ECや通販における不正注文では、クレジットカードの本来の持ち主ではない第三者によって行われた承諾のない取引（なりすまし）を指すケースが多いです。

その他、最初から転売を狙った大量注文なども不正注文と呼ばれる場合がありますが、今回はなりすましによる不正注文についてご説明していきます！

加盟店（EC事業者）にとって不正注文による被害はできる限り防ぎたいものです。

万が一に備え、不正注文に関する情報をぜひご一読ください。

業界全体の問題である「不正注文」。その大半はクレジットカードの本来の持ち主ではない第三者によって行われた承諾のない取引

なりすましによる不正注文は、入手した商品を何らかの形で売却して利益を得るために、

ブランド品
家電製品
AV機器
PC・周辺機器
チケット
ゲーム機器

などの換金性の高い商品が狙われてきました。

ですが、フリマアプリやネットオークションなどのCtoC市場で、消費者同士が直接売買できる環境が整ったことで健康食品やコスメといった低価格な商品もターゲットになっています。

ちなみに、クレジットカードの本来の持ち主（契約者）は、こういった不正注文の被害にあった際にカード会社へ異議申し立てを行えます。

その申立の結果、異議が認められた場合は注文を取り消され、代金も返金されます。

対して、EC事業者などクレジットカードの加盟店は異議申し立てがあった時点で取引の詳細を調査する必要があります。

この際、契約で定められた対策をとっていなければ、基本的に引き渡した商品の被害額はEC事業者の負担となります。

（実際に不正注文が行った後に行われる異議申し立て（チャージバック）については後述します。）

また、契約で定められた対策をとっていなければ、基本的に引き渡した商品の被害額もEC事業者の負担となります。

クレジットカード決済はECにおいて欠かせないものですが、不正注文とそれに伴うチャージバックの発生などリスクを把握し、適切な対策をとることが大切です。

クレジットカードを利用した不正注文が起こる原因とその手口

それでは、クレジットカードを利用した不正注文にはどういったものがあるのでしょうか。

不正注文が起こる原因と手口は、以下のようなものがあげられます。

カード情報流出の例手口原因フィッシング公的機関や金融機関、正規ECサイトを装い、カード情報を不正に入手し悪用する利用者が自らカード情報を入力してしまうスキミングスキャナーを使って磁気データを読み取り、偽造カードにクレジットカードの情報をコピーし悪用するカードそのものの盗難や悪質な加盟店での利用

また、スキミングに関しては上記のケースが以前からありましたが、近頃は券面の情報だけを撮影やメモした後にECサイトで悪用する手法も発見されています。

こうした手口で盗用した情報を使い、第三者がクレジットカード決済を行うのを「なりすまし」と言います。

不正注文を防ぐために加盟店ができる対策

上記の、クレジットカードでの不正注文の発生を未然に防ぐため、加盟店ができる対策は主に

本人認証（３Dセキュア）の利用
券面認証（セキュリティコード）の利用
属性・行動分析（不正検知システム）の利用
配送先情報の蓄積と利用

の4つが挙げられます。

これらは割賦販売法の改正に伴い、クレジット取引セキュリティ対策協議会が発表した「実行計画2019」にも記載されています。

本人認証（３Dセキュア）の利用

1つ目は本人認証（３Dセキュア）の利用です。

3Dセキュアとはカード会社が契約者に提供する本人認証の仕組みです。

従来はクレジットカード番号と有効期限の記載で購入ができました。3Dセキュアの場合、それに加えて独自のパスワードを設定し、カードの利用前に照合します。

これによりカードに記載されていない情報で本人認証が行えるため、紛失や情報の漏洩による不正注文の減少が見込めます。

また、3Dセキュアによる本人認証がなされた注文でチャージバックとなった際は、基本的にカード会社が売上・代金を負担します。

チャージバックが行われた場合は、クレジットカード会社が売上の取消をします。

その際に

カード利用者の本人確認がされている場合はカード会社
本人確認がされていない場合は加盟店

が原則的に売上・代金を負担します。

ネットショップ（ECサイト）では、3Dセキュアがこの本人確認に含まれるため、不正注文の減少だけでなく、チャージバックによる費用負担リスクもなくせる対策となります。

ただし、本来の利用者がパスワードを覚えていない、別画面に遷移することによる心理的負担がある、といった理由から購入者が途中で購入をやめてしまう「カゴ落ち」発生のリスクが大きくなります。

