2026年4月6日9:45
不正対策は単なる「コスト」ではなく、EC事業を成長させるための「攻めの投資」である――。2025年に実施したアンケート結果から、3-Dセキュア義務化後の新たな課題が見えてきた。いかにして運営チームの負担を軽減し、利益を最大化するか。具体的な被害事例をもとに、これからのEC運営に不可欠な不正対策について解説する。(2026年3月17日開催「ペイメント・セキュリティフォーラム2026 Spring」の講演より【PR】)
かっこ株式会社 O-PLUX事業部 小林太平氏
決済コンサルティングから不正検知へと
事業領域を拡大
弊社、かっこは、インターネット経由でさまざまな不正対策を提供している企業です。2020年に東京証券取引所グロース市場に上場しております。
事業内容としては、大きく3つのサービスを展開しています。ECで発生する不正注文・不正ログインを検知し抑制する不正検知サービス、決済事業者に提供する決済コンサルティングサービス、そしてデータサイエンスサービスです。会社の始まりは決済コンサルティングサービスでした。日本国内の後払い事業者の裏側で、与信業務を担っていました。一度目、二度目の支払いをしていただけないお客様には次の利用をお断りしなくてはなりません。そこから不正検知にサービスが広がっていったというのが、弊社の歴史です。
弊社では毎年EC事業者に対し、セキュリティ意識や不正対策の実態について、アンケート調査を実施しています。本日は2025年11月に実施した最新調査結果から見る、被害と対策状況のトレンドをご紹介し、そのあとで、弊社がさまざまな事業者と行っているさまざまな取り組みについてご紹介させていただきたいと思います。
決済前/時/後の「線の考え方」は
6割以上のEC事業者に浸透
2025年のクレジットカード不正利用被害額が発表されました。それらのほとんどは番号盗用によるもので、被害額は年間510億円に上っています。前年比では10%ほど下がったということではありますけれども、依然高い数値で推移しており、EC事業者においては、3-Dセキュアによる本人確認はもちろん、クレジットカード不正利用につながる不正ログイン対策をとるなど、対策強化の動きが活発化しています。
こうした状況の中で行った弊社独自の最新アンケート調査の概要ですが、調査時点は2025年11月。調査対象は、EC事業者で不正注文対策に関わっている担当者。ネット方式によりアンケート調査を実施し、有効回答数は553件でした。有効回答を得た企業の年商規模は、10億円未満と10億円以上で約半々となっています。
ところで、クレジットカード・セキュリティガイドライン6.0版では、不正対策の全体像の中で、決済前、決済時、決済後の一貫した対策を実施することが重要であると明記されています。これが「線の考え方」です。
一口にECでの買い物と言っても、さまざまな断面があります。決済前にはログインして、新規会員登録をする。購入したい商品を決めてカートに入れて、注文、決済をする。決済完了後に、購入商品が発送される。そのそれぞれをつなぐ一貫した対策をしましょうということです。
不正対策の意識・認識について、「最新の『クレジットカード・セキュリティガイドライン6.0版』にて、EC事業者がとるべき対策として、クレジットマスター、不正ログインなども追加され『線の考え方』が推奨されていることを知っていますか?」と聞きましたところ、「内容までよく知っている」が61.5%でした。2024年調査より4.1ポイント低下していますが、ほぼ横ばいで、高止まりで推移しているものととらえています。
「最も懸念しているリスクは何ですか?」という問いへの回答で最も多かったのは、「クレジットカード不正利用」で28.2%。続いて「アカウント乗っ取り」で25.3%となっています。クレジットカード・セキュリティガイドライン6.0版で明記された「線の考え方」での対策が重要なことが、ここであらためて示唆されていると考えております。
約半数のEC事業者が不正被害を経験
単一の施策では十分な効果は得られず
ここからは実際の不正被害に関する問いへの回答です。なりすましログイン、アカウント乗っ取りなど「不正ログインの被害にあったことがありますか」という問いに対しては、ほぼ2社に1社が経験していると回答しています。全体では2024年の54.8%から2025年は56.2%と2ポイント増加しています。年商10億円以上の加盟店では64.2%と、約3分の2の企業が不正ログインの被害を受けていました。
その不正が発覚した経路ですが、最も多いのが「通常と異なる挙動を社内で検知」で52.1%。次いで多いのが「顧客からの問い合わせ・被害報告で気づいた」で46.0%。事業者とお客様の両方で察知しているという状況です。
クレジットカード不正、不正転売、後払いの未払いなど「不正被害にあったことがありますか」という問いに対しては、38.0%と依然高い水準で被害の報告がされています。年商10億円以上の企業では45.1%と半数近くが被害を経験しています。
「不正ログイン対策をしていますか」との問いに対し、「対策していない」との回答はわずか3.3%でした。年商10億円以上の企業ではさらに低く0.1%と、ほぼすべての企業が何らかの対策を講じていることがわかります。
「クレジットカード不正や悪質転売などの不正注文対策をしていますか」という問いに対しては、「対策している」が69.6%。年商10億円以上の企業では、8割近い78.3%が対策をしているという結果になりました。
