クレジットカード不正利用は、ECサイトを運営する企業にとって避けて通れないリスクです。
「カード情報は自社で保存していないから大丈夫」
「決済代行会社を使っているから問題ない」
「3Dセキュアを入れているから不正利用は防げる」
このように考えてしまう事業者も少なくありません。
しかし実際には、クレジットカード不正利用はさまざまな経路で発生します。
カード情報そのものが盗まれるケースもあれば、フィッシングで取得された情報が悪用されるケース、ECサイトの脆弱性を突かれて決済ページが改ざんされるケース、会員アカウントへの不正ログイン後に登録済みカードやポイントが悪用されるケースもあります。
つまり、クレジットカード不正利用対策は、決済画面だけの問題ではありません。
ECサイト全体のセキュリティ、会員ログイン、本人認証、決済前後の不正検知、顧客対応まで含めて考える必要があります。
本記事では、クレジットカード不正利用がなぜ起きるのか、EC事業者が確認すべき対策をわかりやすく整理します。
クレジットカード不正利用とは
クレジットカード不正利用とは、カード会員本人の意思に基づかず、第三者がカード情報を使って決済を行う行為です。
ECサイトで問題になりやすいのは、主に「番号盗用」による不正利用です。
番号盗用とは、カード番号、有効期限、セキュリティコード、カード名義人などの情報を不正に入手し、本人になりすましてオンライン決済に利用する手口です。
実店舗でカードそのものを偽造して使う不正とは異なり、ECサイトではカードが手元になくても、必要な情報が揃っていれば決済が試みられます。
そのため、ECサイトを運営する事業者は、次の2つを分けて考える必要があります。
- カード情報を盗まれないようにする対策
- 盗まれたカード情報を使わせない対策
前者は、ECサイトの脆弱性対策やカード情報非保持化などです。
後者は、3Dセキュア、不正検知、本人認証、配送先確認、注文監視などです。
どちらか一方だけでは不十分です。
ECサイトでクレジットカード不正利用が起きる主な原因
ECサイトでクレジットカード不正利用が起きる原因は一つではありません。
主な原因は、以下のように整理できます。
- フィッシングによるカード情報の窃取
- クレジットマスター攻撃によるカード番号の探索
- ECサイトの脆弱性を突いた情報漏えい
- 決済ページやペイメントアプリケーションの改ざん
- 会員アカウントへの不正ログイン
- 登録済みカードやポイントの悪用
- 不正注文を検知できない運用体制
- 本人確認や配送先確認の不足
それぞれ詳しく見ていきます。
1. フィッシングによるカード情報の窃取
クレジットカード不正利用の代表的な入口が、フィッシングです。
フィッシングとは、実在する企業やサービスを装ったメール、SMS、偽サイトなどを使い、利用者からID、パスワード、クレジットカード番号などを入力させる手口です。
たとえば、次のような文面で利用者を偽サイトへ誘導します。
- 「カードの利用制限を解除してください」
- 「本人確認が必要です」
- 「支払い情報を更新してください」
- 「不正アクセスを検知しました」
- 「アカウントが停止されます」
- 「配送先情報を確認してください」
最近のフィッシングサイトは、見た目だけでは本物と判断しにくいものも増えています。
利用者が偽サイトにカード番号、有効期限、セキュリティコード、ID、パスワードを入力してしまうと、その情報が不正決済に使われる可能性があります。
EC事業者にとって重要なのは、フィッシングは「カード会社や利用者だけの問題」ではないという点です。
自社ブランドをかたるフィッシングが発生すれば、利用者は自社からの案内を疑うようになります。結果として、問い合わせ増加、購入率低下、ブランド信頼の低下にもつながります。
2. クレジットマスター攻撃によるカード番号の探索
クレジットマスター攻撃とは、カード番号の規則性を悪用し、機械的にカード番号や有効期限、セキュリティコードなどの組み合わせを試行する攻撃です。
