不正注文とは？ECサイト運営者が絶対知っておきたい巧妙な手口6選

実店舗を持たずに始められるECサイト（ネットショップ）運営。2020年の新型コロナウイルス感染拡大以降は、そのビジネスモデルに再度注目が集まっています。ECサイトを始める際に注意が必要となるのが、セキュリティ対策です。クレジットカードの不正利用によるチャージバック被害は年々増加しています。

チャージバックとは
クレジットカード名義人が決済に同意しない場合、クレジットカード会社が売上を取り消す仕組み。精算済みの場合は該当金額を返金されます。

ECサイト事業者にとって、商品の注文を受け、出荷し、入金を待つ過程で、決済代行会社から突然の悪用懸念・リトリーバル（※1）の連絡がある場合。定められた期間中にお客様と直接連絡が取れないケースも多く、クレジットカードの悪用・不正利用と見なされ、チャージバックが確定。入金されるべき商品代金の取消しという事態に陥ります。
※1　カード会社が不正利用の疑いのある取引を検知し、EC店舗に通知する事です。

チャージバックが確定することで、商品を発送したにも関わらず代金を回収できないため、ECサイト事業者に損害が重く伸しかかります。
ECサイトを運営されている方は、実際に不正注文の被害に遭い、はじめてチャージバックという言葉を知った方も多いのではないのでしょうか。実は、ECサイトでクレジットカード決済を導入する上で、切っても切り離せないのがチャージバックです。一度、不正注文の被害にあってしまうと、それ以降ECサイト側で不正対策をしていたにも関わらず、再度被害にあってしまったというECサイトが多いのも現状です。

現在ECサイトではクレジットカードが約70%も決済手段として選ばれています。ECサイトもクレジットカード決済を導入しなければ、お客様が他のECサイトへ流れてしまうといった、販売機会損失の可能性が高まります。

今回は、下記の方向けに

・これからECサイト運営を検討されている方
・度重なる不正注文の被害にあってしまったECサイト

不正注文の被害にあわないために受注時に気をつけるポイントをご紹介します。加盟店の利益を守るために、不正注文の傾向・パターンを知っておきましょう。

不正注文とは

チャージバックの要因のひとつに、第三者によるクレジットカードの悪用・不正利用があります。第三者はスキミングやフィッシング詐欺等で、不正に他人のクレジットカード情報を入手します。

スキミングとは
特殊な装置でカード情報を抜き出し、全く同じ情報を持つクローンカードを複製する犯罪。

フィッシング詐欺とは
有名企業を装ったメールを送信し、偽サイトへアクセスさせることで、個人情報を盗み出すインターネット詐欺。

不正に入手したクレジットカード・またはクレジットカード情報を用いて、ECサイトで商品を注文します。ECサイトは注文を受けた後、指定された発送先に商品を発送。不正注文者は商品を受け取り、オークションサイト等で転売して換金。不当に利益を得ます。
後日、利用明細を確認した本来のクレジットカード保有者（カードホルダー）は「利用した覚えのない請求」として、カード会社に連絡をします。そこで第三者によるクレジットカードの悪用・不正利用が疑われます。

カード会社から「お客様から利用覚えのない請求が来たと連絡がありました。確認してください。」とリトリーバル連絡を受けたECサイトは、急いで注文者に電話やメールで連絡を取ろうとします。しかし、不正注文だった場合は、連絡が取れることはほぼありません。
このまま不正利用としてチャージバックが確定すると、商品代金の売上を取り消されてしまいます。発送済みの商品が戻ってくる可能性は極めて低く、ECサイトは損害を被ることになります。

では、不正注文になる可能性が高い手口・ケース6選を紹介します。当てはまる取引がある場合はとくにご注意ください。

■手口1　はじめての注文で高額商品

はじめての利用にも関わらず高額商品を注文するケースには要注意。最近は手口が巧妙化しており、安価な商品の通常購入を数回行った上で、3～4回目から高額商品を不正注文というケースも見られます。いずれにせよ高額商品には注意が必要です。

■手口2　同じ商品を複数注文

日本製商品は海外で人気があるため、同製品の複数注文があった場合は注意が必要です。下記は実際にあった注文例です。

1）ブランドスニーカー：同サイズを2点、色違いで2点
2）有名下着メーカー：同製品を10～20枚
3）有名食品メーカー：インスタント食品
※単価は数百円ですが大量購入で被害総額はなんと5万円以上。さらに後日オークションサイトで転売されていた形跡もあった。

