EC ストア事業者が成功を収めるには、全方向でバランスの取れた決済戦略が必要になります。その中では、EC ストアでの不正行為に関連するリスクへの対策も必要です。そのためには、事業者がコントロールできない事柄に備えた計画を立て、コントロールできることを最大限に活用して、自社と購入者の損失を防ぎ、決済処理を改善しながら、良好な顧客体験を作り出す必要があります。

この記事では、EC ストアでのさまざまな不正行為を解説し、総合的な決済戦略の一環としてそれらに備えた計画を立てる方法、防止策、対応方法をご紹介します。強力な不正防止策を決済システムに取り入れると、十分な情報に基づいて意思決定を下すことができ、購入者のためのセキュアな環境を維持できます。

この記事の内容

• EC ストアでの不正利用とは
  
• EC ストアでの不正行為の種類と仕組み
  
  • なりすまし犯罪
    
  • クレジットカードの不正利用
    
  • 不正チャージバック
    
  • フィッシングとソーシャルエンジニアリング
    
  • アカウントの乗っ取りによる不正利用
    
  • 返金詐欺
    
  • アフィリエイト詐欺
    
  • 偽造品
    
  • ドロップシッピング詐欺
    
• EC ストアでの不正行為を防止するためのベストプラクティス
  

EC ストアでの不正利用とは

EC ストアでの不正行為は、購入者とのオンライン取引に関連して発生するサイバー犯罪の一種です。悪意のある人物が事業者や購入者をだまして、個人情報や財務情報に不正にアクセスしたり、不正取引を行ったり、自分の利益になるようにオンライン小売環境を悪用したりすることを指します。このような不正行為が原因で、事業者にも顧客にも多額の金銭的損失が発生するおそれがあり、関連する事業者や業界の評判も損なわれます。

EC ストアでの不正行為の種類と仕組み

EC ストアが急増する中、事業者は EC ストアでの不正行為をとりまく状況の進化など、新たな課題に取り組んでいます。オンライン決済を受け付けている事業者は、自社と購入者を不正行為者から守る必要があります。

EC ストアでの不正行為の種類、その仕組みと影響について、このような脅威に効果的に対処するために知っておくべきことを詳しく説明します。ますます深刻になる EC ストアでの不正行為の脅威について、最新情報を入手し、事前に対策を取れば、ビジネスの評判、売上、購入者からの信頼を守れます。

なりすまし犯罪

内容
他人の個人情報 (氏名、住所、クレジットカード詳細など) を使って不正な購入や口座開設を行うことを指します。

仕組み
犯罪者はデータ侵害、フィッシング攻撃、ソーシャルエンジニアリングなどさまざまな手段で個人情報を入手します。その情報を使って被害者になりすまし、被害者の名前で取引したり、アカウントを新規作成したりします。

影響を受けるビジネス
オンライン小売業者、サブスクリプションサービス、金融機関など、オンラインで事業を行い、顧客データを収集しているすべての事業者がこの被害を受ける可能性があります。

クレジットカードの不正利用

内容
クレジットカードの不正利用とは、クレジットカードを不正に使用してオンラインで商品を購入する不正行為です。不正行為者が被害者のクレジットカード情報を入手し、それを使って不正な購入を行ったときに発生します。

仕組み
不正行為者はハッキング、フィッシング、スキミング装置などの手段でクレジットカード情報を入手します。EC サイトでの不正行為の際にこのようなツールを使用して、個人情報や財務情報に不正アクセスします。

• ハッキング: 技術的な知識とツールを利用して、許可なくコンピューターシステムやネットワークにアクセスすることです。ソフトウェアの脆弱性を悪用したり、ブルートフォース攻撃でパスワードを推測したりして行われます。
  
• スキミング装置: クレジットカード情報を盗むために ATM やクレジットカード機器に設置されている物理的な装置です。このような装置は小型で目立たないことが多いため、気付きにくい場合があります。不正行為者はカードリーダーの上を覆ったオーバーレイ型のスキマーや、チップ対応カードから情報を盗むことが可能なスキマーを使用することもあります。
  

フィッシングについてはこの後の項目で詳しく説明します。

不正行為者はクレジットカード情報を入手すると、その情報を使って不正な購入や偽造カードの作成をします。その情報を他の犯罪者に販売することもあります。

影響を受けるビジネス
オンライン小売業者、決済代行業者、デジタルコンテンツプロバイダーなど、クレジットカードまたはデビットカードでの決済を受け付けているすべての事業者が影響を受ける可能性があります。

