eコマースサイトの詐欺対策：最悪の7つの不正行為とそれを防ぐ方法（対策ツール10選）

大方の予想の通り、eコマースでの詐欺行為は増加傾向にあります。 LexisNexis Risk Solutionsの前年比調査によると、具体的に30%の増加との頃。Digital Commerce 360のデータでは、eコマースでの売り上げの成長に比べ、これがほぼ2倍だというから、事態は深刻です。

さらに悪いことに、eコマース運営者は、2つの面から詐欺と戦わなければなりません。まずは、不正なチャージバックやサイトの模倣など、販売者（あなた）をターゲットとするスキームから自分自身を保護する必要があります（以下を参照）。

これに加えて、顧客を詐欺から保護する必要もあります。たとえあなたが買い物客と「同じくらいに被害者」であったとしても、あなたのオンラインストアに詐欺師を潜入させることは、幾分あなたの責任とみなされます。

ありがたいことに、eコマース詐欺対策も進化を続けています。詐欺の技術の成長を追随するように、予防策も洗練されたものへと進化中。この記事では、eコマースの7つの最悪かつ最もありがちな詐欺の概要を説明します。その仕組み、注意すべきサイン、最善の防御策、そして、セキュリティを最適化する10のeコマース詐欺防止ツールも網羅します。

それでは始めましょう！

注意すべき7つの悪質eコマース詐欺

eコマース詐欺に対する最初の防御は「何に注意すべきかを知ること」です。オンラインストアが脆弱になりがちな7つの詐欺をご紹介します。

1. Eメールアカウントフィッシング

ほとんどの人はメールフィッシング詐欺を耳にしたことがあるでしょう。これはインターネット自体と同じくらい古いもので、あなたはともすると、既に、見知らぬ人からの機密のアカウント情報を求めるメールを開いてしまったことがあるかもしれません。

最近では、「ナイジェリアの王子」（注釈：ナイジェリアからの詐欺として、一時期、非常に有名になったもの）を名乗るものではなく、eコマースストアを装った詐欺が増えています。注文や配達の確認を装ったメールを送信し、機密性の高いアカウントデータを抽出したり、受取人を詐欺サイトに誘導したりすることを目的としています。

マシなケースとしては、公式ストアページではなく、予期しない広告ページへと誘導されます。ただし、これよりも深刻なものとして（そして多くの場合）ウイルス、マルウェア、その他ハッキング関連の罠がしかけられたサイトへと移動します。そのため、疑わしいリンクをクリックするのではなく、ホバーして様子を見ることをお勧めします。

2. なりすまし

哀れな被害者がフィッシングメールでアカウント情報を抜き取られたら…その次には、どんなことが起こるのか—詐欺師は、その情報を受け取り、高価な買い物をします。そして支払いをするのはあなた。他人になりすまし、そのひとの情報を使い物品を購入する行為は「なりすまし・身元詐称」として知られています。

奇妙なことに、なりすましから最も大きな被害を受けるのは、小売業者です。クレジットカード会社は通常、被害者に代わってチャージバックを実行しますが、商品を返品する義務はありません。小売業者がなんとか製品を回収できたとしても、もう「中古品」扱いになります。小売業者が個人情報の盗難と身元詐称から無傷で逃れる唯一の方法は、すべてが始まる前にそれを食い止めることです。

また、オンラインストアは、個人情報盗難の（無意識のうちの）共犯者になることがあるので、これについても注意する必要があります。サイトが安全でないとき、ハッカーはあなたの面前で、大事な顧客の情報を盗むことができます。 2013年に発生したターゲットハッキングでは、数百万ドルという被害が出ています。

3. ページジャック

以前に何百回も使用したことがあるサイトを閲覧中に、特定のページで何か違和感が…。そんな場合には、サイトのあるページが乗っ取られている可能性があります。ページジャック（ハイジャックならぬ）は、ハッカーが既存のサイトを模した不正なウェブページを作成することで、実施されます。

より高度なケースでは、検索エンジン表示上位のサイトをページジャックし、検索エンジンからのトラフィック（つまり、ユーザーによる閲覧）が盗み出されます。ページジャックは、一般に「マウストラッピング」と密に関連しています—これは、ユーザーがブラウザを閉じようとするたびに新しいウィンドウを開いたり、無限のポップアップでコンピューターをあふれさせるなど、ユーザーによる終了を阻止する手法です。

