クレジットカード不正に対してEC事業者はどう取り組むべきか

クレジットカードの不正利用が爆増している。日本クレジット協会によると、2022年の不正利用被害額は400億円を突破したという。EC化率の上昇に伴って、クレジットカードの不正利用が増えている形だ。この半年ほど、『売れるネット広告社』にもさまざまな形でのクレジットカード不正の相談が増えている。なかでもEC業界で増えているのが「クレジットマスターアタック」と呼ばれる、クレジットカード情報を割り出すために機械的な大量の攻撃を行って番号を盗用し、不正利用することで商品だけをかすめ取る手法だ。アタックするECサイトと、購入するサイトを別々にしたり、アタックの頻度を調整したりするなど手口は日々巧妙化しており、業界全体としての対策が追い付いていない状態だ。

急増するクレジットカード不正に対して、売主であるEC事業者はどのように向き合うべきなのだろうか？

どんな対策があるのか？

現状のクレジットカードのビジネスモデル上、対策は原則EC事業者が行うことが必要になっている。
具体的な対策としては大きく4つ。

1.インフラ的な対応　
「WAF」と呼ばれるWebアプリケーション用のファイヤーウォールを導入して不正に特有の繰り返しアクセスしてくるパターンを遮断する処理を入れることが必要になる。最低限の対応として必ず導入しておきたい。ルールを一度決めただけではすり抜けられることもあるので、状況に応じてチューニングが必要になる。

この運用を自動化するサービスも存在する。「WafCharm（ワフチャーム）」は、クラウドWAFの自動運用サービスで、AWS WAF・Azure WAF・Google Cloud Armorという3大クラウドのWAFであればレポートやルールチューニングを専門家に委託できる。また「CloudFlareWAF」のようにAIを用いて自動最適するサービスも増えてきている。

2.Bot判別サービスの導入
Botによる入力を検知する「reCAPCHA」（google）や「Turnstile」（CloudFlare）といったBot対策サービスを導入することも一定の効果があると言われている。ただし、導入コストと入力の手間がかかるだけでなく申込率に影響が出る上に、BOtのプログラムが精緻化していることからすり抜けられるケースも増えてきており、抜本解決とはいかなくなっている。

3.不正検知サービスの導入
クレジットマスターアタック対策と不正注文（チャージバック）対策を兼ねた不正検知サービスを導入するEC事業者が増えている。かっこ株式会社による「O-PLUX」や、株式会社アクルが提供する「ASUKA」が有名であり、それぞれクレジットマスターアタックに特化した廉価版サービスを提供している。

4.決済代行会社を変更する
決済代行会社によって、不正対策のためにオプションなどでサービスが用意されていることもあるが、性能には差がある状態だ。名目上サービスを用意しているが実効性に乏しいケースもある。また、契約上「有効性チェックのトランザクション」に課金されるかどうかも重要だ。クレジットマスターアタックで大量の有効性チェックのトランザクションが発生した場合、契約によってはまったく売上に反映されない費用がEC事業者側に請求されることもある。不正注文（チャージバック）対策という観点でも、発生後事務的に処理されてしまう決済代行会社もあれば、怪しい注文についてはEC事業者に確認を取ってくれる決済代行会社もある。
　　　　　　　　　　　　　　

以上、主たる対策としては4パターンが存在し、それぞれさまざまなサービスがあるため、選択が難しい状態になっている。ECサイトへの改修も必要になることから、判断はより一層難しい。

EC事業者として心構えしておくべきこと

先に書いた通り、このようなクレジットカード不正は、クレジットカードという決済手段の構造的問題でありながら、基本的には売主責任としてEC事業者側に対応責任が課されている。

クレジットカード業界は、ブランドがイシュアー（カード発行会社）／アクワイアラー（加盟店管理会社）と決済代行会社（PSP=ペイメントサービス・プロバイダー）を通して加盟店と契約する多層構造の「決済プラットフォーム」だ。

このプラットフォーム全体の責任分界点において、売り手であるEC事業者（加盟店）は、不正対策に自己責任で取り組まねばならなくなっているといえる。

当然、消費者である買い手が不正に巻き込まれることは防ぐ必要があるし、補償もされてしかるべきなので、それ自体は悪ではないが、その裏でEC事業者がクレジットカード不正に取り組むとき、先に記したようにシステム的な改修や第三者の不正検知サービスを導入することとなり、そのコストは当然EC事業者が負担することとなっているという構造は理解しておく必要がある。

つまり、構造的に不正対策責任が売り手であるEC事業者に課され、全体として対策が後れを取り、結果的に不正が増える＝買い手である消費者にも不利益を与えているとも言える。

AmazonPayなどID系決済は、日本ではまだまだECでは浸透しきっていないが、その点では決済プラットフォーム側が不正対策を担保しているので安心して使える決済だと言える。

「後払い」についても、与信通過した決済については後払い事業者が支払いを保証してくれるシステムであるので、売り手保護観点でいうと安心感がある。

クレカ大不正時代！どう向き合うか

近江商人は昔から商売は「三方良し」だと言った。三方とは「売り手」「買い手」「世間」だという。
今日のEC決済における「三方良し」は「売り手」「買い手」「プラットフォーム」なのかもしれない。

2025年には国がクレジットカード決済の「3Dセキュア2.0」を義務化するという。不正対策として期待されているが、APIの仕様やフォーマット、どのデータを送るかのルールや、送られたデータに対する判断は加盟店・決済代行会社・イシュアーで完全に統一されているわけではない状況で、根本解決となるかは未知数だ。

EC事業者としては、3Dセキュア2.0だけで安心せず、先に挙げたようなインフラ的対応や、不正検知サービスの導入などを通じて、自分の責任として不正から顧客と自社サイトを守っていかなければならない状況はしばらく続くだろう。

キャッシュレス推進の中で売上を伸ばす決済プラットフォームだからこそ、不正利用としっかり向き合っていって「売り手」も「買い手」も良しとするような決済環境を作るべきだと思うが、EC事業者はそれぞれの決済のメリットデメリットや、上記のような責任分界点を理解して決済手段や決済代行会社を選び、損のないように不正対策に取り組んでいただきたい。