攻撃者は、多数のECサイトや決済フォームに対して少額決済や認証試行を繰り返し、有効なカード情報を探すことがあります。
この攻撃が厄介なのは、一つひとつの試行が小さく見えることです。
たとえば、短時間に大量の失敗が発生すれば検知しやすいですが、攻撃者が試行間隔を空けたり、複数のIPアドレスや端末を使ったりすると、通常の注文や決済失敗と見分けにくくなります。
EC事業者は、単純に「決済が通ったかどうか」だけを見るのではなく、以下のような異常を監視する必要があります。
- 同一IPからのカード変更回数が多い
- 同一端末から複数カードが試されている
- 短時間に決済失敗が急増している
- 少額注文やテスト決済のような動きが多い
- 複数アカウントで同じ配送先が使われている
- 異なるカードで同じ商品が連続購入されている
クレジットマスター攻撃への対策では、レート制限、BOT対策、不正検知、本人認証、決済失敗ログの監視が重要になります。
3. ECサイト改ざんによるカード情報漏えい
ECサイトそのものが攻撃され、決済ページや入力フォームが改ざんされるケースもあります。
この場合、利用者は正規のECサイトにアクセスしているつもりでも、入力したカード情報が攻撃者に送信される可能性があります。
特に注意したいのは、ペイメントアプリケーションや決済ページに不正なスクリプトが挿入されるケースです。
この攻撃では、注文処理自体は通常どおり完了することがあります。そのため、利用者もEC事業者も、すぐには異常に気づきにくい場合があります。
EC事業者は、以下の対策を確認する必要があります。
- ECカートやCMSを最新状態に保つ
- 古いプラグインや不要な機能を削除する
- 決済ページの改ざん検知を行う
- 外部スクリプトの変更を監視する
- ファイル改ざん検知を導入する
- WAFを導入する
- 定期的に脆弱性診断を実施する
- 本番環境への変更履歴を管理する
「カード情報を自社DBに保存していない」場合でも、入力フォームや決済ページが改ざんされれば、利用者が入力した情報を盗まれる可能性があります。
そのため、カード情報非保持化だけでなく、ECサイト自体の脆弱性対策も重要です。
4. 会員アカウントへの不正ログイン
クレジットカード不正利用は、カード情報の直接窃取だけで起きるわけではありません。
会員アカウントへの不正ログインをきっかけに、登録済みカード、ポイント、クーポン、配送先情報が悪用されることもあります。
たとえば、以下のような流れです。
- 利用者が他サービスと同じID・パスワードを使い回している
- 別サービスから流出した認証情報が攻撃者に使われる
- ECサイトの会員アカウントに不正ログインされる
- 登録済みカードで商品を購入される
- 配送先を攻撃者側の住所に変更される
- ポイントやクーポンも不正利用される
このような攻撃では、カード情報そのものが漏えいしていなくても、不正注文が発生する可能性があります。
EC事業者は、ログイン後の注文だけを「本人の注文」とみなすのではなく、ログイン時や注文時の挙動を確認する必要があります。
確認したい項目は次のとおりです。
- 普段と異なる端末からのログイン
- 普段と異なる地域やIPアドレスからのログイン
- ログイン直後の配送先変更
- ログイン直後の高額注文
- パスワード変更直後の注文
- メールアドレス変更直後の注文
- 短時間の連続注文
- 複数アカウントで同一配送先を使う注文
不正ログイン対策は、クレジットカード不正利用対策の一部として考える必要があります。
5. 本人認証が弱いまま決済される
ECサイトのカード決済では、本人認証の強化が重要です。
代表的な対策がEMV 3-Dセキュアです。
3Dセキュアは、カード決済時にカード会員本人であることを確認する仕組みです。従来のカード番号、有効期限、セキュリティコードだけに依存するよりも、不正利用を抑止しやすくなります。
