Shopify ストアの不正防止

eコマース詐欺は2024年に世界中でオンライン小売業者に480億ドルの損害を与え、Shopify加盟店は合計で年間数億件の不正チャージバックを経験している。詐欺の状況は、ほとんどの販売者が認識しているよりも速く進化しています。洗練されたボット ネットワーク、合成 ID 詐欺、および組織的な返品詐欺スキームは、支払いフローが予測可能であるため、Shopify ストアを特にターゲットにしています。

このガイドでは、詐欺の種類の理解、Shopify の組み込みツールの活用、サードパーティ検証の実装、履行前に詐欺を捕捉する運用プロセスの構築といった、多層の詐欺防止フレームワークを提供します。

重要なポイント

• Shopify の Fraud Protect (米国、カナダ) は、承認した注文のチャージバックをカバーします - 対象となる場合は使用してください
• Shopify Admin の不正分析スコアは出発点であり、最終的な答えではありません
• Card-not-present (CNP) 詐欺が最も一般的なタイプです - 速度チェックと AVS/CVV マッチングが不可欠です
• トランザクションのチャージバック率が 1% を超えると、プロセッサによる審査が行われ、アカウントが停止される可能性があります
• 履行された注文は取り消すことができません - 不正ウィンドウとは、注文の発注から履行までの時間です
• 返品詐欺は、アパレルおよび家電販売業者の詐欺被害総額の 10 ～ 15% を占める
• デジタル商品には物理的な商品の回収がないため、最も強力な不正行為の管理が必要です
• 住所検証サービス (AVS) の不一致は強力な詐欺のシグナルですが、正規の国際注文もブロックします

---

Shopify 詐欺の種類を理解する

カード非提示 (CNP) 詐欺

最も一般的な形式。詐欺師は盗んだクレジット カードの詳細を使用して注文を行います。本物のカード所有者が請求に異議を唱え、あなたはカード発行会社にチャージバックを発行し、商品と収益の両方を失います。

CNP 詐欺のシグナル:

• 請求先住所と配送先住所が一致しません
• 異なるカードから同じ住所への複数の注文
• 店舗の主要市場からの通常とは異なる時間帯に注文が行われた
• 新しく作成したアカウントからの高額注文
• 優先配送が選択されています (詐欺師はカードがキャンセルされる前に、商品を早く欲しいと考えています)

アカウント乗っ取り詐欺

詐欺師は (データ侵害によるクレデンシャル スタッフィングを介して) 顧客の既存のアカウントにアクセスし、保存された支払い方法と新しい住所への配送を使用して注文を出します。

ATO 信号:

• パスワードをリセットし、すぐに新しい注文を行う
• 注文直後に配送先住所が変更された
• 新しいデバイスまたは IP 国からログインし、その後注文します

返金および返品詐欺

顧客（または組織的な詐欺グループ）は返品ポリシーを悪用して、商品を保管したまま返金を受けたり、別の商品を返品したり、配達された注文の不達を主張したりします。

フレンドリー詐欺 (チャージバックの悪用)

顧客は正規に購入し、商品を受け取り、その後、不達または不正使用を主張して請求に異議を唱えます。証明するのは難しく、曖昧なケースでは銀行がカード所有者の側に立つことが多い。

悪用の宣伝

顧客は複数のアカウントを作成して、ウェルカム割引、送料無料基準、または紹介プログラムを悪用します。経済的な打撃はそれほど大きくありませんが、ボリュームが集中し、マーケティング指標を歪めます。

---

Shopify の組み込み詐欺ツール

Shopify 不正分析

Shopify Admin のすべての注文には、インジケーターを含む不正分析セクションが含まれています。

Shopify がチェックする主な不正指標:

• AVS の結果 (請求先住所がカードの記録と一致する)
• CVV結果（セキュリティコード一致）
• IP 国が請求先国と一致する
• 電子メール ドメインの有効期間と有効期間
• プロキシまたはVPNの使用状況の検出
• このカードからの以前のチャージバック

全体的なリスク レベルの読み取り:

