かっこ株式会社(東京都港区、代表取締役社長:岩井裕之、証券コード:4166)が、EC事業者における不正被害と対策に関する実態調査を実施し、その調査結果を公開しました。同社は国内で最も多くの導入実績を持つ不正注文検知サービスを展開しています。
今回の調査は5回目となり、業界全体の動向変化を把握する貴重な資料となっています。
※国内導入実績No.1:株式会社東京商工リサーチ「日本国内のECサイトにおける有償の不正検知サービス導入サイト件数調査」2025年3月末日時点
この記事の目次
調査結果の主なポイント
- 決済手数料の値上げ交渉が急増:カード会社からの決済手数料値上げ交渉を受けた事業者が前年比約2倍の49.5%に達しました。
- 不正被害は依然高水準:3-Dセキュアの導入後も、不正被害は減少せず横ばい状態が続いています。
- 対策実施状況:不正注文対策を実施している事業者は69.6%となっています。
調査実施の背景
一般社団法人日本クレジット協会の公表データによると、クレジットカード番号等が盗用されて不正利用される「番号盗用被害」は2024年度に513.5億円と過去最高額を記録しました。キャッシュレス決済の普及拡大や与信枠の拡大などを背景として、不正利用による被害額は増加し続けている状況です。このような状況を受けて、2025年にはクレジットカード不正利用対策の実務指針「クレジットカード・セキュリティガイドライン【6.0版】」が改訂され、本人認証「EMV3-Dセキュア」の導入必須化をはじめ、不正ログイン対策や脆弱性対策の強化が要求されるなど、事業者に求められるセキュリティ要件はより厳しくなっています。
このような市場環境を背景に、同社はEC事業者における不正注文や不正ログインの被害状況、および不正対策の実施状況を明らかにするために、独自の調査を実施しました。
※一般社団法人日本クレジット協会「クレジットカード不正利用被害の発生状況」2025年9月
調査の概要
調査は2025年11月に実施され、EC事業者で不正注文対策に関わる担当者を対象にネット方式のアンケート調査として行われました。有効回答数は553件で、年商規模10億円未満が276件(49.9%)、10億円以上が277件(50.1%)という構成になっています。
※調査結果は端数四捨五入の都合により合計が100%にならない場合があります。
調査結果の詳細
不正利用対策における「線の考え方」の認知度について
2024年の65.6%から2025年は61.5%とほぼ横ばいで推移し、高止まり傾向が見られました。
事業者が最も懸念している不正リスク
クレジットカード不正利用が28.2%で最多となりました。次いでアカウント乗っ取りが25.3%、生成AIを悪用した偽サイト等の詐欺が14.8%となり、いずれも高い懸念を示す結果となっています。
不正被害の実態
不正ログイン被害の経験率
不正ログイン被害の経験率は2024年の54.8%から2025年は56.2%へと2ポイント増加しました。年商10億円以上の事業者では64.2%が被害を経験しており、企業規模が大きいほど被害が発生しやすい傾向が確認されました。
不正ログインの発覚経路
発覚経路として最も多かったのは、通常と異なる挙動から気づくケースで52.1%でした。次いで、顧客からの問い合わせで気づくケースが46.0%を占め、不正の兆候を事業者・顧客の両方が察知している実態が明らかになりました。
不正注文被害の状況
クレカ不正や悪質転売などの不正注文被害の経験率は38.0%で依然として高水準を維持しています。2024年の41.8%からわずかに減少したものの、高止まりの状態が続いています。年商10億円以上では45.1%、10億円未満では30.8%と、大手企業ほど被害を受けやすい傾向が見られます。被害種別ではクレジットカード不正利用が最も多く63.8%を占め(2024年は52.6%)、突出して高い結果となりました。
不正対策の実施状況
不正ログイン対策の実施状況
不正ログイン対策を実施していない事業者はわずか3.3%にとどまり、対策が広く浸透していることがわかりました。特に年商10億円以上の事業者では未実施がわずか0.1%と、ほぼすべての企業で何らかの対策を講じています。
不正注文対策の実施状況
不正注文対策をしている事業者は69.6%となっています。年商10億円以上の事業者は78.3%が対策をしている一方、年商10億円未満では60.9%にとどまり、企業規模が大きい方が対策をより実施している割合が高いことがわかりました。
具体的な対策手法
不正注文対策では、EMV3-Dセキュアが最多の65.2%で引き続き主流となっています。不正注文対策として最も多く採用されているのは、2024年に続いて本人認証「EMV3-Dセキュア」で、2025年も65.2%と最多を維持しました。一方で、システム開発などの導入コストや負荷を理由に「今後もEMV3-Dセキュアは採用しない」とする事業者も一定数存在し、対策方針が二極化する傾向が見られました。
決済承認率への影響
クレジットカードの不正利用被害が多いことを理由に、カード会社から決済手数料の料率交渉を受けた企業は、2024年の27.6%から2025年は49.5%へと大幅に増加しました。前年比21.9ポイント増となり、EC事業者の約半数が値上げ要請を受ける結果となっています。
かっこ株式会社による考察
今回の調査結果から、EC事業者のセキュリティ意識が確実に向上している一方で、いたちごっこが続く不正被害の実態が明らかになりました。不正ログイン対策は97%超、不正注文対策も約7割の事業者が実施していますが、被害経験率は依然として横ばいで推移しています。これは、単一の対策だけでは防ぎきれない巧妙な手口が増加していることを示していると考えられます。
不正注文対策の主流となっている本人認証「EMV3-Dセキュア」は65.2%の事業者が導入しており、導入企業においてはクレカ不正による直接的な金銭被害を抑制できるメリットがあります。しかしその一方で、EMV3-Dセキュアの導入によって事業者側の金銭的な負担がゼロになるわけではなく、不正被害の多発を理由にカード会社から決済手数料の料率交渉が増加するという新たな課題が浮き彫りになりました。2025年には半数近い49.5%が値上げ交渉を経験しており、経済的負担はむしろ高まっているともいえる状況です。
また、企業規模によって「狙われやすさ」と「対策の実施率」にギャップがあることも判明しました。画一的なツールの導入で安心するのではなく、自社の規模やリスク状況に応じ、抜け穴を塞ぐ多面的かつ継続的な対策を講じることが、安全なEC運営の必須条件といえるでしょう。
かっこ株式会社について
同社は、「未来のゲームチェンジャーの『まずやってみよう』をカタチに」という経営ビジョンを掲げ、セキュリティ・ペイメント・データサイエンス技術をもとに、アルゴリズム及びソフトウエアを開発・提供し企業の課題解決やチャレンジを支援することを目指しています。オンライン取引における「不正検知サービス」を中核サービスとして位置づけ、不正ログインから不正注文対策まで対応可能な国内での導入実績数No.1の不正検知サービス「O-PLUX」や金融機関や会員サイトにおける情報漏洩対策の不正アクセス検知サービス「O-MOTION」、フィッシング対策サービス等を提供しています。
データサイエンスサービスでは、製造業やアパレル、建設業など様々な業種において、データ活用・分析を通じ、コスト削減・業務効率化・利益向上などに貢献しています。
会社概要
会社名:かっこ株式会社
所在地:東京都港区元赤坂一丁目5番31号
代表者:代表取締役社長 岩井裕之
設立:2011年1月28日
事業内容:SaaS型アルゴリズム提供事業(不正検知サービス、決済コンサルティングサービス、データサイエンスサービス)
出典元:かっこ株式会社 プレスリリース