また、3Dセキュアに対応していないカード会社も存在していることにも留意しましょう。

属性・行動分析（不正検知システム）の利用

2つ目は不正検知システムの導入です。

これは、購入者の情報から不正注文かどうかを発送前に判断できる仕組みのことで、不正検知サービス・不正検知ソリューションなどとも呼ばれます。

取引データ
統計分析
検知サービスそれぞれのノウハウ

といった情報から、決済を行う前に危険性を判断します。

参考：かっこ株式会社不正検知サービス「O-PLUX」

各不正検知サービスによって内容は異なりますが、単に検知するだけでなく、導入により不正者が敬遠することから不正注文の根本的な削減につながるほか、

審査時間削減による工数・コスト削減
注文フローは変化しないため購入者への負担がない

といったメリットが見込めるサービスも存在します。

券面認証（セキュリティコード）の利用

3つ目は券面認証（セキュリティコード）の利用です。

決済時にカード番号や有効期限等の情報に加えて、セキュリティコードでも認証を行います。

セキュリティコードはクレジットカードに記載されている3桁もしくは4桁の数字で、カード毎に設定されています。

セキュリティコードも含めて情報が流出していることも多いため確実とは言えませんが、決済に必要な情報が増えることでセキュリティ精度が高まります。

配送先情報の蓄積と利用

4つ目は配送先情報の蓄積と利用です。

不正配送先情報を蓄積することで、その情報と合致した場合には商品を送らないことで、不正注文の対策となります。

ただ、自社だけでの対策では限界があるため、前項の参考情報で記載した「O-PLUX」のように配送先情報も活用できる不正検知サービスを入れれば一挙に解決が可能です。

参考：不正注文の対策として挙げられる「オーソリ処理」とは

補足ですが、不正注文の対策としてオーソリ処理（オーソリゼーション）が挙げられる場合もあります。

ただし、カード番号と有効期限のみの確認となっていることが大半で、あくまでカードの有効性確認に過ぎないことを理解しておいてください。

オーソリ処理とはクレジットカードで決済時にカードの利用が可能かを確認し、他の取引で利用されないよう「与信枠」として確保するシステムのことです。

与信枠の確保後に売上の処理を行い、そこでカードの利用が確定します。

このオーソリ処理を行うことで、

所有者の支払い能力を逸脱した決済を防ぐ
仮にキャンセルがあった場合の処理を簡易化する

などのメリットがあります。

ただ、オーソリ処理はあくまで与信枠の確認であり、枠内の取引を止める方法ではありません。

不正注文を直接的に防ぐ対策としては、先ほどご紹介した

本人認証（３Dセキュア）の利用
券面認証（セキュリティコード）の利用
属性・行動分析（不正検知システム）の利用
配送先情報の蓄積と利用

という4つの対策から検討されるのがよいでしょう。

不正注文が起きた後に利用されるチャージバックの仕組みと流れ

仮に不正注文が起きた場合、クレジットカードの契約者はカード会社へ異議申し立て（チャージバック）を行うことができます。

このチャージバックが申請されると、以下の手順で取引の審議が行われます。

契約者がカード会社に異議申し立てを行う
加盟店舗とカード会社で「受入」もしくは「反証」のどちらで対応するかを審議する
不正注文と認められた場合は売上が取り消しされる
各クレジットカード毎に返金方法の通知が消費者に通知される

この審議で取引が不正なものだと判断されれば、売上が取り消しされます。

チャージバックは契約者を守るための大切な仕組みです。

しかし、加盟店としてはチャージバックが行われることで、審議のために取引内容を精査する時間や人件費といったコストが発生します。先に挙げた不正対策の中で、決済時に「本人認証（３Dセキュア）の利用」をしていない場合には基本的に加盟店（EC事業者）が被害額を負担することになり、チャージバック後に不正な注文者から代金や商品を取り戻すことはまず不可能です。