不正チャージバック

内容
不正チャージバックは「フレンドリー詐欺」とも呼ばれる不正行為で、購入者が自分のクレジットカードを使って購入し、商品やサービスを受け取った後で、クレジットカード会社に不審請求の申請を行い、返金を受けることです。このタイプの不正行為が「フレンドリー」と呼ばれているのは、購入者に悪意があるとは限らないためです。無効な理由を根拠に不審請求の申請が行われるというのが特徴です。

仕組み
不正チャージバックはいろいろな方法で行われます。たとえば、購入者が実際には受け取っているのに商品を受け取っていないと主張して不審請求の申請を行うことがあります。あるいは、商品に不具合があった、説明と異なっていたなど、事実とは異なる主張をして不審請求の申請を行うこともあります。

影響を受けるビジネス
オンライン小売業者、デジタルコンテンツプロバイダー、サブスクリプションベースのサービスなどの事業者は不正チャージバックの影響を特によく受けています。

フィッシングとソーシャルエンジニアリング

内容
虚偽のメール、メッセージ、またはウェブサイトで、ユーザーをだまして機密情報や認証情報を入力させるという手法です。その情報が不正行為に利用される可能性があります。

仕組み
フィッシングとソーシャルエンジニアリングの手法は、購入者をだまして個人情報や財務情報を入力させるためによく利用されています。被害者の信頼や心の状態を悪用して、機密データにアクセスします。

フィッシング攻撃は、銀行、EC ストア、ソーシャルメディアプラットフォームなど信頼できる送信元から送られてきたと見せかけた偽のメールやメッセージの形で行われます。そのようなメッセージでは、受取人に個人情報や財務情報 (ログイン認証情報やクレジットカード詳細など) を提供するよう求めます。そのために、リンクをクリックさせたり、添付ファイルをダウンロードさせたりします。

ソーシャルエンジニアリングの手法はさらに多様で、被害者と関係を築いたり、被害者の感情や恐怖につけ込んだり、被害者の情報にアクセスできるように周囲を巧みに操ったりするなど、さまざまな手法が行われます。たとえば、不正行為者が偽のソーシャルメディアプロフィールを作成して、被害者と友達になり、時間をかけて信頼を獲得してから機密情報を聞き出すこともあります。

EC ストアでの不正行為においては、フィッシングとソーシャルエンジニアリングの手法は個人情報や財務情報 (ログイン認証情報やクレジットカード詳細など) を盗むために用いられています。不正行為者は入手した情報を使って不正な購入をしたり、銀行口座から現金を盗み取ったり、なりすまし犯罪を働いたりします。

影響を受けるビジネス
フィッシング攻撃やソーシャルエンジニアリング攻撃は従業員や購入者を標的にして機密データやシステムにアクセスするため、オンラインで事業を行っているすべての事業者が標的になる可能性があります。このような不正な攻撃はあらゆる業種、あらゆる規模の事業者に影響を与えますが、不正行為者が中でも特に標的にしている業種があります。フィッシングやソーシャルエンジニアリング詐欺が頻発する業種の例をご紹介します。

• EC ストア事業者
  
• 金融サービス企業
  
• 医療機関
  
• 政府省庁
  
• 教育機関
  

アカウントの乗っ取りによる不正利用

内容
アカウントの乗っ取りによる不正利用は、不正行為者が購入者のオンラインアカウントに不正アクセスし、そのアカウントを使って購入やその他の不正な活動をすることです。この種の不正行為は、被害者をだましてログイン認証情報などの機密情報を聞き出すフィッシング攻撃やソーシャルエンジニアリングの手法を通じて行われます。

仕組み
不正行為者はフィッシング、データ侵害、ブルートフォース攻撃などさまざまな手法を使ってログイン認証情報を入手します。アカウントにアクセスできたら、配送先住所を変更して購入したり、そのアカウント情報を他の犯罪者に販売したりします。

影響を受けるビジネス
オンライン小売業者、マーケットプレイス、サブスクリプションベースのサービスなど、顧客のアカウントがある事業者はすべて、アカウントの乗っ取りによる不正利用の標的になる可能性があります。

返金詐欺

内容
利用者になりすまして、実際には購入しておらず返金の対象ではない商品またはサービスの返金を要求します。たいていの場合は、虚偽の注文詳細を提出するか、盗まれたアカウント情報を利用します。

仕組み
返金詐欺は次のようなさまざまな形で行われます。

• 盗品や偽造品を返品して返金を要求する
  盗んだ商品や入手した偽造品を小売業者に返品して返金を要求します。小売業者は盗品や偽造品だと気付かず返金する場合があります。