ただし、eコマースに関して言えば、ページジャックは、 サイトのログインページを模倣してユーザー名とパスワードを収集するなど、フィッシングの一形態となります。eコマースブランドであれば、顧客がログインのたびにその正当性を疑ったり、検討したりする状況は避けたいものです。

4. チャージバック詐欺

チャージバック詐欺は非常に単純であり、一般的。基本的に、詐欺師はeコマースサイトで大量の注文をし、発送後になって支払いをキャンセルします。商品を受け取りつつも、1円も支払わないという寸法です。

キャンセルの手法もまたシンプル。クレジットカード会社に電話をかけ、個人情報を盗まれたと虚偽の報告をしたり、方法はさまざまです。

「注文した商品が届かなかった」と言って商品を重複して（もちろん無料で）受け取る手法もあります。詐欺の可能性が疑われ、その場で気づいたとしても、販売者は「虚偽と思われる主張」を調査する必要があります。

さらに厄介なことに、販売者は、実際のチャージバック詐欺と「意図しない詐欺」を区別する必要があります。

意図しない詐欺とは、普通の善良な消費者が誤ってチャージバック詐欺を引き起こしてしまうケースです。たとえば、荷物が配達されたはずなのに、それを受け取り忘れたり、間違った支払い情報を入力したり…。販売側は、チャージバックに悪意があるのか、それとも単なる間違いなのか、はっきりとした証拠がつかめない中で（無実の顧客を怒らせるような非難をすることもできず）、判断を迫られることになります。

サブスクリプション（購読）モデルを採用する事業では（利用者が請求が繰り返し発生するシステムだと知らなかった、と主張することがあり）意図しないチャージバックはありがちです。サブスクリプションを利用する場合には、顧客によるサインアップの前に、料金システムを明確に説明することが最善です。

5. トライアングル詐欺

より巧妙、かつ経験豊富な詐欺師のスキームへと移りましょう。トライアングル詐欺がどのように機能するか、ステップに分けてご説明します。

• 詐欺師が、実際にある製品を掲載し（しかし商品の在庫は実際には保持していない）、大幅な値上げを行います。これ自体は、サイトによっては不正ではありません。eBayのようなサイトでは、ユーザーは確認なしで商品を投稿、販売できます。
• 顧客はその（偽の）掲載情報から製品を「購入」し、詐欺師に対してすべての個人データを提供します。
• 詐欺師は顧客のデータを取得して、別のサイトで同じ商品を安い値段で購入。顧客に商品を発送します。
• 顧客は、自分が過払いしたことに気付くことなく、購入した商品を受け取ります。詐欺師は値段の差額を利益として獲得します。

この詐欺の最も悪質な特徴として、被害者は自分が騙されたことに気づかない傾向にあります。

さらに、この詐欺の特徴として、実行者は膨大なアカウント、クレジットカードデータを蓄積することになり、多くの場合、上記のステップ3で、様々なクレジットカードを使い分けて、追跡の手から逃れます。

つまり、この詐欺の被害者は、数か月または数年後に無関係な詐欺でまたデータが使用されてしまう可能性があるのです。

6. アフィリエイト詐欺

アフィリエイトプログラムを利用するeコマース運営者をターゲットにしたものが、アフィリエイト詐欺です。詐欺師はアフィリエイトリンクを操作または悪用して、より大きな利益を獲得します。アフィリエイトリンクを経由してオンラインストアを訪れたすべての訪問者が購入をしたように見せ、実際よりも多くの報酬を獲得するという手法です。

アフィリエイト詐欺には多くの場合、ハッキングや自動化システムが利用されます。しかし、場合によっては、偽のプロフィールの作成・使用といった、非常に原始的な手法も用いられます。詐欺師は通常、不正の検出を巧みに回避するために一定レベルのコンピュータースキルを持ち合わせています。

7. サプライヤーなりすまし

最後にご紹介するのが、事業者を専門に狙った詐欺スキーム。詐欺師は、製造業者、卸売業者、またはB2Bビジネス を装い、（決して提供することのない）サービスの提供を約束します。オンラインストアがサインアップし、いくらかのお金を引き渡すと、偽のサプライヤーからは二度と連絡が来なくなります。

