))
ガイドラインが求める対策の3本柱
| 対策領域 | 主な内容 |
|---|---|
| 不正利用対策 | EMV 3-Dセキュア、属性・行動分析、券面認証、配送先情報 |
| 情報漏えい対策 | PCI DSS準拠、非保持化、脆弱性診断 |
| 不正アクセス対策 | 多要素認証、パスワードポリシー、WAF・botガード |
一つの施策だけでは限界があるため、「多層防御」が基本方針とされています。
具体的な不正注文対策
自社ECで今すぐ検討すべき対策を、決済・注文ロジック・運用の3領域に分けて整理します。
決済面の対策
- EMV 3-Dセキュアの全面導入:主要決済代行(Stripe、KOMOJU、GMOペイメントゲートウェイ、SBペイメントサービス等)はすでに対応済み。リスクベース認証のチューニングも合わせて実施
- 不正検知サービスの併用:3Dセキュアだけでは拾えないケースもあるため、不正注文スコアリングツール(ASUKAインテリジェンス、O-PLUX、Sift、Signifyd等)を組み合わせる
- カード以外の決済手段のリスク管理:コンビニ後払い、キャリア決済、BNPLそれぞれに固有の不正パターンがあるため、決済会社の審査ロジックを確認
注文ロジックの対策
- 同一IP・同一カード番号・同一端末からの短時間連続注文を制限
- 配送先と請求先の不一致、私書箱・転送業者住所のフラグ化
- 初回注文の高額購入に対するマニュアル確認フロー
- 会員の異常なパスワード変更・配送先変更時の二段階認証
運用面の対策
- 不正注文が発覚した際の発送停止・返金・報告のプレイブックを整備
- カスタマーサポートにもエスカレーション基準を共有
- チャージバック率のモニタリング(目安: 0.5〜1%を超えると警告水準※)
- 顧客データのアクセス権限・ログ監査
※数値は一般的な目安であり、カードブランド(Visa/Mastercard等)や決済代行会社の規定により、監視対象となる基準値は随時変動します。
Shopifyにおける不正注文対策
Shopifyは不正対策機能を標準搭載しており、アプリ連携でさらに強化できます。
Shopify標準の不正解析(Fraud Analysis)
注文ごとにAIがリスクレベル(Low/Medium/High)を自動判定し、AVS(住所確認)、CVV、IPと請求先の地理的整合性などのシグナルを提示します。発送前に確認するだけでも、明らかに怪しい注文を止められます。
Shopify Paymentsと3Dセキュア
Shopify Payments利用時は、カードブランドの要求に応じて3Dセキュアが自動適用されます。日本の加盟店では、Shop Payや外部決済ゲートウェイとの組み合わせで認証フローを最適化することが重要です。
推奨アプリ・外部連携
- 不正検知: NoFraud、FraudLabs Pro、Signifydなど
- bot対策: Cloudflare Turnstile、Shopify Bot Protection
- レート制御: 限定販売時の抽選・待機列アプリ
- CS連携: 注文リスクが高い場合のみ確認メールを自動送信するフロー
まとめ
不正注文は「起きたら対応する」ではなく、事業継続のインフラとして設計段階から組み込むべきテーマです。ポイントを整理します。
- 2024年の不正利用被害は555億円と過去最多、その大半がEC経由の番号盗用
- 2025年3月末のEMV 3-Dセキュア導入は実質的な必須要件
- 決済・注文ロジック・運用の多層防御と、Shopify標準機能+外部ツールの組み合わせが有効
- チャージバック率は継続モニタリングし、売上とのバランスで認証強度を調整する
FASTMAKEでは、Shopifyを中心としたECサイト構築に加え、3Dセキュア導入、不正検知ツール連携、運用オペレーション設計までを一貫してサポートしています。不正対策の見直しやリプレイスをご検討の際は、ぜひお気軽にご相談ください。