• 購入していない商品や受け取っていない商品の返金を要求する
  実際には購入していない商品や受け取っていない商品の返金を要求します。偽の領収書や注文確認情報を提示して要求することがあります。

• 使用済みの商品や破損した商品を新品と偽って返品し、返金を要求する
  使用済みの商品や破損した商品を新品と偽って返品し、返金を要求します。小売業者は商品が使用済みであることや破損していることに気付かず、返金する場合があります。

• 小売業者とクレジットカード会社の両方に返金を要求して二重取りする
  同じ購入品に対して小売業者とクレジットカード会社の両方に返金を要求します。不正な購入だと主張した後で、商品を返品して返金を求めるという方法で行われます。

影響を受けるビジネス
オンライン小売業者、デジタルコンテンツプロバイダー、サブスクリプションベースのサービスは特に返金詐欺の被害に遭いやすい業種です。

アフィリエイト詐欺

内容
アフィリエイト詐欺は、アフィリエイトマーケティングプログラム (事業者がアフィリエイトに、商品やサービスを宣伝した報酬としてコミッションを支払う制度) で発生する不正行為です。アフィリエイトが不正行為を働いて、受け取る権利のないコミッションを獲得することです。

仕組み
犯罪者はクリックファーム、ボット、偽アカウントなどの手法を使って、トラフィック、クリック数、売上を水増しし、コミッション獲得額をつり上げます。アフィリエイト詐欺には、次のような種類があります。

• Cookie 汚染: Cookie 汚染は、同意を得ずにユーザーのコンピューターに Cookie を置き、そのアフィリエイトに起因するクリック数や売上を水増しする手法です。

• アドフラウド: アフィリエイトが偽のウェブサイトを作成するかクリック詐欺を働いて、広告に対する偽のインプレッションや偽のクリック数を稼ぎ、そのコミッションを得る手法です。

• 偽リード: 偽のリードや偽の顧客情報を送信して、本来は受け取る権利のないコミッションを獲得する行為です。

• ブランド入札: アフィリエイトが検索エンジンで別の事業者のブランドのキーワードに入札して広告のコストを吊り上げ、その事業者のキャンペーンの効果を下げる行為です。

影響を受けるビジネス
アフィリエイトマーケティングプログラムに参加しているすべての事業者がアフィリエイト詐欺の影響を受ける可能性があります。しかし、特に被害に遭いやすい業種があります。EC ストア事業者は特にアフィリエイト詐欺に遭いやすい傾向があります。EC ストアの売上はオンラインチャネルで発生するため、不正行為者がクリックスルーレートやリードを簡単に操作できるからです。たとえば、ウェブサイトへのトラフィックを促進したアフィリエイトや売上をもたらしたアフィリエイトにコミッションを支払っているオンライン小売業者は、アフィリエイト詐欺の標的になる可能性が高くなります。

偽造品

内容
偽造品は悪意を持って製造され、正規のメーカーや権利保有者の承認を受けずにブランド名や商標を使った虚偽表示をして販売されます。このような商品は、有名ブランドのハンドバックや時計などの高級品から、電子機器、化粧品、医薬品などの日用品まで多岐にわたります。

偽造品は正規品と見分けるのが難しく、正規品だと思い込んでオンラインでうっかり購入してしまうことがあります。購入者に金銭的な損失が発生するだけでなく、医薬品、化粧品、電子機器の偽造品の場合は健康や安全性に深刻な影響が及ぶ可能性もあります。

仕組み
EC ストアの偽造品はいろいろな方法で販売されます。中には、正規のものに見えるウェブサイトやオンラインストアを作成して、割引価格で商品を販売する不正行為者もいます。「正規品」と書かれていますが、正規品に見えるように製造された安いコピー商品です。不正行為者は、正規品のウェブサイトから盗んだ画像や説明を使って、偽造品に説得力を持たせています。

また、Amazon や eBay などのマーケットプレイスで正規の出品を乗っ取って、オンラインで偽造品を販売する手法もあります。その場合、不正行為者は偽のアカウントを作成して、その商品の偽造品を正規の販売者よりも低い価格で販売します。買い手が偽造品を購入すると、不正行為者から買い手に商品が直接発送されますが、正規品ではないため、買い手の元には質の悪い (安全性の低い) 商品が届きます。

また、不正行為者が偽のロゴ、偽のパッケージ、偽の広告を使ってオリジナルの偽ブランドを作成することもあります。そのような偽ブランドは正規品に見えるように作り込まれており、ウェブサイトやソーシャルメディアプラットフォームで販売されます。