この詐欺は、フィッシングやページジャックのような他の詐欺に大きく依存しますが、大きな違いは消費者ではなく企業を標的にしていること。こんなことがあるからこそ、取引相手を徹底的に調査することを常にお勧めします。

eコマース詐欺の兆候：詐欺は始まる前に阻止すること

数円の予防は数千〜数万円の治療に値します。

eコマース詐欺防止の最も効果的な方法は、警告サインを早期に認識して回避すること。すべてのオンラインストアが注視すべき兆候がこちら。

• 配送先住所と請求先住所が違う：なりすましや、トライアングル詐欺のケースでは、カード所有者は商品を受け取りません。
• 同じ商品を何度も注文：eコマース詐欺師は、高額のアイテムをターゲットにする傾向があり、気に入ったアイテムを見つけると、何度も繰り返し使用します。多くの場合、商品はいつでも確保できるため、実際の商品の特徴がどうであるかよりも、金銭的価値が重要視されます。
• 同じ住所への複数の注文（複数のカードを使用）：盗難したカードを使いすぎると、所有者に気づかれる可能性が高まるため、ずる賢い詐欺師はこれを警戒します。別の住所を使用するよりも簡単なので、複数のカードが使用されるのです。（ストライプレーダーを使用して、クレジットカード詐欺を98％防止、軽減する方法についての記事もご覧ください）。
• 怪しいまでの大量の注文（特にお急ぎ配送が選択されている場合）：他のほとんどの犯罪と同様に、詐欺師は報酬がリスクに見合うものになるように行動します。いつ終わる（頓挫する）かわからないので、詐欺師は、eコマース詐欺で大量注文を行う傾向にあります。また、被害者が気づき対処する前に、可能な限り迅速に取引を済まそうとし、だからこそ、素早い配送を選択するものです。
• 怪しいメールアドレスや電話番号：なりすましを、完全に遂行することはほとんど不可能です。通常、1つまたは2つのミスが介在するもの。理屈の通らないメールアドレス（別の名前、個人を装った会社など）、疑わしい電話番号（つまり、請求先住所とは異なる国または市外局番）には注意してください。
• 何度も決済に失敗する：トランザクションが1回、2回失敗するだけなら、誰でもあることです。しかしこれが何度もとなると…危険信号。（時にシンプルにミスや事故ともなり得ますが）これが、違法な情報の入力や使用を意味する可能性があります。

eコマース詐欺の予防：活用したい鉄壁の守り

あなたに起こりうるすべての不運を知った上で、あなたがこの記事を読む本当の理由へと進みましょう。eコマースの不正防止とオンラインストアを詐欺から保護するための最善のアドバイスは次のとおりです。

PCIコンプライアンス

まずは、eコマース詐欺防止の公式ガイドラインであるPayment Card Industry Security Standards Council（PCI SSC）から始めましょう。世界中の大手クレジットカードブランドが協力し、詐欺を回避するために実施すべき事柄のリストを作成しました。eコマース詐欺防止の最低限のことであり、出発点として便利です。

嬉しいことに、多くの支払いゲートウェイがPCIコンプライアンスを処理してくれます。より安全なものを選択するだけで、すぐに問題を解決できます。こちらの記事で、PCIガイドラインに準拠する方法を説明しています。または、PCI SSCのブログ記事 でソースに直接アクセスできます。

AVSとCVV

詐欺と闘うためのより簡単な手法がこちら。アドレス検証サービス（AVS）とカード検証値（CVV）です。これらの標準的なセキュリティ対策は、推奨事項よりもルールに近いと言えるでしょう。

AVSは、入力された請求先住所が登録されている請求先住所と一致するかどうか確認し、CVVは顧客にカード裏面にある3桁のコード入力を要求します（詐欺師が実際のカードではなくカード番号のみを盗んだ場合に有効）。

通常、どちらも支払い処理サービスの中に含まれているものです。どの決済サービスを利用するか選択する前にこれらが網羅されているか確認してください。

配送時の署名の義務化

なりすましを含む多くのeコマース詐欺に対して、物理的な署名が非常に重要な役割を果たし得ます。このオプションには配送手段によって追加料金がかかる場合がありますが、個人情報の盗難、不正なチャージバック、トライアングル詐欺に対する優れた防御策です。

詐欺師が別の誰かになりすましている場合や、商品が届かなかったと文句をつける場合には、署名の義務化が効果を発揮します。

個人的なフォローアップ

詐欺師は、“面倒くさがりな被害者”を好みます。疑わない被害者は格好のカモなのです。

放置こそが、詐欺の成功率を高めてしまいます。そのため、最も効果的な予防策の1つは、「疑いのフォローアップ」です。時間に余裕があれば、ちょっとした行動で、詐欺師の正体を暴くことも可能です。具体的には次のオプションをご検討ください。