• 低: フルフィルメントを続行します
• 中: 条件を満たす前に、特定の赤色のインジケーターを確認してください。
• 高: フルフィルメントを保留するか、顧客に確認のために連絡するか、キャンセルします

Shopify Protect (旧 Fraud Protect)

Shopify Paymentsを使用している対象となる米国およびカナダの販売者が利用できます。 Shopify Protectが承認した注文については、Shopifyは不正な注文によるチャージバックの損失を補償します。料金: 注文ごとに異なり、履行する前に表示されます。これにより、対象となる注文の詐欺リスクが Shopify に事実上移転されます。

Shopify Protect の適用要件:

• 注文はShopify Paymentsを通じて行う必要があります
• 注文は管理画面で「保護」バッジを受け取る必要があります
• 販売者は Shopify のフルフィルメントのタイミング要件に従う必要があります
• デジタル商品のご注文は通常対象外です

注文リスクしきい値の設定:

[Shopify 管理者] > [設定] > [支払い] > [不正防止] で、次のように設定します。

• リスクの高い注文を自動的にキャンセルします (積極的ですが、手動レビューの負担を軽減します)
• 手動レビューのために中リスクの注文に通知を送信します

適切なしきい値は、マージンと製品カテゴリによって異なります。高価な電子機器: リスクの高いものはすべて自動的にキャンセルされます。低価値のアパレル: 高リスクについては手動でレビューし、中リスクについては自動的に満たします。

---

サードパーティの不正防止ツール

月収 50,000 ドルを超える店舗の場合、専用の不正防止ツールは Shopify の組み込み分析よりも大幅に優れた保護を提供します。

不正行為なし: すべての注文に対して数秒以内に「不合格/合格」の判定が行われます。 「Pass」とマークされた注文に対して、NoFraud はチャージバック保証を提供します。「Pass」注文が不正であることが判明した場合、NoFraud はチャージバックを支払います。注文あたりのコストは、量とカテゴリーに応じて通常 0.05 ～ 0.20 ドルです。

Signifyd: NoFraud と同様のモデルですが、より大規模な販売者ネットワーク データベースを備えています。同社の「コマース保護」サービスは、注文から返品詐欺までの注文ライフサイクル全体をカバーします。

---

住所検証と本人確認

AVS (住所検証サービス)

AVS は、顧客が提供した請求先住所を、カード発行会社に登録されている住所と比較します。 Shopify Payments とほとんどの決済プロセッサは AVS をサポートしています。

AVS 応答コード:

重要: 海外のカード発行会社は AVS に参加していないため、米国以外のカードでは正規の注文に対して「U」(利用不可) が返されることがよくあります。海外に発送する場合は、AVS の「U」注文を自動的にキャンセルせず、総合的に確認してください。

CVV マッチング

CVV (カード検証値) は、カード上の 3 ～ 4 桁のコードです。 Shopify Payments は、提供された CVV がカード記録と一致することを確認します。 CVV の不一致は常に手動レビューまたは自動キャンセルをトリガーする必要があります。

メール認証

使い捨て電子メール ドメイン (guerrillamail.com、mailinator.com など) は、ほぼ詐欺師によってのみ使用されます。検証ルールを使用して、既知の使い捨て電子メール ドメインからの注文をブロックします。 Kickbox や Hunter などのツールは、チェックアウト時に電子メールの配信可能性を検証します。配信できない電子メールは、強力な詐欺の兆候です。

電話番号認証

リスクの高い注文の場合は、電話番号を要求し、それが実際に連絡可能な番号であることを確認してください。チェックアウト時の SMS 認証 (提供された電話番号にコードを送信) により、CNP 詐欺は大幅に減少しますが、チェックアウトの放棄も増加します。すべての注文ではなく、リスクしきい値を超える注文に使用します。

---

特定の店舗向けの不正行為ルールの構築

効果的な不正防止には、店舗固有のリスク プロファイルに合わせて調整されたルールが使用されます。一般的なルールは正規の顧客を過度にブロックします。調整が不十分なルールは不正行為を見逃します。

ベロシティ ルール (急速に繰り返される不正行為を検出):

地理的ルール:

• リスクの高い地理的地域（貨物運送業者、再発送先住所）に発送する注文
• 納得できる説明なしに、請求先国が配送先国と大きく異なる注文
• 通常はサービスを提供していない国からの注文

注文特性ルール:

• 初回注文、高額 (500 ドル以上)、速達発送: 常にレビューしてください
• メッセージなしで選択されたギフトラッピング: 受取人にギフトを送る詐欺師によって使用されることがあります。
• ゲストチェックアウト (アカウントなし) + 高価値: 登録顧客よりもリスクが高い

Flow を使用した Shopify でのルールの実装:

Shopify Flow (Basic 以上で利用可能) は、不正行為ルールの適用を自動化できます。

Trigger: Order created

Condition: Order risk level is HIGH
AND Order total is greater than $200

Action: Tag order with "fraud-review-required"
Action: Send email to [email protected] with order details
Action: Do NOT fulfill (hold fulfillment)

---

チャージバック管理

優れた不正防止策を講じていても、チャージバックは発生します。紛争にどう対応するかによって、勝てる数が決まります。

チャージバックの種類:

1. 不正チャージバック (理由コード 10.4、83): カード所有者が不正使用を主張しています。 3DS認証証明がないと勝つのは難しい。
2. 未受領 (理由コード 13.1): カード所有者は商品を受け取っていないと主張しています。配達確認で勝利。
3. 説明と著しく異なります (13.3): カード所有者は、商品が説明と著しく異なると主張しています。正確なリストを実証して勝利します。
4. 友好的な詐欺 (10.4 異議申し立て、無許可): 正当な請求に異議を唱える正当な顧客。購入履歴や通信記録で勝負。

チャージバック紛争の勝訴 — 証拠パッケージ:

すべてのチャージバック応答についてこの証拠を編集します。

• 注文確認メールが顧客のアドレスに送信される
• 追跡番号と納品されたスキャンによる納品確認
• 顧客のアカウント履歴 (過去の購入を示すアカウントをお持ちの場合)
• 通信履歴（顧客が注文を承認したことを示す電子メール、チャットログ）
• 注文時のIPアドレス
• AVSとCVVの一致確認
• デバイスの指紋データ (Shopify または詐欺ツールから)
• 署名済みの配達証明 (署名が必要な高額注文の場合)
• 正確な表現を示す製品説明のスクリーンショット

チャージバック応答期限:

ビザ: チャージバック通知から 30 日 マスターカード: 45 日 アメリカン・エキスプレス: 20日 発見: 30 日間

回答期限を過ぎた場合は、メリットに関係なく自動的に失効となります。

フレンドリー詐欺の防止:

1. 高額注文には 3DS2 認証を使用します (Shopify Payments でこれが可能になります)
2. 150ドルを超える注文の場合は配達時に署名が必要です
3. 配達前後の顧客へのフォローアップ（「ご注文は発送されました」+「ご注文は配達されました」メール）
4. すべてのカスタマー サービスの連絡先に対応します。連絡してきた顧客がチャージバックを申請する可能性は低くなります。

---

デジタル商品: 最もリスクの高いカテゴリ

デジタル商品 (ソフトウェア ライセンス、ダウンロード可能なファイル、ギフト カード) は、一度納品されると回収がゼロであり、CNP 詐欺の主な標的となります。

デジタル商品の詐欺防止:

1. リスクの高い注文の配送を遅らせる: 新規アカウントまたはフラグが設定された住所からの 50 ドルを超えるデジタル商品の注文には、即時配送の代わりに 24 時間の確認ウィンドウを追加します。

2. 初回購入数量を制限する: 新しいアカウントからの初回購入を 1 ～ 2 ユニットに制限します。詐欺リングはまとめ買いします。

3. アカウント作成が必要: デジタル商品のゲストチェックアウトは高リスクです。配信前にメール認証を伴うアカウントの作成が必要です。

4. IP 速度制限: IP アドレスごとに最大 24 時間ごとに 1 つの新しいアカウント。

5. デバイスのフィンガープリント: 複数のアカウントまたは注文にわたって同じデバイスが使用されている場合を識別するツールを使用します。

6. アクティベーションベースの配信: ソフトウェア ライセンスの場合、アクティベーションの前にデバイスの登録が必要です。これにより、盗難されたカードごとの被害が制限され、調査データが提供されます。

---

よくある質問

決済処理業者によって「高い」とみなされるチャージバック率はどれくらいですか?