実施している対策について聞いたところ、2025年調査と同様「本人認証(EMV 3-Dセキュア)」が最多で、65.2%。そのほか「属性行動分析」や「配送先情報」による対策が増加傾向にありました。
不正注文対策として、EMV 3-Dセキュアと属性行動分析の不正検知システムとの併用の状況を見てみると、併用しているところが34.5%、EMV 3-Dセキュアのみのところが65.5%となっています。
「クレジットカード会社または決済代行会社から、不正被害が多いと注意喚起されたことがある、または、料率交渉など何らかの働きをされたことがありますか」という問いに対し、約半数の49.5%が「注意喚起され、カード決済の料率交渉をされた」と回答しています。私はカード会社に15年ほど在籍してアクワイアリング業務に従事していた経験があります。当時は加盟店から料率引き下げ交渉をされたことはあっても、カード会社から引き上げ交渉ができるような状況ではなかったので、この結果には驚きました。
不正被害の実態を見ますと、不正ログイン対策をとっているEC事業者は97%超、不正注文対策も約7割の事業者が実施していますが、被害経験率は依然として横ばいで推移しており、単一の対策だけでは防ぎきれない巧妙な手口が増加していることがわかります。
繰り返しになりますが、EMV3-Dセキュアを65.2%の事業者が導入しています。しかしその一方で、不正被害の多発を理由にカード会社から決済手数料の料率交渉が増加するという新たな課題が浮き彫りになっています。2025年には半数近い49.5%が値上げ交渉を経験しており、経済的負担は高まってきているともいえる状況です。
3-Dセキュア導入後も、認証時のかご落ち増加や不正が相次ぐ加盟店への決済承認率低下といった課題が残っていると認識しております。3-Dセキュアを導入したから対策は十分ということではなくて、不正の標的にならないよう、複数の対策を組み合わせた重層的なセキュリティの強化を継続して行っていくことが不可欠であると考えています。
巧妙化する不正利用の手口
気づかないうちに不正に加担する危険性も
巧妙化するクレジットカード不正利用の手口とその対策についてご紹介いたします。弊社が昨年、実際に相談を受けた事例をもとにお話しさせていただきます。
1つ目は、悪質な転売。初回限定品不正取得の事例です。不正者が自ら買い物をするのではなく、一般のユーザーを巻き込んで買い回りをさせる手口です。
不正者は副業支援サイトのようなところに、仕事として案件を提示します。そこに「仕事をします」と一般のユーザーが応募します。その仕事の中身は、不正者が提供するリストに沿って商品を買い回りするというものです。リストには初回限定のサプリメントや化粧品などが並んでいます。ユーザーは買った商品をまとめて不正者に送ります。不正者はそれを定価より安い価格でフリマサイトなどに出品して、利ザヤを得るという流れになります。一般の人が買い物をしているので、一見すると通常の注文であり、加盟店の担当者や不正検知ベンダーが目視で検知することが困難です。
2つ目は闇バイトによる不正購入の事例です。闇バイトの実行役を募り、フリマに架空出品した商品を、盗用したクレジットカード情報で購入して、フリマ運営事業者から代金を騙し取るというものです。
不正者はフィッシングやダークウェブで他人のクレジットカード情報を入手します。指示役はSNSで闇バイトの実行役に、商品の架空出品と、その商品の購入を指示します。このとき実行役は盗用したカード情報を使用して商品を買い、フリマオークションサイトから立替払いされる売上金を受け取ります。最終的に実行役は売上金を暗号資産に替えて指示役に送ります。役割を細分化することによって身元を隠匿できるので、EC事業者は気づかないうちに不正注文に加担してしまう可能性もあるため注意が必要です。
もうひとつは直近の事例になりますが、闇バイトによるスマホの不正購入があります。こちらも不正者は同じように他人のクレジットカード情報を入手して、SNSで実行役に指示を出します。指示する内容は、盗んだカード情報でスマホを購入することです。スマホを購入した実行役は、フリマオークションサイトに、箱のみとして出品します。指示役がそれを買うのですが、その箱には端末が入っています。不正者はこれを転売して多額の利益を得ます。箱は数千円で出品されていて、その金額が実行役の報酬になっていたようです。
この事例でも役割が細分化されていて身元を隠匿しやすいことに加え、当事者間の資金移動ではなく、フリマサイトを隠れ蓑にして通常売買を装うことで足がつきにくく、資金洗浄的な側面もある巧妙な手口といえます。
後編は明日紹介
■お問い合わせ先
かっこ株式会社(Cacco Inc.)
〒107-0051
東京都港区元赤坂1-5-31 新井ビル4F
TEL : 03-6447-4534( 代表 )
https://cacco.co.jp/
https://frauddetection.cacco.co.jp/
お問い合わせ https://frauddetection.cacco.co.jp/contact/
The post かっこ、EC運営の足かせを外す! “コスト”から“投資”へ。 最新アンケート結果に見るEC不正対策の理想と現実(上) first appeared on ペイメントナビ.