この記事の目次
増加するECサイトへの攻撃
ECサイトへの攻撃が急増しています。日本クレジット協会によると、2022年のクレジットカード不正利用による被害額は、過去最高額の436億7,000万円でした。クレジットカード不正利用の内訳として、クレジットカード番号などの情報だけで不正に決済された金額(番号登用被害額)は411億7,000万円で全体の94.3%となり、ほとんどの不正利用はECサイトで発生していると見て取れます。
2021年の被害額は約330.1億円で、前年比32.3%増加し、1年で約100億円も増えました。ECサイト運営における問題は、クレジットカード不正利用だけでなく、さまざまなケースで発生します。
本稿ではECサイトの決済に関連する問題に焦点を当て、その内容とコストを掛けずにできる対策について説明します。
クレジットカードの不正利用
クレジットカード不正利用による大量注文(クレジットマスターアタック)
クレジットカード不正利用による大量注文、通称「クレジットマスターアタック(Creadit Master Attacks)」が増加しています。クレジットマスターアタックは、クレジットカード番号の規則性を利用して他者のカード番号を生成し、それを使用して不正に大量注文を行う犯罪行為です。主に深夜帯を狙って発生する傾向があります。
クレジットカード番号は通常14~16桁ですが、最初の6桁はブランドやカード発行会社を示し、各桁番号の規則性からクレジットカード番号を自動生成することが可能です。自動生成したクレジットカード番号は、そのままでは使用できるカード番号かどうかはわかりません。カード番号の有効性を確認するために、実際にECサイトに対して生成したカード番号で注文を行うことがクレジットマスターアタックの手法です。
実際に確認したクレジットマスターアタックの例では、少額の商品1点を同一会員が十数秒に一回の頻度で連続して注文が行われたことがありました。
同一会員が同一商品1点を複数回に分けて注文を行うことは通常では考えられないので、それが不正注文であると判別することは可能です。ただ深夜帯を狙って実施するケースが多く、アクセス負荷が増加することや、大量の注文情報が発生し注文管理に支障をきたすことになります。
また、クレジットカード決済にはECサイトから送信されたデータを決済代行会社が処理するトランザクション処理が含まれます。これには信用照会(オーソリ処理)や売上確定処理が含まれ、トランザクション処理ごとに数円から数十円の費用がかかってしまうのです。実際、クレジットマスターアタックの被害を受けたECサイトでは、攻撃への対策が不十分で、数十万円のトランザクション費用が発生したケースが報告されています。
これは、不正注文が明白であったにもかかわらず対策を放置してしまったケースです。EC事業者が、注文を手動でキャンセルをすれば金銭的な被害は発生しないから問題はない、と判断し、継続するECサイトへのアタックを放置してしまったために、甚大な金銭的被害が起きてしまった事例です。
EC事業において発生する費用の理解は当然のこと、それ以上に犯罪行為を放置してしまうということが、それに続く被害の拡大につながっています。
【対策】
クレジットマスターアタックは通常、プログラムを使用してECサイトに自動注文を行うため、Googleが提供するreCaptchaや、CloudflareのTurnstileなど不正アクセスを防ぐサービスの導入が有効です。
カート画面にreCaptchaを組み込むことで、プログラムによる不正な自動注文をブロックできます。例えばECサイト構築サービスのmakeshopでは、カート画面にreCaptchaを設定することが可能です。
転売目的の不正注文
不正に入手したクレジットカード番号を利用し、転売を目的としてECサイトで商品を購入するケースがあります。大量注文を行うクレジットマスターアタックと異なり、主に高単価商品を数点購入されるため、正規の注文と見分けがつきにくく、商品が発送された後に不正注文と発覚することが多いです。
【対策】
手動で行われる不正注文を完全に防ぐことは難しいですが、以下のチェック項目に該当する箇所が多い場合は不正注文の可能性があるかもしれません。
- クレジット決済を利用
- 初回購入
- 高単価商品のみの購入
- メールアドレスがランダム文字列で、フリーメールを使用
- 日時指定あり
- 注文者名に違和感がある
上記項目が当てはまる場合、クレジットカード不正注文の可能性があります。不正注文の可能性がある注文を確認した場合、以下の方法で注文の信頼度を確認すると良いでしょう。
