ネットショップ運営で避けては通れない
クレジットカードの不正利用(チャージバック)への対処方法

2017/06/19

―「利用内容照会」。
カード会社からの連絡で、あれほどキリリと胃が痛むものはない。
利用内容照会をきっかけに注文者情報を検索してみると、偽名っぽい有名人の名前、10万円を超える高額商品、運送会社の営業所留めなどの情報が出てきて、チャージバック発生を知る。発送前に時間を割いてチェックでもできていればなんとかなったかもしれないが、今更そう思っても何も解決もしなければ盗られた商品も戻って来ないと、ネットショップ担当者のため息が漏れる。―


※本コラムは全3回のコラムです。第2回/第3回もぜひご覧ください。

この記事の目次

日本クレジット協会によると、ECサイトが損害を被る番号盗用の被害額は、平成28年は87.9億円(対前年比123%) と右肩上がりとなりつつあります。そのためか、チャージバックという言葉も一昔前に比べると、一般化しつつあるように思います。

クレジットカード不正利用被害の発生状況(2008年-2016年)折れ線グラフ

>>出典:日本クレジット協会「クレジットカード不正使用被害の発生状況」(2017年3月)
http://www.j-credit.or.jp/information/statistics/download/toukei_03_g_170331.pdf

モールと自社サイト(本店)

最近はモール出店分と自社サイト(本店)で、 自社サイトのチャージバックが目立つようになってきたという話を耳にするようになってきました。

大手モールでは、自社発行のクレジットカードでの利用が大半を占め、クレジットカード発行時の申込者の情報と、注文者情報の突き合わせなどが可能です。またモール内でのユーザーの購買データからイレギュラーな動きなどがあった場合、独自開発の不正検知システムや人によるトランザクション監視がその動きを察知し、不正利用につながる動きは拾えるようになってきました。

つまり、不正利用者にとって大手モールでは仕事がやりにくくなってきていると言えます。不正利用者は幾度かトライアンドエラーを続け、セキュリティーの甘いサイトへ流れついていくことを考えると、モールのセキュリティーが強固になりつつある今、自社(本店)サイトのセキュリティー強化を考えておく必要があります。

不正利用の手口

チャージバックとなってしまう不正利用の手口は年々巧妙になってきているのは確かですが、未だにオーソドックスかつ、注文情報から目で拾える手口は存在しています。
セキュリティー強化を考える際には最低限、その手口を押さえておかなければなりません。


① 発行カード

不正利用時に使用されたカードを調べると、海外発行カードが多いです。
(※あるサイトではチャージバック全体のうち海外発行カードは70%以上)
単純に闇サイトなどで購入できるカード番号は、アメリカ発行のものが多くまた単価も安く、日本発行のカード番号の流通自体が少ない状況です。


② 金額帯

チャージバックとなる金額については、過去は20万、30万円の注文が多かったのですが、現在は4万円後半〜7万円半ば(単品もしくは複数購入)が占めています。
ただ最近は3万円を切る価格帯での不正利用も徐々に増えてきています。それくらいの金額帯の商品のほうが転売時に回転が早いということだと考えられます。


③ 注文者情報

注文者や配送先については、偽名(有名人の氏名)や東南アジア系のカタカナ名、短期滞在型マンション、配送会社の営業所留め、転送会社(※)などがチャージバックとなる場合が多いです。
(※住所の末尾にアルファベットや数字の組み合わせが付加)


これらを踏まえて、不正対策について触れる前に、必ずやってほしいことがあります。
それは、上記のような形で自社のECサイトが被害を被るリスクがカード決済には必ずあるということを、経営者や上長に伝えてください
カード会社との契約には経営者、上長が強くフェアでないと言っても、加盟店契約上は不正利用が起こった際の債権買戻し特約(チャージバックとは明記なし)なるものが必ず存在しています。
その説明責任はリスクを知っているECサイト担当者にあります。「うちのネットショップに限っては大丈夫」では下手をすると自分の仕事がなくなってしまうリスクもあります。

では、先に進みましょう。
最低限の不正対策とはどういったことをすればいいのでしょうか?

①発送前の目チェック

全ての商品が高額である場合を除いて、全件見る必要はありません。
怪しい取引と思われる、例えば、新規購入者かつ、ある価格帯(5万円など)、ある注文商品 (タブレット端末など)や複数購入などの注文を抽出し、氏名、住所、メールアドレスなどを目視します。

②海外カードの停止

日本人向けに、日本語サイト、日本国内のみ配送で、販売している場合、海外カードからの売上は非常に少ないことも考慮すると、カード会社へ相談が必要となりますが、海外カードを止めてしまうのも一つの案です。

日本人で海外発行カードしか持っていない人は稀です。また中国人からの大量注文については海外カードの変わりに、銀聯やアリペイの決済方法を同時に導入し売上につなげることをおすすめします。
海外カードの停止については、決済代行会社かカード会社へ問い合わせし、相談に乗ってもらうのがスムーズです。

③販売ページ内への警察へ相談などの文言を掲示

コンビニなどに入ると「警察官立寄所」という防犯ステッカーをよく目にしますが、同様のものをショッピングページの中に配置します。
例えば、「クレジットカードの不正利用については、注文時に監視・収集したすべてのデータを警察へ提出いたします。皆様のクレジットカードの安全を確保し不正利用から守るうえでの対応をしております。」など。
不正利用者は「警察」「データの提出」などの文言に嫌悪感を出し、他のサイトへ行く可能性があります。

④セキュリティーコードの導入

最近はセキュリティーコード(カード券面に記載された3桁ないし4桁の数字)もカード番号と共に漏れていたり、フィッシングでとられてしまったりしていますが、 闇サイトでセキュリティーコードのないカード番号が安く多く売られていることを考えると、最低限必要となります。

また3Dセキュアについては、カード会社より、加盟店契約するにあたり、実装が条件ということでなければ、大手モールが導入するまでは、ユーザーの離脱による売上減少回避の意味合いでも、待ちでいいかと思われます。


これら4つの対策を講じただけで、不正がピタッと止まったという例も多数あります。
まずは不正利用者にとって不正利用がやりにくいお店と認知させることができれば一歩も二歩も前進といえます。

次回以降については、不正利用を効果的に防ぐことが可能となる不正検知システムについて説明をしていきたいと思います。

DGフィナンシャルテクノロジーの決済サービスについて詳しく知りたい方はこちら

執筆者
株式会社アクル 取締役COO 渡辺 貴宏氏

運用改善やチャージバック保証サービスなど、不正対策コンサルティングサービスを提供する株式会社アクルの取締役COO。
EC黎明期の2000年代初頭からクレジットカード決済やさまざまなチャージバック関連業務に携わる。

>>株式会社アクル

      
セキュリティvol.2

ビジネスの成長を
DGフィナンシャルテクノロジーが
お手伝いします

ご不明な点はお気軽にお問い合わせください。
スタッフがさらに詳しくご説明します。