ネットショッピングが生活インフラとなった今、その裏側ではEC事業者と攻撃者の攻防が日々激しさを増しています。
これまでのサイバー攻撃は、「日本語が不自然だから見抜ける」「URLを見れば判別できる」といったものがほとんどでした。しかし、生成AIの進化と普及も伴って、2024年頃からは攻撃の手口が従来の常識が通用しないステージに突入しました。
多要素認証(MFA)を導入していても突破される、本物と寸分違わぬ偽サイトが数分で量産される、そして盗まれた情報は世界市場で高値で取引されているのが実情です――。
本記事では、最新データと実際の攻撃事例をもとに、EC事業者が直面している脅威の全貌と、いま取るべき対策を整理してお届けします。
寺田 彼日(てらだ あに)
AironWorks株式会社 代表取締役Co-founder and CEO
2014年に片道切符でイスラエルに渡り、現地でサイバーセキュリティ業界に従事。2021年、イスラエル国防軍諜報部隊Unit 8200出身者と共にAironWorksを共同創業。日本・イスラエル・米国を拠点に、AIネイティブなサイバーセキュリティソリューションを展開し、20か国・1,300社以上の企業を支援している。
この記事の目次
データで見るECサイトの被害実態
まず、被害規模を客観的に押さえておきましょう。
一般社団法人日本クレジット協会の発表によると、2025年のクレジットカード不正利用被害額は510.5億円(前年比8.0%減)でした。3年連続で500億円超という極めて高い水準にあり、そのうちカード番号盗用被害額は475.4億円と全体の約93%を占めています。
出典:一般社団法人日本クレジット協会「クレジットカード不正利用被害の集計結果について」(2026年3月6日)
カード番号盗用とは、文字通り、「カードそのものを盗らずに、カード番号などの情報だけを盗む」ことです。カードの現物がないので盗んだ情報の使用先は、非対面取引(EC取引)となります。つまりクレジットカード不正利用被害の多くが、ECサイト上で起きているのです。
2025年は3Dセキュアの義務化などの効果で被害額が初めて減少に転じましたが、同協会が新たに公表した「不正利用発生率」は通年で0.038%であり、依然として注視すべき水準で推移しています。
さらに、フィッシング攻撃の発生件数も過去最高ペースで増え続けています。フィッシング対策協議会の月次報告によると、2025年3月のフィッシング報告件数は249,936件、分野別ではEC系が約39.6%、クレジット・信販系が約27.8%を占め、合計で報告全体の3分の2以上に達しました。
出典:フィッシング対策協議会「2025/03 フィッシング報告状況」
EC事業者が直面しているのは「自社サイトへの直接攻撃」だけではありません。自社のブランドを騙ったなりすましメール・偽広告からの偽サイト誘導などによって顧客が被害に遭い、結果としてブランド毀損やチャージバック負担を被るという、間接的な被害構造も含めて理解する必要があります。
知っておくべき3つの最新攻撃
1. 多要素認証も突破する「リアルタイムフィッシング」
「多要素認証(MFA)を入れているから安全」――これは、もはや過去の常識です。
リアルタイムフィッシング、別名AiTM(Adversary-in-the-Middle、中間者攻撃)と呼ばれる手口では、攻撃者がユーザーと正規サイトの間に割り込み、認証情報をリアルタイムで中継します。利用者が偽サイトにIDとワンタイムパスワード(OTP)を入力した瞬間、攻撃者が本物のサイトに転送し、ログインを完了させてしまうのです。SMSや認証アプリ(TOTP)ベースのMFAは、この攻撃に対して耐性がありません。
EC領域でも実害は出ています。Amazonでは2段階認証が有効になっているにも関わらずアカウント乗っ取りや不正アクセスが多数確認され、流出した情報を使ってAmazonギフトカードを大量に購入される被害が報告されました。リアルタイムフィッシングは持ち主が気づかないまま不正ログインされるため、被害者がカード明細をチェックするまで気づかないという厄介な特徴があります。
2. AI×PhaaSが変えた「偽サイト量産」のハードル
攻撃のもうひとつの大きな変化は、「フィッシングサイトを作るスキル」が不要になったことです。
その象徴が、PhaaS(Phishing-as-a-Service)と呼ばれるサービス型の攻撃ツールの台頭です。英国のインターネットセキュリティ企業Netcraftが2025年4月に発表したところによると、PhaaSプラットフォーム「Darcula-Suite」は生成AIを統合し、多言語対応のフォーム生成、自動翻訳、数分でカスタマイズされたフィッシングサイトを構築可能にしているといいます。Darculaは20,000以上のフィッシングドメインを活用し、100か国以上のブランドを標的にする規模に達しました。
出典:Netcraft「AI-Enabled Darcula-Suite Makes Phishing Kits More Accessible, Easier to Deploy」(2025年4月24日)
