詐欺注文(カードテスティング)の仕組みと対策


クレジットカードの不正利用による被害額は急増しており2022年には約400億円とされます。

当サイトに掲載されている情報のほとんどは、カード情報の流出に伴う架空注文に関する情報で、これは「カードテスティング Card Testing」「カードチェック」などと呼ばれる詐欺手法です。

「カードテスティング」とは

 カードテスティングはカードの不正使用の一つの手法です。流出したカード情報を入手した詐欺グループは、手に入れたカード情報を使ってオンラインサイトで物品を購入し、そのカードがまだ使用可能か、すでにカードが止められているかを確かめます。多くは、持ち主が気づかないような少額決済を行い、認証をパスできるか、支払いが可能かを確かめ、その後、大きな額の決済が行われるようです。

 カード情報を盗まれた持ち主はすぐにカード会社に連絡してカードを止めないと、架空請求が行われ買った覚えのない商品が請求されてしまいます。架空請求を確認した時点でカード会社に連絡すると、証拠を提出したうえで救済措置を受けられる場合があります。

 架空注文を受けたEC事業者は、商品を送っても実際の顧客には届かず、受取人不在で返送されてくるか(送料は自腹)、詐欺グループに渡って転売されるでしょう。私の経験では配送先が外国籍の名前で大阪の倉庫だったことがあり、おそらく外国に転売されるはずだったのでしょう。また、カードの持ち主が架空請求を訴えた場合、その申し出により取引はキャンセルされ売り上げは返金されますが、何もしないと決済手数料は決済事業者に支払ったままです(手続きを踏めば返還されます!)。また、支払いをキャンセルしたり、決済事業者に連絡したりといった手続きの機会と時間のコストは計り知れないものがあります。

カードテスティングを見抜くには

カードテスティングを見抜くには注文者情報と実際の決済履歴を注意深く見る必要があります(以下、決済システムStripeの場合で説明します)。

1)注文者のメールアドレスが意味不明

アドレス前半が意味のない文字列だったり、後半のドメインが海外のサービス(@qq.com、@outlook.com、@yahoo.comなど)である場合はほぼ間違いなく詐欺です。注文者名は中国風の名前の場合はほぼ詐欺ですが、日本人名の場合も多いです。フォントが中国語フォントの場合はほぼ詐欺でしょう。(特に中国の方を悪く言う意図はありませんが、実際中国風の名前やqqのアドレスからの詐欺注文が多いです。)

2)支払いが何度も失敗している

詐欺グループはいろいろなカードを使うため、ある程度はセキュリティで拒否されて、最後の1枚が審査に通って支払いが完了してしまうことがあります。個人の人が何枚もカードを試すことなんてほとんどありませんので、5回以上拒否されている場合は詐欺です。以下、参考画像です。

3)支払いのIPアドレスと配送先が離れている

正規の注文は注文している自宅と配送先は同一であるはずです。したがって、注文時に使用しているIPアドレスと配送先は近距離になるはずです。下の画像のように、注文地が東京で、配送先が千葉県というのは架空注文の可能性が非常に高いです。

3)その他

・(国籍によって差別はしたくないのですが)注文者の名前が外国人籍と思われる
・フリガナが日本語読みでない(例えば:武田→ブデンなど)
・通常の氏名では考えづらい(例えば:鈴木山田など)
・住所が一部ひらがなで書かれている
・送り先が「倉庫」や「レンタルオフィス」である
・アパートやマンションの部屋番号が記載されていない(配達員からの連絡を待ち、空き室で受け取るケースが報告されている)
・送付先に「海外転送サービス」が利用されている
・利用端末がPCであることが多い
・初回注文で高額商品を購入している
・通常のではありえない購買行動である。(例:サプリメントを2日連続して数ヶ月分ずつ購入している)
・購入後、商品の追跡番号を連絡するようメッセージを送信している ・メッセージの文面が外国人と思われる内容(日本人と思われる氏名で、外国人と思われる文章の場合もございます)

☞架空注文を受け付けたら

1)注文をキャンセルし、カードに返金、不正使用を報告する

怪しい注文を受けたらすぐに、ECサイト(WooCommerceなど)上でキャンセルしましょう。その後、決済システム(Stripeなど)上で返金作業を行い、カードの不正使用を報告しましょう。これをしないと、売り上げとして代金を受け取ってしまうことになり、カードの持ち主から不正請求の申請があった場合に、手続きが面倒になります。

2)決済システム会社に連絡し、救済措置がある場合は申請しましょう

注文をキャンセルしただけでは、決済手数料は決済システム会社に支払ったままで戻ってきません。Stripeの場合は、サポートに連絡し、決済IDと金額などをCSVファイルにして送ることで、審査ののち該当する決済手数料を変換してくれます。日本語サポートでは埒が明かず、英語サポートに問い合わせたところ、スムーズに1週間かからず完結しました。やり方が分からない場合は「情報提供」のページからその旨お伝えいただければ、可能な範囲でお手伝いいたします。

カードテスティングに対する対策

オンラインショップを運営しているとある程度のこういった攻撃を覚悟しなければならないでしょう。ただし、ある程度は対策が可能です。

1)注文者情報をよく確認する

メールアドレスがおかしい、海外のドメインを利用している、住所や番地が不自然…など怪しい注文は注意するに越したことはありません。

2)ECプラットフォームのプラグインなどを活用する

ECプラットフォームで注文に対するセキュリティを向上するプラグインを入れるなどして、対策しましょう。

3)決済システム上でセキュリティレベルを上げる

決済システム上のクレジット審査のレベルを上げたり、セキュリティ項目を導入すると良いでしょう。ただし、クレジット審査のレベルを上げすぎると、正規の注文をはじいてしまう可能性もあるので注意が必要です。私の場合はStripeの有料サービスRadarである程度は防げています。実際に架空注文を防ぐと実費が数円発生するシステムなので、架空注文を受けた後の作業の手間を考えると、コストパフォーマンスも十分です。Stripe側もこういった架空注文を減らすべくアルゴリズムの改編など対策を続けているようです。

☞おわりに

最後までお読みいただきありがとうございました。私自身が経験した理不尽な架空注文に対する怒りからこのサイトを立ち上げました。架空注文に対応する手間、時間、ストレスと言ったらたまったものではありません。このサイトが少しでも役に立てましたら幸いです。

なお、このサイトは完全にボランタリーに運営しております。実際にこのサイトが助けになった場合など、表示される広告をクリックしていただくと、若干の広告収入となり、今後のモチベーションにつながります。

(参考)Stripe「カードテスティングの被害を防ぐ

(参考)Stripe 「Radarについての情報