■手口3　発送先が転送会社、空室、レンタスオフィス、宿泊施設など

発送先が転送会社の不正注文は非常に多いです。
住所の番地末尾に英数字が付いているのが転送会社の特徴です。しかし近年では転送会社とは一見気づかない一般的な住所（番地末尾に英数字が付いていない）になっている転送会社も増えています。

受注時に発送先住所を1件1件調べれば防ぐことはできますが、膨大な手間と時間が必要となるため、現実的ではありません。
弊社では過去に不正被害が発生した発送住所をまとめたデータを蓄積・保持しています。弊社クライアント様にはご契約サービスの一貫として、毎月そのデータをお渡し、共有・ご活用いただいいます。ご興味ある方は当記事下部のリンクより、お気軽にお問い合わせください。
また空室を利用して配送日時を指定。当日は室外で待ち受けて、受け取っているケースも存在します。レンタルオフィス・宿泊施設の場合は、配送日時を短期間に集中的に指定して受け取る場合も多く見受けられます。

■手口4　繁忙期を狙った注文

ECサイトにとって、繁忙期は目の回るような忙しさ。まさに、不正注文者はそんな時を狙っています。注文や発送手続きの件数が増え、スタッフの手が足りない、通常の不正対策ができない時期を狙うのです。忙しい時期こそ、慎重な不正対策が必要になります。

■手口5　即日発送が可能なECサイトを狙う

「当日12時までに注文すれば明日届く！」という即日発送サービス。注文を受けた当日に出荷するため、上記同様に慎重な不正対策ができません。即日発送のECサイトを探して不正を働く注文者もいます。

■手口6　注文者や発送先情報を一部変更して、同一人物が不正を繰り返す

これは、短期間に連続での不正注文で発覚した。
注文者情報
氏名：山田太郎
住所：東京都港区赤坂1-1-1
連絡先：090-1234-5678
メールアドレス：yamada@fusei.co.jp

このような注文者情報を、怪しまれないように、メールアドレスを
taro@fusei.co.jp、taroyamada@fusei.co.jp
など複数準備して、メールアドレスのみ変更。
またある時は、氏名や住所を
山田たろう、山田次郎
などに変更。
住所も
東京都新宿区新宿2-2-2
などちょっとずつ変更して、連続不正注文のパターン。用意周到である。不正注文者も、できれば同じEC店舗内で短期間でできるだけ多く不正注文が発覚する前に商品を受取りたいのである。

どうやって防ぐ？不正注文の撃退方法

ECサイトを運営する上で注文が入るのはとても喜ばしい。しかし、その中には不正注文が混じっていて、売上損害を被る可能性があることも覚えておきたい事実です。

■対策1　3Dセキュアバージョン2

VISA または MasterCard のクレジットカード決済を取り扱う加盟店は3Dセキュア2.0の導入が可能です。3Dセキュア2.0を導入後、万が一第三者によるクレカ悪用・不正利用が原因によるチャージバックが確定した場合は、クレジットカード会社が被害額を補償してくれる仕組みです。※2

■対策2　属性確認

3Dセキュア2.0未導入または導入できないECサイトの場合は、上記で紹介した「不正注文の手口」を参考に、怪しい注文に関しては、商品発送前に決済代行会社へ属性確認をするこが有効な手段です。
属性確認の結果が「全一致」であれば、万が一商品発送後に、クレカ不正利用としてチャージバックが確定されたとしても、カード会社が被害額を補償してくれます。※2
※2　補償に関する条件等詳細はご契約内容をご確認ください。

一度狙われたら、また狙われる

不正対策・セキュリティ対策に取り組んでいる旨を公表し、不正注文者から狙われないようにしましょう。昨今では、不正対策・セキュリティ対策を強化していることで、お客様からの信頼も得られやすくなります。

また不正注文者は、同一サイトで不正を繰り返す傾向があります。一部でも怪しいと思った注文情報に関しては、氏名・住所・など受注情報をブラックリストとして登録しておきましょう。

現状は社内の目視確認で不正を弾いているECサイトも、一度人件費見直しをおすすめします。自動不正検知システムによる自動出荷が可能になることで、コスト削減につながります。
イーディフェンダーズ では、これまでの蓄積してきた情報と最新の不正対策をご案内させていただきます。不安を安心に変えてただくために、一度ぜひお問合せください。