ただし、3Dセキュアを導入すればすべての不正利用がなくなるわけではありません。
理由は、次のとおりです。
- すべての取引で追加認証が発生するとは限らない
- フィッシングで認証情報が盗まれる可能性がある
- 正規アカウントに不正ログインされた場合、通常注文に見えることがある
- 低リスク取引として処理された注文が悪用される可能性がある
- 利用者の離脱を恐れて設定が弱くなることがある
つまり、3Dセキュアは重要ですが、それだけで完結する対策ではありません。
EC事業者は、3Dセキュアに加えて、不正検知、ログイン監視、配送先確認、注文後のモニタリングを組み合わせる必要があります。
6. 不正注文を検知できない運用体制
クレジットカード不正利用対策では、システムだけでなく運用体制も重要です。
不正注文には、一定の傾向があります。
たとえば、以下のような注文は注意が必要です。
- 高額商品を初回購入している
- 換金性の高い商品を購入している
- 短時間に複数回注文している
- 複数のカードを試している
- 複数アカウントで同じ配送先を使っている
- 注文者住所と配送先住所が大きく異なる
- 海外IPから国内配送の注文が行われている
- メールアドレスが使い捨てのように見える
- 電話番号や住所に不自然な点がある
もちろん、これらに該当する注文がすべて不正とは限りません。
しかし、複数の条件が重なっている場合は、出荷前に確認する運用が必要です。
特に、家電、ブランド品、ギフト券、ゲーム機、化粧品、高額食品ギフトなど、換金性が高い商品を扱うECサイトでは、不正注文の確認体制を整えておくべきです。
EC事業者が確認すべき対策
ここからは、EC事業者が確認すべき対策を整理します。
1. EMV 3-Dセキュアを導入・適切に運用する
ECサイトでカード決済を扱う場合、EMV 3-Dセキュアの導入は重要な対策です。
ただし、導入しているだけでは不十分です。
次の点を確認しましょう。
- すべての対象ブランドで対応しているか
- PSP側の設定が適切か
- 高リスク取引で追加認証が行われるか
- 認証失敗時の挙動が適切か
- 例外処理が多すぎないか
- 不正利用発生時に設定を見直しているか
- 顧客への説明がわかりやすいか
3Dセキュアは、セキュリティだけでなくUXにも影響します。
そのため、単に厳しくするだけでなく、不正利用リスクと購入体験のバランスを見ながら運用する必要があります。
2. 不正ログイン対策を強化する
カード不正利用を防ぐには、会員アカウントの保護も欠かせません。
ECサイトでは、次のような対策を検討します。
- ログイン試行回数の制限
- パスワードリスト攻撃への対策
- 多要素認証の導入
- 端末変更時の通知
- 普段と異なるログインの検知
- パスワード変更時の通知
- メールアドレス変更時の追加確認
- 重要操作時の再認証
- BOT対策
- 不審ログイン時の一時ロック
特に、登録済みカード、ポイント、配送先情報を持つECサイトでは、ログイン後の重要操作に追加確認を設けることが重要です。
3. クレジットカード情報を自社で保持しない
EC事業者は、クレジットカード情報をできるだけ自社環境に持たない設計にするべきです。
カード情報を自社サーバーやデータベースに保存している場合、侵害時の影響が大きくなります。
確認すべき項目は次のとおりです。
- カード番号を自社DBに保存していないか
- セキュリティコードを保存していないか
- トークン決済を利用しているか
- 決済代行会社の安全な決済方式を利用しているか
- 古い決済モジュールを使い続けていないか
- テスト環境にカード情報を残していないか
- ログにカード情報が出力されていないか
「カード情報を持たない」ことは、漏えい時の影響を抑える重要な考え方です。
4. ECサイトの脆弱性対策を行う
クレジットカード不正利用対策では、ECサイト自体の脆弱性対策も重要です。
