「なりすまし注文」「取り込み詐欺」「転売目的の注文」などECサイトを襲う不正注文の手口や対応方法を解説!
近年、ネットショップの開設、売上規模やユーザー数が増加するとともに注目されているのが「不正注文」です。売り上げに大きな被害を与える不正注文は、ネットショップ運営者にとって避けては通れない問題の1つでしょう。
ネットショップの不正注文ってよく聞くけど、具体的に何が起きるの? どうすれば対策できるんだろう。
そこでこの記事では、不正注文の事例や手口、対策方法について解説していきます!
ネットショップを困らせる不正注文とは? 被害額や狙われやすいジャンルも合わせて解説!
ネットショップにおける不正注文とは、第三者が他者の個人情報を使用して商品やサービスを購入することです。また、転売目的の大量注文やいたずら目的での注文、料金を支払わずに商品を手に入れるケースも不正注文と呼ばれる場合があります。
そんな不正注文はクレジットカードや代引きなど、さまざまな決済手段で起こります。なかでもクレジットカード決済は、紛失や情報の流出による不正注文が多発しています。ネットショップ事業者は、自分が被害者と加害者、両方の立場になる可能性があることを認識し、注意深く対策することが求められます。
2020年(1月~9月)のクレジットカードでの不正利用の被害額は178.5億円に
日本クレジット協会の調査によると、2020年(1月~9月)のクレジットカードでの不正利用の被害額は178.5億円に上るとされ、2019年の同期間比の205億円と比較すると13%減少していますが、依然として見過ごせない数値となっています。被害額がもっとも多いのは番号盗用被害です。ECサイト事業者は情報が流出しないための対策をすることが必要です。
期間 | 合計 | 偽造カード被害額 | 番号盗用被害額 | その他不正利用被害額 |
2019年1月~ 9月 | 205億円 | 13.3億円 | 167億円 | 24.7億円 |
2020年1月~ 9月 | 178.5億円 | 6.7億円 | 156.5億円 | 15.3億円 |
引用:一般社団法人日本クレジット協会「クレジットカード不正利用被害の集計結果について」
不正注文は大手のECサイトだけでなく、個人運営のネットショップでも発生しています。ネットショップ・ECサイト運営者にとって不正注文は身近な存在になりつつあります。事業者は対策を講じることが大切です。
不正注文されやすい商材やジャンルとは?
不正利用は、入手後すぐに売却できる人気商品が狙われやすいです。特に不正注文されやすいのは、以下のようなジャンルや商材になります。
- ブランド品
- 家電製品
- AV機器
- PC・周辺機器
- チケット
- ゲーム機器
このような換金性の高い商品を狙った不正注文の被害が多く見受けられます。
さらに最近は、ネットオークションでニーズがある健康食品やコスメといった低価格な商品にも被害が多発しています。
同じ購入者が高額商品を複数回購入する場合や大量注文があった場合は、身分証明書などの提出をお願いしましょう。
ネットショップで起こる不正注文の主な種類やケースは?
ネットショップで多発している不正注文の種類やケースとして挙げられるのは、以下の3つになります。
- クレジットカードの不正利用による「なりすまし注文」
- 後払い決済を利用した「取り込み詐欺」
- 代金引換を使った「転売目的の注文」や「いたずら注文」
クレジットカードの不正利用による「なりすまし注文」
もっとも多い不正注文として知られるのが、クレジットカート決済を利用したなりすましによる注文です。
悪意をもった第三者がクレジットカードの保有者を装い、ネットショップ・ECサイトで注文した商品を受け取り、何も知らないクレジットカードの保有者に請求がいくことで発覚するケースです。
第三者による不正な注文であると確定してチャージバックが発生すると、クレジットカードの請求は無効になります。ネットショップ側は商品代金が支払われないまま商品を失う形になるので、売り上げへの被害がとても大きい不正注文になります。
不正注文に必要な第三者の個人情報・クレジットカード情報は、以下のような手口で入手されます。
個人・クレジットカード情報の入手の手口 | 内容 |
スキミング | スキャナーでの磁気データを読み取り、偽造カードに情報をコピーする |
フィッシングサイト | 正規ポータルサイトを装った偽のサイトへ誘導してカード情報を入力させて取得する |
ネットショッピング詐欺 | 架空のECサイトで架空の商品を販売する。注文者には商品が届かずカード情報を盗まれる |
ECサイトでの情報漏洩 | 脆弱性のある入り口から侵入して、個人情報などカード情報を盗み出す |
場合によっては、カード番号や有効期限だけではなく、不正利用防止のために設定されているセキュリティコードまで盗まれてしまうため対策が必要不可欠です。
個人情報やクレジットカード情報の流出の原因は、上記のように被害者側だけでなくネットショップ側にある場合も。ネットショップ事業者は、このようなケースが発生しないようにセキュリティをしっかり強化するなど細心の注意を払ってショップ運営をしましょう。
後払い決済を利用した「取り込み詐欺」
ネットショップ・ECサイトで導入する店舗が増えている「後払い決済」を利用したケースです。悪意ある注文者が商品を受け取った後、支払いを行わないまま行方をくらますケースです。
売り上げを回収できず商品だけとられてしまうため、売り上げに大きな影響を及ぼします。ネットショップに大きな被害をもたらすため、ショップ運営者を悩ませる不正注文の1つとして注目されています。
この不正注文は転売目的が多いため、転売しやすいジャンルのネットショップが狙われやすいです。
代金引換えを使った「転売目的の注文」や「いたずら注文」
代金引換決済を選択し、商品を受け取らないケースです。
- いたずら目的で大量に同じ商品や高価な商品を注文し、発送されても受け取らない
- 転売目的で注文し、商品が届く前にネットオークションやフリマサイトなどで出品、購入されたら商品を受けとり、購入されなかったら受取拒否をする
場合によっては受け取ることもあるため、悪意の判断がしづらく不正注文と断定できないのが特徴です。商品を騙し取られることはないですが、往復分の送料や対応する人件費など余計な費用が発生するため、ネットショップ運営者にとって悩ましいケースと言えます。
不正注文の事例や手口とは?