Visa と Mastercard のチャージバック監視プログラムは、チャージバックが月次取引の 1% を超えるとトリガーされます。この基準を超える販売者は、追加料金 (チャージバックごとに 50 ～ 100 ドル) が課せられる「モニタリング プログラム」に参加し、改善計画が必要となり、3 ～ 6 か月以内に解決しない場合は最終的にアカウントの停止につながります。ほとんどの買収者は、0.5% のチャージバック率で非公式に連絡を取り始めます。安全なバッファーを維持するために、レートを 0.5% 未満に保つことを目指してください。

Shopify がフラグを立てたリスクの高い注文は受け入れるべきですか?

それは商品タイプ、マージン、リスク許容度によって異なります。詐欺率が高い高額電子機器やデジタル製品は、リスクの高い注文を自動的にキャンセルする必要があります。マージンが広い低価格商品では、リスクの高い注文を手動で確認することが経済的になる可能性があります。さまざまなリスク レベルの注文について、予想される不正行為による損失と予想される収益を計算します。ほとんどの加盟店では、リスクの高い注文は 30 ～ 50% でチャージバックに変換されます。つまり、マージンが 50% 未満の場合、注文を受け入れることは数学的にマイナスになります。

追跡調査では配達されたことが示されているのに、注文した商品が届かないと主張する顧客にどのように対処すればよいですか?

まず、配送スキャンが正しい住所にあることを確認します (配送スキャンの場所と配送先住所を比較します)。追跡によって正しい住所への配達が示された場合: (1) 顧客に近所の人や家族に確認するよう依頼します — 多くの荷物は他の人が受け取っています、(2) 運送業者調査請求を提出します — 運送業者は「配達されたのに受け取っていない」ケースを調査します、(3) 顧客のために警察に通報を要求します — これにより、日和見詐欺が排除されます。 30 ドル未満の注文の場合は、調査せずに交換を検討してください。のれんの価値がコストを上回ることがよくあります。

3D セキュア (3DS) を有効にする価値はありますか?コンバージョン率に悪影響を及ぼしますか?

3DS 認証により、3DS 認証が成功した注文のチャージバック責任はカード発行会社に移ります。最新の 3DS2 はリスクベースの認証を使用します。追加の検証 (OTP、生体認証) を伴う高リスクのトランザクションのみに挑戦します。低リスクのトランザクションは、顧客のアクションなしでシームレスに完了します。研究によると、3DS2 は不正チャージバックを 60 ～ 80% 削減し、放棄の影響は 2% 未満ですが、古い 3DS1 の放棄の影響は 10 ～ 15% でした。 Shopify Payments 設定を通じて 3DS2 を有効にします。それだけの価値はあります。

チャージバックに関する異議申し立てのためにどのようなデータを保持する必要がありますか?

すべての注文について、注文確認の詳細、IP アドレス、デバイスの指紋、AVS/CVV の一致結果、すべての顧客とのコミュニケーション (電子メール、チャット、サポート チケット)、すべてのスキャン イベントを含むキャリア追跡履歴、配送確認または証明写真を少なくとも 18 か月間保持します。ほとんどの詐欺チャージバックは取引から 60 ～ 120 日後に到着します。18 か月の保持期間は、控訴を含む紛争のタイムライン全体をカバーします。

---

次のステップ

Shopify ストア向けに効果的な不正防止システムを構築および維持するには、不正行為のパターンが進化し、新しいツールが登場し、注文量や製品構成が変化するにつれて、継続的な調整が必要です。

ECOSIRE の Shopify サポートおよびメンテナンス サービス には、不正防止のセットアップ、チャージバック管理ワークフロー、特定の製品カテゴリに基づくルールの調整、収益を保護するための継続的な不正監視が含まれます。

Shopify ストアを e コマース詐欺から強化する方法については、不正防止スペシャリストにご相談ください。