取引のうちチャージバックになる確率は非常に低いです。

ただ、商材によっては1度に受ける被害額が大きいため、EC事業の規模によっては経営に影響が及ぶ可能性も考えられます。

そこで、チャージバック保険へ加入するクレジットカード加盟店もあります。

不正注文による被害を少しでも抑えるためにチャージバック保険という選択肢も

チャージバック保険とは、チャージバックの発生時に保険会社がその金額を保障してくれる仕組みです。

毎月の保険料という形で費用を平準化し、チャージバック発生時の突発的な費用発生を防げることは大きなメリットです。

ですが、扱っている商材によっては加入が難しいこともありますし、チャージバック発生後には保険料の増額や、ときには契約更新拒否なども起こりえます。

さらに、チャージバック保険はあくまでも被害に遭ってからの保証です。不正注文そのものを抑止するわけでなく、不正者に狙い続けられてしまうことも多いのが現実です。

やはり不正注文の対策としては、

本人認証（３Dセキュア）の利用
券面認証（セキュリティコード）の利用
属性・行動分析（不正検知システム）の利用
配送先情報の蓄積と利用

という4つの方法が有力と言えます。

不正注文によるリスクを把握し、事前に対策をとるのがおすすめ

この記事では不正注文が起こる原因と、その対策をご紹介しました。

不正注文による被害は、ECサイト事業者にとって予期しきれないものです。

だからこそ、可能な対策から導入し不正注文によるリスクを最小限に抑えましょう！

かっこ株式会社オウンドメディア「”不正検知・セキュリティ”を考えるメディア」より。

当社では引き続き一緒に「未来のゲームチェンジャー」を応援する仲間を募集しています！

かっこ株式会社では一緒に働く仲間を募集しています

かっこ株式会社's job postings

【CaccoLumn vol.3】～ECサイトでクレジットカードの不正注文が起こる原因と加盟店ができる不正検知手法や対策をご紹介！～

採用担当

かっこ株式会社 /

かっこ株式会社

当社は、SaaS型アルゴリズム提供事業（不正検知サービス、マーケティングサービス、決済コンサルティングサービス、データサイエンスサービス）を提供しています。 ■EC不正注文検知サービス国内導入№1！業界トップシェアを誇る『不正検知サービス』サービス動画：https://youtu.be/wkh1sEtJiCY サービスサイト：https://frauddetection.cacco.co.jp/?_ga=2.13126519.1107168409.1613351128-707711811.1611545395 オンラインショッピングにおいて商品だけを受け取り代金を払わない注文をリアルタイムに検知するサービス『O-PLUX』を提供しています。従来型のブラックリスト照合に頼った不正検知システムと異なり、購入者の「ふるまい」をルール化した独自の審査モデルに基づき不正を見抜くため、導入後、早期に安定的な検知率を実現します。加えて、日本語表記特有のゆれ（斎藤/斉藤など）を補正する技術や、注文したデバイスを特定する独自の技術により、様々な不正に対し高精度での検知が可能です。また、『O-PLUX』に続く不正検知サービスとして、他人のID・PWを盗んで本人になりすまして行われたログインを検知するサービス『O-MOTION』を提供しています。 O-MOTIONサービスサイト：https://frauddetection.cacco.co.jp/o-motion/?_ga=2.100957249.1916818411.1630988974-118269890.1629087963 ログイン時にリアルタイムでログイン方法やデバイス情報を解析し、普段のパターンと異なるログインを疑わしいログインとして検出・通知を行うソリューションとして、昨今社会問題となっている、インターネットバンキングにおける不正送金対策や、コンサートやイベントなどのチケットの不正買占め対策など、金融機関、大手チケット販売サイトなどへの導入が進んでいます。 ▼注目が高まる「後払い決済システム」の構築を支援する『決済コンサルティングサービス』 https://cacco.co.jp/consulting/atobarai/ 近年、キャッシュレス決済の多様化によりクレジットカードのような発行時の事前審査なしに、購入代金の支払を繰り延べることができる「後払い決済」への注目が高まっており、『O－PLUX』による未回収となり得る注文の検知はもちろん、決済構築におけるシステム提供も含めたコンサルティングにも高いノウハウがあることから、新規に決済導入を検討する事業者からの相談が急増しています。 ▼「データサイエンスをもっと身近に」を実現する『データサイエンスサービス』 https://cacco.co.jp/datascience/?_ga=2.70607769.866133428.1602652506-1555952614.1594603602 不正検知で培われた統計学・数学・AIなどの技術を「売上の拡大」「生産性向上」等の課題解決のために提供しようとB2B向けに事業化しました。クライアントにとって「赤坂見附」に「自社」の「データサイエンス部門」があるかのように頼れる存在として、年間を通じて次のアクションに落ちる分析支援やサービス開発を展開しています。

Invitation from かっこ株式会社

If this story triggered your interest, have a chat with the team?