不正注文対策をするネットショップが増えるにつれて、不正注文の手口も巧妙化しています。 悪意ある注文者はどのような手口で不正注文を行うのか、事例を交えて解説します。
ウィークリーマンションやアパートの空室・レンタルオフィスで商品を受け取る
都市部で増えているのが、ウィークリーマンションやレンタルオフィス、ホテルなど、自宅ではない住所を使って商品を受け取る手口です。なかにはアパートの空室を使った事例や、部屋番号の指定をせず、配達員からの連絡を待って不法侵入した建物で受け取るというケースも確認されています。
宛先をウィークリーマンションやレンタルオフィスにされると、受注時に不正注文であるかを判別するのは困難です。マンション・アパートの住所に部屋番号の記載がない場合は、受注を保留して注文者に確認してから商品を発送するようにしましょう。
海外への転送サービスを悪用する
商品の送り先を海外転送サービスの指定住所にして、住所から不正注文と割り出せないようにする手口です。海外からの注文で配送先が倉庫の住所になっているため、事業者側が不正注文と気づかないケースが多いです。
海外からの注文の場合は、発送前に住所をGoogle検索したりGoogle mapで確認することで不正注文を事前に防ぐことができるでしょう。
荷受代行のアルバイトが受け取る
アルバイトを単発で雇い、アルバイト名義で商品を購入。受け取り次第、指定住所に商品を送らせる手口も横行しています。SNSなどで高収入なアルバイトとして求人を募り、仕事が終わったら報酬を払わないケースもあるようです。
さらに、アルバイト求人時に提出された個人情報を繰り返し悪用するケースもあるので、同じ注文が同じ注文者からあったときは複数の方法で本人確認をしましょう。
購入情報を変えて複数回に分けて注文する
日本の住所表記はさまざまな書き方ができます。住所や氏名の一部を平仮名やカタカナに変えても問題なく配送されることが多いです。これを悪用して、表記を少し変えることでブラックリスト化した情報の網をくぐり抜けて注文されることもあります。
類似の住所や氏名を検索できるリストを作成して防ぐ必要があります。商品発送の前に住所や氏名を確認するフローを作るなどして対策を講じましょう。
ネットショップ・ECサイトの繁忙期を狙って注文する
不正注文への細かなチェックを行うのが大変な繁忙期を狙う手口もあります。
この手口は「売れ筋商品の導入時期」「季節の変わり目」「土日・祝日」「深夜」などが狙われやすく、社内チェックが行き届かず目視審査が漏れることを狙っています。
事業者のセキュリティ強化が難しい状況をついて注文してきます。閑散期に二重チェックを行う時間を確保して、繁忙期でも警戒できる体制を整えましょう。
高額商品・転売しやすい商品を注文している
オークションやフリマサイトの発展により、転売が簡単に行えるようになりました。高額商品や即日完売の商品など、換金性の高い商品が転売を目的とした不正注文の対象になりやすいです。
高額商品や大量注文は電話連絡で本人確認のための身分証明書の提出をお願いしましょう。クレジットカード決済の場合、カード名義人に電話して本人利用確認をすることで防げる可能性が高いです。
ネットショップができる不正注文の対策とは?