不正行為者は不正行為を遂行するために、偽のレビューや推薦文、誤認させるような商品説明、正規品であるという虚偽の主張などさまざまな手法を使って購入者をだまします。EC ストアでの不正行為はこれらのいずれか 1 つだけとは限らず、盗まれた個人情報やクレジットカード詳細を使って不正な購入をすることもあります。

影響を受けるビジネス
高額な商品や認知度が高いブランドの商品の製造や販売を手がけている事業者は、EC ストアでの偽造品詐欺の被害に遭う可能性があります。しかし、特にこの種の不正行為の被害に遭いやすい業種があります。ここではその例をいくつかご紹介します。

• 高級品: 高級品は高額でブランドの認知度が高いため、特に偽造品の被害に遭いやすい傾向にあります。たいていの不正行為者は、有名デザイナーが手がけた人気の高級ブランドのハンドバッグ、時計、服の偽造品を製造します。
  
• 電子機器: スマートフォン、タブレット、ノート PC などの電子機器も需要が高く、市場価格が高額なので、よく偽造されます。
  
• 医薬品: 偽造医薬品は EC ストアで深刻な問題になっています。特に高額な医薬品や入手困難な医薬品では深刻です。このような偽造品には有害な成分や効果がない成分が含まれている場合があります。
  
• 美容品: 化粧品、香水、スキンケア用品などの美容品もよく偽造されます。このような偽造品には有害な成分が含まれている場合があり、皮膚炎など健康上の問題が起こる可能性があります。
  
• スポーツ用品: スポーツシューズやスポーツウェアといったスポーツ用品も、人気があり転売価格が高いため、よく偽造されます。
  
• 自動車部品: ブレーキパッドやエアバッグなどの自動車部品もよく偽造されており、購入者の身体や生命に深刻な危険が及ぶ可能性があります。
  

ドロップシッピング詐欺

内容
ドロップシッパーとは、実際の在庫を持たずに商品を販売する小売業者です。サプライヤーやメーカーから商品を購入して注文のフルフィルメントを行い、ドロップシッパーに代わってそれらの業者が購入者に商品を直接発送します。この方法だと、小売業者は在庫の保管・管理に関連するコストや複雑な作業を回避でき、商品のマーケティングと販売に集中できます。

ドロップシッピング詐欺は、ドロップシッパーが購入者やサプライチェーン内の他の事業者をだます行為を働くことです。たとえば、商品の品質や在庫状況を偽って伝えたり、注文のフルフィルメントに失敗したり、過度に高額な手数料や価格を請求したり、盗まれたクレジットカード情報を使って購入したりするなどさまざまな不正行為が関係します。

仕組み
ドロップシッパーが正規販売店に見せかけた偽のウェブサイトやソーシャルメディアアカウントを作成し、納品するつもりがない商品の注文を受け付けて購入者から支払いを受けるというケースがあります。実際には品質基準を満たしていない商品や存在しない商品なのに、高品質な商品を販売しているように見せるために、商品説明や画像を操作することもあります。

ドロップシッパーが価格の吊り上げに加担して、商品の価格を高騰させて多額の利益を得たり、偽の広告を使って購入者の期待に沿わない商品を購入するように誘導したりするケースもあります。また、正規の事業者の ID を盗んでサプライチェーンや顧客基盤にアクセスする方法を取る業者もいます。

影響を受けるビジネス
フルフィルメントの手段としてドロップシッピングを利用しているオンライン小売業者は、特にこの種の不正行為の被害に遭いやすい傾向があります。

EC ストアでの不正行為を防止するためのベストプラクティス

EC ストアのシステムをだますために、不正行為者はいろいろな手法を用いますが、事業者も自衛できないわけではありません。EC ストアでの不正行為を防止するのに効果的なベストプラクティスをご紹介します。

• 安全なペイメントゲートウェイを利用する
  
• 強力な認証方法を導入する
  
• 取引とユーザー行動を監視する
  
• 不正行為を検知するためのルールとフィルターを設定する
  
• 住所・カード確認システムを採用する
  
• ソフトウェアとシステムを最新の状態に保つ
  
• 従業員研修を実施して、不正行為に関する社内の認識を深める
  
• 顧客データを暗号化して保護する
  
• チャージバックを監視する
  
• 他の事業者や業界団体とつながる
  
• 生体認証と行動分析を活用する
  

このようなベストプラクティスに従うと、EC ストアでの不正行為の被害に遭うリスクが下がり、購入者のためにさらに安全なオンラインショッピング環境を作り出すことができます。EC ストア事業者向けのこのような不正行為対策のベストプラクティスについて、詳細はこちらをお読みください。