• 顧客にメールを送信して、そのメールアドレスが正しいかどうか確認する：無実のお客さんは、ちゃんと聞き入れてくれるはずです。丁寧に質問すれば、状況を理解しれくれます。メールの文法やスペルに注意して、その人の日本語が本物か（それとも外国人なのか）見ることもできるでしょう。
•  SNSでその人物を調べてみる：お客さんの名前やユーザー名を使って、本物の人物なのか確認してみることもできます。そのプロフィールが入力されたデータと一致するかどうかチェックすることもできます。
• 相手の番号に電話をかけてみる：これが、購入者を確認できる一番早い方法でしょう。
• 配送を遅らせる：前述の通り、詐欺師は、（捕まる可能性を軽減するために）迅速に注文が完了することを第一優先としています。わざと注文を遅らせ、状況を必要な分だけ説明することで、相手（もし、本当に詐欺師であれば）に「威嚇射撃」ができます。ただし、善良のお客さんである場合には、単純な迷惑行為ですので、どうしてもの場合だけ利用しましょう。

もちろん、すべての注文に対していずれか、またはすべてを実施する時間はないはず。ですので、本能を鍛えることから始めるのがよいでしょう。疑わしい注文を早期に特定する慣れは必要です。少しでも気になることがあれば、「まぁ、いいか」と無視しないことが重要です。

常にHTTPSを使用すること

HTTP とHTTPSの違いはご存知でしょうか。簡単に言えば、 HTTPSには別のプロトコルSecure Sockets Layer (SSL)が採用されており、データがインターネット上で「動く」たびに、それを保護します。HTTP（末尾にSなし）にはこの機能はありません。ハッキングを防ぐために、HTTPSが常に推奨されます。「S」は「セキュリティのS」と考えると、わかりやすいでしょう。

HTTPSには、SEOランキング面での優位性や、より正確な参照元データの確保といった利点もあります。WordPressを使用している場合には、 HTTPからHTTPSに切り替える方法に関する記事を是非ともご覧ください。WooCommerceストアを運営している方は、次の手順に従ってSSL証明書をインストールしてください。

より安全なパスワードの設定

最後に、より安全で手の込んだパスワードを顧客に要求することで、セキュリティの負担を利用者と共有できます。確かに（特に多くのサイトでアカウントを持っていると）面倒なパスワードの条件を好む人はいません。しかし、クレジットカード詐欺の被害者になるケースを考えれば、新しい複雑なパスワードの設定と記憶は何でもないはず。

現時点では、業界標準は8文字、1つの大文字、1つの特殊文字です。これよりも簡単にするとリスクとみなされます。さらにセキュリティを強化するには、数字やランダムに生成されたパスワードといった条件を追加できます。

eコマース詐欺を防ぐツール10選

詐欺と戦っているのは、あなただけではありません。周りには、多くの仲間が。eコマース詐欺防止に使える10のソフトウェアをご紹介します。

1. Signifyd

大企業と中小企業の両方に対応するスケール面での柔軟性を備えたSignifydは、不正防止ソフトウェアを探す人がまずチェックすべき選択肢の一つ。ストアのバックエンドで機能し、すべての購入に対して、「不正である可能性」に基づいて「スコア」を割り当てます。

ユーザーは、個別の案件を自分で処理するか、Signifydチームのヘルプを利用するか選択できます。また、確信の持てない疑わしきケースについては、特定の注文に対する保険も利用できます。

2. Sift

詐欺予防ツール Sift（以前の名前はFormerly Sift Science）は、ハイエンドストア向けに構築されています。金額は上がりますが、機能が充実しています。個別のパッケージの購入ができ、フルパッケージになると、以下の機能が含まれています。

• 注文の精査
• 偽アカウントの阻止
• アカウント乗っ取りの阻止
• プロモーション不正使用の防止
• コンテントスパムの防止
• デバイスの指紋API

Siftは、そのマシンラーニングの性能を、業界で最も優れたものの1つとして宣伝しています。これこそが（その他のあらゆる機能とあわせて）その値段の高さを正当化していることでしょう。

3. Simility

Similityは、デバイスでの指紋認証に特化しており、その脅威レベルを評価します。デバイスのデータ（場所、OS、言語、ブラウザー、ユーザー名、バッテリー残量など）を監視し、ブラックリストと照らし合わせることで潜在的危険を判断します。