ネットショップ・ECサイトのカード加盟店に対して、リスクや被害発生状況に応じたセキュリティ強化策の導入を求める改正割賦販売法が2018年6月1日に施行されました。
そのなかで、クレジットカードに加盟しているネットショップ・ECサイトは、「多面的・重層的な不正使用対策」を導入することが義務化されていることをご存じでしょうか。
クレジット取引セキュリティ対策協議会が2020年3月に発行した「クレジットカード・セキュリティガイドライン」によると、多面的・重層的な不正使用対策は「本人認証」「券面認証」「属性・行動分析」「配送先情報」の4つを指します。
家電・デジタルコンテンツ・電子マネーなど高額商品を取り扱う加盟店では、「本人認証」「券面認証」「属性・行動分析」「配送先情報」のうち1つ以上を行う必要があります。
チャージバックが多発している加盟店では、「本人認証」「券面認証」「属性・行動分析」「配送先情報」のうち2つ以上を導入するように法律で明確化して加盟店へ義務付けたのが、改正割賦販売法です。
違反企業への罰則規定はないので、まだ知らない事業者も多い法律ですが、4つの基本的な対策を行ってセキュリティの強化をしていない場合、カード会社から「リスクの高い加盟店」と判断されてカード決済の手数料率をアップされることもあります。
ここからは、多面的・重層的な不正使用対策として推奨されている、「本人認証」「券面認証」「属性・行動分析」「配送先情報」について詳しく解説していきます。
不正注文対策①:本人認証
なりすまし不正利用防止の本人認証には、3-Dセキュアと認証アシストが推奨されています。 クレジットカード会員に特定のパスワードや属性情報を入力させることで、利用者本人が取引を行っていることを確認する本人確認方法です。
3-Dセキュアとは
3-Dセキュアは利用者がカード会員本人であることを確認する仕組みで、カード会員以外の利用を防ぐことができます。カード会員のみが知るパスワードを利用した「パスワード認証」や過去の不正利用実績やデバイス情報を活用した「リスクベース認証」などがあり、国際ブランドが推奨する本人確認手法となっています。
ECサイトで3-Dセキュアを行う場合、本人確認が要求される全取引に対してパスワード確認を実施します。その分、カート落ちのリスクは高まりますが、パスワード入力を省略した結果、なりすましによる不正利用被害が発生しているのが現状です。
カード会員のパスワードが漏洩していた場合は、効果が発揮されない可能性が高いのがデメリットです。
認証アシストとは
認証アシストはカードのオーソリゼーション電文を用いて、カード会員情報がカード会社に登録されている情報と合っているかを確認する方法です。カード会員のパスワードが漏洩していても懸念がないのが特徴です。
認証アシストを導入する場合は、カード会社との直接契約が必要です。国内のカード会社のみが対象で、利用者すべてのカードを確認できない点がデメリットです。
そのため、3-Dセキュアや認証アシストは他のセキュリティと合わせて利用する必要があります。
不正注文対策②:券面認証(セキュリティコード)
カード券面のセキュリティコードを認証することで、利用者が本人かを確認する方法です。セキュリティコードによる認証は、カード番号、カード会社、利用者の確認ができる場合に使用できます。既存のオーソリゼーション電文の活用で導入できる点で評価されています。
クレジットカード番号とともにセキュリティコードが窃取されて券面認証を突破される被害が一部確認されていますが、盗難がなければ一定の不正利用防止効果があります。
不正注文対策③:属性・行動分析(不正検知システム)
属性・行動分析(不正検知システム)は非対面取引でのカード利用時に、利用者の入力情報・デバイス情報・IPアドレス・過去の取引情報・取引頻度など加盟店が収集できる情報に基づいて取引のリスク評価(スコアリングなど)を行い、不正な取引であるかを加盟店側で判定する方法です。
利用者のデバイス情報は通常のカード会社が取得できない情報のため、不正検知精度の向上が期待できます。不正取引の手口や傾向は常に変化するので、属性・行動分析(不正検知システム)は、不正利用傾向の分析に基づいて構築された不正判定の条件設定を更新・変更する機能を有することが必要です。
不正注文対策④:配送先情報
不正注文の配送先情報を蓄積することで、商品の配送を事前に止めて被害を防止することができます。情報の蓄積には時間がかかるので、外部の実績あるサービスの利用が有効でしょう。
大手加盟店が独自のデータベースを運用しているほか、カード会社複数社が共同で運用しているサービスやシステムベンダーが提供するサービスがあります。
配送先情報による不正利用対策は、送付先が不自然であるなどからの判断も必要なため、事業者側でのノウハウ蓄積や体制構築も重要です。
不正注文の際に発生するチャージバックとは? 知っておきたい仕組みと流れ
チャージバックとは、ビザ(Visa)、マスターカード(MasterCard)、JCBといった国際ブランド会社によって定められたルールに基づいて、クレジットカード会員を不正・瑕疵のある取引や内容から守るための仕組みです。
クレジットカード会員が不正利用や取引内容に不満があるなどの理由から利用代金の支払いに同意せず、クレジットカード会社が加盟店(ネットショップ側)に対して支払いの取り消しまたは返金を要求することをチャージバックといいます。
チャージバックが行われることで、ECサイト事業者には審議のための取引内容を精査する時間や人件費といったコストが発生します。決済時に「本人認証(3Dセキュア)の利用」をしていない場合、基本的にECサイト事業者が被害額を負担することになり、チャージバック後に不正な注文者から代金や商品を取り戻すことはまず不可能となります。
商材によっては1度に受けるチャージバック額が大きく、経営に影響が及ぶ可能性もあるため、「チャージバック保険」に加入するクレジットカード加盟店もあります。
チャージバック保険とは、チャージバックの発生時に保険会社がその金額を保障する仕組みです。毎月、保険会社に保険料を支払うことで、チャージバック発生時の突発的な費用発生に備えることができます。こちらはあくまでも被害に遭ってからの保証になるので、商材によっては加入が難しいこともあります。
不正注文そのものを抑止するわけではないので、不正な注文者に狙い続けられてしまうことも多いのが現実です。
チャージバックってどんな時に発生するの?