特に確認したいのは、以下の項目です。
- CMSやECカートを最新化しているか
- プラグインや拡張機能を更新しているか
- 不要なプラグインを削除しているか
- 管理画面にIP制限や多要素認証を設定しているか
- WAFを導入しているか
- 脆弱性診断を定期的に実施しているか
- ファイル改ざん検知を行っているか
- 不審な外部通信を監視しているか
- 本番環境への変更管理を行っているか
ECサイトでは、商品ページ、注文フォーム、決済ページ、管理画面、外部連携部分のすべてが攻撃対象になり得ます。
5. 不正検知ルールを整備する
不正注文を完全にゼロにすることは困難です。
そのため、不審な注文を検知し、出荷前に止める仕組みが重要になります。
不正検知では、以下のような情報を組み合わせて判断します。
- 注文金額
- 商品カテゴリ
- 購入回数
- 決済失敗回数
- IPアドレス
- 端末情報
- 配送先住所
- メールアドレス
- 電話番号
- 過去の取引履歴
- ログイン履歴
- カード試行回数
不正検知システムを導入する場合でも、最初からすべてを自動ブロックする必要はありません。
まずは、不審注文をスコアリングし、一定以上のリスクがある注文を人手で確認する運用から始める方法もあります。
6. BOT対策とレート制限を行う
クレジットマスター攻撃やパスワードリスト攻撃では、自動化されたアクセスが使われることがあります。
そのため、ECサイトではBOT対策も重要です。
具体的には、次のような対策が考えられます。
- 決済試行回数の制限
- ログイン試行回数の制限
- 同一IPからの連続アクセス制限
- 同一端末からのカード変更回数制限
- CAPTCHAの導入
- 不審なUser-Agentの検知
- CDNやWAFによるBOT対策
- APIのレート制限
攻撃者にとって「大量に試しにくい環境」を作ることが重要です。
7. 顧客への通知と問い合わせ対応を整備する
不正利用や情報漏えいが発生した場合、顧客対応も重要です。
事前に以下を準備しておきましょう。
- 不正利用が疑われる場合の案内文
- カード会社への連絡を促す文面
- フィッシング注意喚起の文面
- FAQ
- 問い合わせ窓口
- メール・SMSで送らない情報のルール
- 公式サイトでの告知手順
- SNSでの案内方針
特に注意したいのは、顧客への案内そのものがフィッシングと誤解されることです。
メールで「こちらのURLからカード情報を入力してください」といった案内をしてしまうと、攻撃者の手口と区別がつきにくくなります。
企業側は、公式サイトや公式アプリから確認するよう促すなど、安全な案内設計を行う必要があります。
3Dセキュアだけで十分ではない理由
3Dセキュアは、ECサイトのカード不正利用対策において重要な仕組みです。
しかし、3Dセキュアだけに依存すると、以下のようなリスクが残ります。
- フィッシングで認証情報を盗まれる可能性
- 会員アカウント乗っ取り後の不正注文
- 低リスク判定された取引の悪用
- BOTによる大量試行
- ECサイト自体の改ざん
- 決済ページの不正スクリプト挿入
- 配送先変更や転売目的の不正注文
そのため、EC事業者は「3Dセキュアを入れたから完了」ではなく、次のような多層防御を考える必要があります。
- カード情報を持たない
- ECサイトを改ざんされない
- 会員アカウントを乗っ取られない
- 決済時に本人認証を行う
- 不審な注文を検知する
- 出荷前に高リスク注文を確認する
- 発生後に迅速に顧客対応する
クレジットカード不正利用対策は、決済機能だけでなく、EC運営全体で取り組むべきテーマです。
モバイル不正対策ラボの見解
現在のEC利用は、スマートフォン中心になっています。
利用者はスマートフォンでメールを確認し、SMSを受け取り、ECサイトへアクセスし、カード情報を入力し、アプリ通知で決済状況を確認します。