- 登録されている電話番号に架電し、通話状態になるかを確認する
- 登録されているメールアドレスにメール送信が可能かを確認する
特に1の登録されている電話番号に架電をし、通話中または電源が切れているなどのアナウンスが流れるといった際は、不正注文者の可能性があります。
電話が全く繋がらない場合は、メールにて商品配送を停止する旨を送信し、一定期間を設け注文のキャンセルを行います。
代引きの不正注文
代引き(代金引換)においても、不正注文が発生しています。代引き決済における不正注文について、下記に当てはまるケースを説明します。
- 第三者へのいやがらせ注文
- 複数個口の代引き注文への対応
第三者へのいやがらせ注文
代引きでの不正注文でよく見られるケースが、第三者へのいやがらせ行為です。商品の受け取りが注文者ではないため、多くのケースでは受け取り時に身に覚えのない商品は受け取り拒否をされ、発送者であるEC事業者に返送されます。
ただ一部のケースにおいて、直接の送付先ではない家族の方などが応対してしまった際には、代金を支払ってしまうケースがあります。その後に商品が開封されてしまうと、EC事業者の損害が大きくなってしまいます。
いやがらせ注文以外で、転売を目的とした購入においても代引き注文が使用されるケースもあります。オークションサイト、フリマサイトで出品後に、当該の商品をECサイトで代引き注文を行い、売れなかった際に商品の受け取り拒否をするようで、こちらもEC事業者の損害になります。
【対策】
代引きでの不正注文の対策として、主に下記2つの方法が挙げられます。
- サイト上で初回注文時に代引き利用の際についての注意文を掲載する
- 初回注文は本人確認を行う
初回の注文時に代引きを利用のお客様に対して、メールおよび電話で本人確認を行う旨をサイト上に掲載し、実際に確認が取れたお客様のみに商品を発送することをお知らせします。
お客様には事前に告知を行い、実際に対象者には本人確認を行うことで、多くの場合未然に不正注文を防ぐことができます。
複数個口(2個口以上)の代引き注文
あまり多くはないケースですが、代引き注文の商品が2個口以上になる場合にも注意が必要です。2個口が同時に配送されれば問題はありませんが、例えば一部をクール便で送付する場合や一部の商品を後日送付するなどの場合に、総合計を記した代引きの送り状を1個口にのみ貼付してしまうと、他商品を受け取り、代引きの送り状がついた商品のみ受け取り拒否をするといったケースもあります。その場合、代金が支払われず一部商品が渡ってしまう損害が発生してしまいます。
【対策】
代引きでの購入商品が2個口以上になる場合、必ず同時に配送されるように配送業者の方にご連絡を行います。
また配送方法などの関係で同時に送付できない場合は、個口それぞれの合計金額の代引き送り状を貼付して発送を行いましょう。ただその場合、代引き手数料が個口ごとに発生するため、その旨をお客様にお伝えする必要があります。
不正注文対策の責任はECサイトにあり
クレジットカードの不正利用での損失は、EC事業者に発生します。クレジットカード不正利用で決済された場合、クレジットカード会社がその決済代金の売上を取消しする、いわゆる「チャージバック」が発生します。
チャージバックは法律で定められたものではなく、国際ブランドなどのクレジットカード会社や決済代行会社で定められたものです。例えば決済代行サービス「イプシロン」のFAQには下記記載があります。
以下引用
Q.クレジットカードを利用した決済で不正利用された場合、支払いはどうなりますか?
A.不正利用の場合、カード会社が支払いを拒絶しますので、イプシロンも加盟店様にお支払いすることができません。
すでにイプシロンと加盟店様にて精算が終了している場合、直近のお振込み分より相殺できない場合は、イプシロンに該当金額をご返金いただきます。よって商材を提供したにも関わらず、その対価分は振込まれません。
上述はイプシロン決済サービス利用約款 第17条に基づいた対応となり、チャージバックと称されます。
精算について(GMO Epsilon)
不正利用に対してEC事業者が代金を負担しなければならなく、既に商品は発送してしまっている場合はその分損失となってしまいます。こうした環境を理解し、EC事業を行う必要があります。
次回は事前の対策のまとめと、実際に不正利用が発生してしまった場合の対応方法をご説明いたします。
株式会社チョッピーデイズ:https://choppydays.com
合わせて読みたい