チャージバックはクレジットカードの不正使用により年々増えていますが、実はそれだけではありません。一般的に以下のような場合にもチャージバックは発生します。
- 第三者の不正利用のため、クレジットカードの保有者がカード利用を認めない場合
- 保有者がカードで支払っているにも関わらず、購入した商品が未発送、またはサービスが行われない場合
- 商品不良や破損、または、低品質な商品・サービスを利用として、カード保有者が利用を認めない場合
クレジットカードの不正利用件数が増えたため、チャージバックはそのイメージが強いですが、クレジットカード保有者を不正・瑕疵のある取引や内容から守るための仕組みですので、別の理由でもチャージバックは発生します。
チャージバックの流れ
チャージバックが起こるとどんな流れで対応が行われるのか、実際の流れを紹介します。
- クレジットカードの保有者が、不正利用やそれ以外の理由で、カード会社にチャージバック(取引の拒否)の連絡をする。
- クレジットカード会社が内容を調査・確認し、チャージバックの判断をする。
- 加盟店(ネットショップ側)に理由を含めたチャージバックの通知が届く。
- クレジットカード会社によって取り消しが行われる。すでに決済が完了し、加盟店(ネットショップ側)に売り上げが入金されていた場合は、カード会社に返金しなければならない。
チャージバック保険に入っていても、チャージバック発生後に保険料の増額があったり、契約更新の拒否なども起こりえます。
チャージバックが確定した後の商品は返品されるのか
すでに商品を発送した場合、商品は返ってこずネットショップ側の負担になります。ネットショップ側には、チャージバックが確定し売り上げが取り消し・返金になり、さらに商品も失うリスクがあるのです。
また、紹介した流れの後はECサイト事業者が諸々の対応をする必要があります。発送先への返品要求や警察への相談など、余計な時間や手間をとられることもあります。
チャージバックの期間・期限
チャージバックにも期間・期限があります。期間内にクレジットカード会社はチャージバックを行う権利をもっています。
国際ブランド決済会社の定めによると、チャージバックの期間は基本的に取引日から120日程度を期限としています。(チャージバックの内容・理由によっては期限の短縮・延長する場合があります)
したがって、チャージバックを行うには、カード保有者は期間内に申し出る必要があり、事業者は期間が過ぎるまで安心はできません。
チャージバックに異議申し立てもできる
商品の未発送やサービス・商品の不良、低品質を理由にチャージバックの通知が来た際、ネットショップ側はクレジットカード会社、または代理会社に異議申し立てをすることが可能です。 その際は注文情報や発送証明など、取引の正当性を証明する資料をカード会社に提出し、再調査を行ってもらいます。
最終的に判断するのはクレジットカード会社なので、異議申し立てが認められずチャージバックになる可能性もあります。クレジットカードの不正利用によるチャージバックは、申し立ての確認なくカード会社側で判断し確定することもあります。
まとめ
今回はネットショップにとって非常に重要な問題である不正注文を紹介しました。不正注文について事前に予測はできませんが、対策することはできます。
ECサイト事業者は不正注文を防ぐために、以下の対策を行いましょう。
- 本人認証(3Dセキュア・認証アシスト)で利用者本人が取引を行っているか確認
- 券面認証(セキュリティコード)での本人確認
- 属性・行動分析(不正検知システム)での不正な取引判断
- 配送先情報サービスの利用や自社でのデータ蓄積
この記事はカラーミーショップの公式Webメディア『よむよむカラーミー by GMOペパボ』の記事を、ネットショップ担当者フォーラム用に再編集したものです。