豊洲市場ドットコムのウラガワ。 
こんにちは。システム部の山城です。数年前から、弊社ではクレジットカードの不正利用対策を強化しています。そして、今年3月に3Dセキュアを導入しましたのでその効果を共有します。
これまでのまとめ
2025年3月、一般社団法人日本クレジット協会が公表したデータによると、2024年のクレジットカード不正利用被害額は過去最高の555億円に達しました。
弊社が運営するECサイトも例外ではありませんでした。食品、それも生鮮品を扱う性質上、家電やアパレルなど他ジャンルに比べると狙われにくいと考えていましたが、2022年12月に24注文、約45.1万円と弊社史上最悪の不正注文被害を受けることになりました。この経験を機に、2023年から本格的な対策に着手し、不正注文の傾向をスクリプト化し、毎日簡易チェックを行う運用体制を構築しました。
その結果、1年後の2023年12月には対策しなければ23注文、約100万円の不正注文があったところ、そのうち20件は事前に検知することができ、約6.3万円の被害に抑えることができました。また、2024年の上半期は、何も対策をしなかったら約2,148万円の被害だったところを、約23万円の被害に抑えられ、効果が顕著に表れました。
過去記事はこちら↓↓
【開発ブログ】クレジットカードの不正利用に打ち勝つために!!<対策を始めて半年後の記録>
【開発ブログ】クレジットカードの不正利用に打ち勝つために!!<その後>
【開発ブログ】クレジットカードの不正利用に打ち勝つために!!<後編>
【開発ブログ】クレジットカードの不正利用に打ち勝つために!!<前編>
2024年下半期不正注文の合計金額を公開
上半期に比べ、2024年下半期の結果はやや厳しいものでした。何も対策をしなかったら約1,661万円の被害だったところ、約43万円の被害でした。金額としては抑えられているものの、上半期の改善傾向からは後退した印象が否めません。他社のツールを使ったら最低でも月15万円はかかるので、弊社では「月間10万円以内での被害抑止」を目標に掲げていますが、9月には36万円超え、10月には21万円超えと目標を大きくオーバーしてしまいました。
この背景には、大きく2つの要因がありました。
1.アカウント乗っ取り(これまではほとんど発生していなかった)
2.即日出荷かつ高額商品の注文(例:松茸)において、確認の猶予がなく出荷してしまったケース
いずれも、運用の隙を狙った不正であり、まるで弊社の仕組みを熟知しているかのような巧妙さでした。弊社の運用が盗まれているのか、このコラムを参考にしているのか、はたまた、どこかに盗聴器でも仕掛けられているのかと疑いたくなるほどです。
しかし、その後の対策により、2024年11月以降は再び月間被害額を10万円以下に抑えることができました。
いざ3Dセキュアの実装へ
2026年3月末の3Dセキュア導入義務化に向け、弊社では2024年末頃から開発を開始しました。
もちろん、もっと早く導入する選択肢もありました。しかしギリギリまで待った理由は、やはり売上への影響です。セミナーなどでは「かご落ち率は約8%」という話を聞いておりさ、これは想像以上のインパクト。私自身も、プライベートでPCから買い物した際に手元にスマホがなく、「今はいいや」と購入をやめてしまった経験があるので、リアルに影響を感じていました。
また、3Dセキュア自体の精度も気にしていました。3Dセキュア2.0は全員に認証が入るわけではなく、各カード会社のロジックで怪しいと判断した場合のみに認証が入ります。そのため、その各カード会社の側の判断ロジックの精度が十分でなければ、誤判定による購入離脱が多発するリスクもあるだろうと考えていました。
セキュリティ(守り)とマーケティング(攻め)のIT戦略のバランスは、立場によって異なり、明確な正解があるわけではありません。常に難しい判断が求められます。
そして、2026年3月14~16日に弊社が運営する各ECサイトに、3Dセキュア導入の本番リリースを実施しました。
3Dセキュアの導入効果
まず、不正注文の抑止という目的については、確かな手応えがあります。
リリース後しばらくの間、決済失敗となった注文をすべて確認していましたが、過去の運用で見つけていた類の怪しい注文はほぼほぼ3Dセキュアでブロックされていました。2〜3日に1件程度のペースで不正注文を阻止できていると見ています。
ただし、「ほぼほぼブロックされている」と表現するのは、直近3ヵ月で2件のすり抜け事例が確認されているためです。
1件目:明らかに怪しい注文でしたが、気づかずに出荷。最終的な負担はカード会社側となりますが不正は不正。
2件目:注文確認時に異常に気づき、出荷をストップ。未然に防ぐことができました。
なお、不正注文が発生してもカード会社から連絡が来るとは限らないため、見逃している可能性もゼロではありません。ただ、体感としては大幅に被害が減少していると感じています。
売上への影響
次に、マーケティング面での影響についてです。事前には「かご落ち率約8%」と聞いていましたが、実際にはそこまでのインパクトはない印象です。実際、豊洲市場ドットコムでランダムに抽出した数日間のデータでは、
・3Dセキュアで決済失敗:カード利用者全体の約4%
・購入をあきらめたまたま不正注文:約1.5%
です。半分以上の方が、リトライや決済方法の変更で、購入まで至っています。
おそらく、同時期に他社も一斉に3Dセキュアを導入したため、3Dセキュアに対するユーザーの慣れが進んでいたという背景もあると思われます。
そもそもで言うと、3Dセキュア決済で失敗しても、本当に心から欲しいという商品であれば何回も試しますし、なんなら認証が不要な銀行振込とか代引きでも買いますよね。本質的にはやはり心から欲しい商品を取り扱うことにつきるのなのだとも改めて思いました。
最後に
今回の3Dセキュア導入は、不正注文抑止と売上維持の両立という面で、まずは成功だったと感じています。しかし、不正対策はこれで終わりではありません。ITの進化は、不正手口の進化でもあります。これからも、セキュリティとユーザビリティのバランスをとりながら、お客様により安心してご利用いただけるサイト作りを目指していきます。