さらに深刻なのは、別のPhaaSである「Tycoon 2FA」が2025年1月時点で全PhaaS攻撃の約89%を占めているという報告です。MFA突破機能を備えたツールが、月額サービス感覚で犯罪者に提供されているのです。
国内でも、2025年6月に大阪府警が大手ECサイトを偽装したフィッシングサイトを構築した容疑者を摘発しました。容疑者は、フィッシングサイトに関わるプログラムを改良する際に生成AIを活用し、成功率の高いプログラムを効率的に作成していたと報じられています。「外国人が日本語サイトを作るときに、自然な日本語を扱えるようになり、被害者がだまされやすくなっている」と警察も指摘しました。「日本語が不自然だから見抜ける」という時代は完全に終わったと考えるべきでしょう。
出典:MBSニュース「【速報】生成AIで"フィッシングサイト"作成か 大手ECの偽装サイト構築した男らを逮捕」(2025年6月)
3. ダークウェブで「世界最高値」をつける日本のカード情報
そして、盗まれたカード情報がどこへ流れていくのか――。
VPN大手のNordVPNが2025年5月に行った調査によると、ダークウェブ上にある盗難クレジットカード情報5万705件を分析した結果、日本のクレジットカード情報は平均約23ドル(約3,400円)と、世界最高額で取引されていることが明らかになりました。2026年4月の続報では、日本のカード情報は中央値27ドル(約4,000円)と、世界最高水準に達しています。
出典:NordVPN ダークウェブ調査レポート(2025年5月/2026年4月)
なぜ日本のカード情報が高値で売れるのか。理由は2つあります。日本のカード会社は不審な取引を検知するシステムが整っているため、有効なクレジットカード情報の供給がそもそも少ない。不正検知システムが厳しい市場では、入手したカード情報が無効化される可能性も高く、それだけに「長期間悪用できる」カード情報は希少で、プレミアが付くのです。
つまり、対策が進んだ結果として「日本人のカード情報」というブランドが闇市場で価値を持ってしまっているという、皮肉な構造が生まれています。ダークウェブでは、カード番号だけではなく、氏名・住所・メールアドレス・電話番号・セキュリティコードなどがセットになって販売されるケースが一般的であり、一度漏洩すれば長期にわたって悪用され続けるリスクを伴います。
EC事業者がいま取るべき5つの対策
ここまで見てきた脅威に対し、事業者として何ができるのか。重要な打ち手を5つに整理します。
①DMARCの設定とポリシー強化:自社ドメインがなりすましメールに使われないよう、SPF・DKIM・DMARCの送信ドメイン認証を導入し、最終的にDMARCポリシーを「reject」に変更することが推奨されています。日本企業全体での導入率はまだ低く、対応するだけで自社のブランドを騙る詐欺メールの大半をブロックできます。
②フィッシング耐性のあるMFAへの移行:SMSやTOTPによるMFAはリアルタイムフィッシングで突破されます。FIDO2(パスキー)認証では秘密鍵がユーザーの端末内にのみ存在し、サーバーやネットワーク上には一切流れないため、偽サイトに入力すること自体が物理的に不可能となり、原理的にこの攻撃を無力化できます。
③なりすましサイトの早期発見とテイクダウン:自社ブランドを騙る偽サイトを24時間体制で監視し、発見次第ISPやテイクダウン代行業者を通じて閉鎖させる体制を整えます。発見から閉鎖までの時間が短いほど、被害は抑えられます。
④脆弱性診断とソフトウェアの最新化:ECサイトを構成するCMS、決済プラグイン、認証基盤などは定期的に脆弱性診断を実施し、セキュリティパッチを迅速に適用します。「ECサイト構築・運用セキュリティガイドライン」でも、新規構築時・カスタマイズ時に加えて定期的な診断・対策の実施が必須とされています。
⑤従業員教育とフィッシング訓練:管理画面への不正ログインの多くは、運営側の社員アカウントが標的になります。定期的な訓練で「攻撃を体感する」機会を作ることが、組織全体の感度を上げる近道です。攻撃のリアルさが進化している今こそ、訓練もまた高度化が必要です。
人の目に頼らない時代の、AIによる防御
ここまで見てきたように、攻撃側がAIを駆使して「人間の目では見抜けない」攻撃を仕掛けてくる以上、防御側も人間の判断力だけに頼り続けることには限界があります。
私たちAironWorksは、イスラエル国防軍諜報部隊Unit 8200出身者を含むサイバーセキュリティ専門家チームと共に、AI時代のメールセキュリティを再定義することに取り組んできました。提供しているPhishDetectAIは、メール本文・ヘッダー・リンク先を多層的に解析し、リアルタイムフィッシングや生成AI製の精巧な偽メールを、ワンクリックで判別・隔離できるソリューションです。
「日本語が自然になった」「URLが本物そっくり」「MFAが突破される」――こうした新しい現実に、人ではなくAIで立ち向かう。それが、これからのEC事業の継続性を支える基盤になると考えています。
セキュリティ対策にご不安があれば、ぜひお気軽にお問い合わせください。
お問い合わせ先
https://jp.aironworks.com
あわせて読みたい