4. DupZapper

使いやすく、すぐにインストールできて、APIの統合は不要。DupZapperは、少ないメンテナンスで、多くのリターンが期待できるソフトウェアです。オンラインゲームを規制するために設計されたアルゴリズムで、アカウントの重複、地理的な整合性、クッキーのブロック、プロキシの使用などを検出します。簡単に使いこなせる詐欺防止ツールをお探しなら、こちらがおすすめです。

5. Kount

Chase BankやGNCのようなグローバル企業が愛用するKountは、高コストでありながら高品質のオプションです。予算がある方は検討する価値があるでしょう。Kountは200を超えるデータ変数を利用。トランザクションのリスクを未然に察知する先進的なテクノロジーを採用しています。そのシステムの応答時間は1秒未満（正確には300ミリ秒）で、業界最速のシステムの1つでもあります。かなりの予算がある大企業にとっては、毎日の注文を迅速に処理するために、この速度が力を発揮します。

6. Subuno

Subunoは、低価格でありながら多くを提供してくれます。20を超える不正検出ツールが、100を超えるリスク要因を分析。予算はそれほど多くないものの、サイトの安全性を優先したい、という場合には、この選択肢が便利です。特にShopifyやWooCommerceなどのeコマースサイトで機能する点も注目に値します。

7. Riskified

 

Riskifiedは、いくつかの点で他のeコマース詐欺防止ソフトウェアとは一線を画します。まず、リアルタイムで超高速レポートを生成します。Kountのようなハイエンドソフトウェアの速度が必要な場合にうってつけです。エンタープライズレベルの価格設定はありません。

Riskifiedでは「不正スコア」モデルに加えて、各注文についての明確な「承認/拒否」分析まで確認できます。また、売上を生む承認済みの注文に対してのみ支払いを行うスライディングスケール方式でも機能し、小規模なオンラインストアにとってのスマートな代替手段となります。

8. FraudLabs Pro

FraudLabs Proには、このリストにある他の不正防止ツールを上回る強みがあります。メール（メールドメインが作成されてからの年月）、ソーシャルメディア、ISP、ユーザー名の信頼性チェックなど、独自の検出方法が使用できます。

もう1つの特徴はさらに魅力的です。1か月あたり最大500件のクエリを扱うプランは無料。立ち上げたばかりの小さな店やブランドにとって、これはオンラインセキュリティを改善する幸運な発見だと言えるでしょう。

9. Forter

モバイルトランザクション向けに最適化されたForterは、位置情報や支払い方法に関係なく、ほぼすべてのトランザクションを包括的に扱います。優れた機能の1つが、カスタマイズオプション–ユーザーは特定のリスクプロファイルまたは支払いゲートウェイに焦点を合わせることができます。また、詐欺スコアではなく、単純な「はい/いいえ」形式のレポートを使用し、リアルタイムのレポートを生成します。

10. Bolt

技術的に言えば、 Boltは詐欺防止ソリューションというよりは決済UIソリューションです。しかし、詐欺防止がシステムに組み込まれているため、両方に該当します。Boltは、不正行為の検出とユーザーエクスペリエンスの両方向けに最適化された決済システムであり、使いやすさ向上で売り上げの増加とカートの放棄減少を目指しています。

ボルトは、決済中に200を超える行動データポイントをスキャンし、リスクを評価します。その使いやすさという利点と相まって、単にオンラインセキュリティよりも多くの分野で助けを必要とするオンラインストアにとって最適な選択肢です。

まとめ

不正防止策は、eコマースブランドの成功へと寄与します。より正確には、不正スキームを防止できないと、成功への妨げとなるでしょう。そして、eコマース詐欺が増加する最中、オンラインストアにとってセキュリティはかつてないほど重要視されています。

幸いなことに、用心をやめない限り、多くの危険を避けることができます。上記の最も一般的な7つの詐欺を理解し「敵を知る」ことからあらゆる事態に備えましょう。同様に、警告サインと注意事項を念頭に置き、不正行為がまだ「迫り来る」段階で阻止できるように努めてください。

eコマース詐欺を防止する効果的な方法をご紹介しました。最初に扱ったものは誰でも、オンラインストアに実装できるシンプルな技術ばかり。そして、eコマースブランドが大きくなるにつれて、外部からの支援が必要になります。詐欺防止ツールトップ10はきっとお役に立てるはず。ニーズ、目標、制限を鑑みた上で、最適なものをお探しください。