そのため、クレジットカード不正利用は、単なる「カード決済の問題」ではなく、モバイル起点の不正として捉える必要があります。
たとえば、次のような流れが考えられます。
- 利用者がスマホでフィッシングSMSを受信する
- 偽サイトにアクセスしてカード情報を入力する
- 攻撃者がカード情報を使ってECサイトで決済を試みる
- 別のECサイトで不正注文が行われる
- 本人はカード明細を見るまで気づかない
また、会員アプリやECアプリを運営している企業では、アカウント乗っ取りとカード不正利用を分けて考えすぎないことも重要です。
ログイン後の注文、配送先変更、ポイント利用、登録済みカード利用は、すべて不正利用につながる可能性があります。
EC事業者は、カード決済、会員認証、端末情報、注文行動、配送先情報を組み合わせて、不正の兆候を検知する体制を整える必要があります。
EC事業者向けチェックリスト
最後に、EC事業者が確認したい項目をまとめます。
カード決済まわり
- EMV 3-Dセキュアを導入しているか
- PSP側の設定を定期的に確認しているか
- 高リスク取引で追加認証が行われるか
- 決済失敗ログを監視しているか
- カード情報を自社DBに保存していないか
- セキュリティコードを保存していないか
- 古い決済モジュールを使っていないか
ECサイトのセキュリティ
- CMSやECカートを最新状態に保っているか
- 不要なプラグインを削除しているか
- WAFを導入しているか
- 脆弱性診断を定期的に実施しているか
- 決済ページの改ざん検知を行っているか
- 不審な外部通信を監視しているか
- 管理画面に多要素認証を導入しているか
会員アカウント保護
- ログイン試行回数を制限しているか
- パスワードリスト攻撃を検知できるか
- 重要操作時に再認証を行っているか
- メールアドレス変更時に通知しているか
- 配送先変更時に確認を行っているか
- 不審ログインを検知しているか
- 必要に応じて多要素認証を導入しているか
不正注文対策
- 高額注文や換金性の高い商品の注文を確認しているか
- 同一配送先への複数注文を検知しているか
- 複数カードの連続試行を検知しているか
- 海外IPや匿名化通信からの注文を確認しているか
- 不正注文のスコアリングを行っているか
- 出荷前確認のルールを決めているか
顧客対応
- 不正利用時の案内文を用意しているか
- フィッシング注意喚起文を用意しているか
- 問い合わせ窓口を整備しているか
- 公式サイトでの告知手順を決めているか
- カード会社やPSPとの連絡体制を整えているか
- インシデント発生時の社内対応フローを作っているか
まとめ
クレジットカード不正利用は、カード情報が盗まれた時だけに起きるものではありません。
フィッシング、クレジットマスター攻撃、ECサイト改ざん、会員アカウント乗っ取り、決済ページの脆弱性、不正注文の見逃しなど、複数の要因が重なって発生します。
そのため、EC事業者は、3Dセキュアだけに依存するのではなく、次のような多層的な対策を行う必要があります。
- カード情報を持たない設計
- ECサイトの脆弱性対策
- 決済ページの改ざん検知
- 会員ログインの認証強化
- BOT対策とレート制限
- 不正注文の検知
- 出荷前確認の運用
- 顧客通知と問い合わせ対応
ECサイトにおけるクレジットカード不正利用対策は、決済部門だけの問題ではありません。
システム、セキュリティ、マーケティング、カスタマーサポート、物流、経営が連携して取り組むべきテーマです。
顧客の信頼を守るためにも、EC事業者は自社のカード決済、会員認証、注文監視、顧客対応体制を定期的に見直しておくことが重要です。
参考情報
- 経済産業省:クレジットカード・セキュリティガイドライン改訂に関する発表
- 一般社団法人日本クレジット協会:クレジットカード・セキュリティガイドライン
- 警察庁:フィッシング対策
- フィッシング対策協議会:フィッシングとは