ECサイトのクレジットカード不正利用防止!スパム対策に有効なreCAPTCHAに対応したカートシステム
ECサイトにおけるクレジットカード不正利用防止対策には、例えば3Dセキュア(本人認証サービス)を導入する等、決済画面側で対策を講じる方法もありますが、ECショッピングカート側で可能な対策もあります。
Googleが提供している認証システムのreCAPTCHAをご存知でしょうか。
reCAPTCHAとは、ECサイトへのbotによる連続スパム投稿や不正利用を防ぐ仕組みで、無料で提供されています。問い合わせフォームや会員登録フォームへの等、連続したスパム投稿を防ぎたい箇所に設置すると効果的です。
それだけではなく、この仕組みをクレジットカードの情報入力画面に設置することで、クレジットカードの有効性確認時に不審な動きをした場合に、不正を検知し認証画面を表示させ、利用を制限することができます。その結果、クレジットカードの不正利用を防ぐことに繋がります。
reCAPTCHAは、対応したカートシステムにて、利用設定をすれば簡単で利用できるため、その方法をご紹介していきます。
クレジットカード入力画面におけるスパム攻撃の一例
クレジットカード入力画面におけるスパム攻撃には、例えば、以下のようなものがあります。
・外部から不正に入手したクレジットカードの有効性確認
・有効なクレジットカードを割り出すためにbot攻撃を仕掛ける
ECサイトにてクレジットカードの不正利用が発生した場合、その被害額の負担はEC事業者になります。
また、連続する不正な認証エラーが発生した場合、ECサイトに連携している決済会社に検知され状況が改善されないと、ECサイトの信頼度が低下し、クレジットカード決済が利用できなくなる可能性があります。
万が一、クレジットカード不正利用の被害に遭い、そのことが消費者に知れ渡ると、ECサイトのイメージダウンになり、売り上げにも影響を及ぼす事態に陥ることでしょう。
このような攻撃を防ぐ対策の1つとして、比較的容易に導入できる仕組みがreCAPTCHAです。
reCAPTCHAのバージョンとそれぞれの特徴
reCAPTCHAはリリースされてから現在まで4つのバージョンがあり、現在はv2、v2 invisible、v3を利用できます。
新しいバージョンがあるなら新しい仕組みを使いたくなりますが、すべての環境において最新版が最適であるとは限りません。
reCAPTCHAを提供しているGoogleも、v2を廃止する予定はなく、今後もこれらのバージョンをサポートしていく方針としています。
reCAPTCHA v2
reCAPTCHAは、チェックボックスの操作が人間によるものなのか、それともbotによるものなのかを判別し、botかどうか疑わしいと判断された場合は、指定されたアクションを求める仕組みです。
reCAPTCHA v2では「私はロボットではありません」というチェックボックスが表示され、チェックボックス操作によりをbot判定を行います。
このチェックが煩わしく、購入操作にひと手間加えないといけないため、ECサイトの購入フローにおける設置には敬遠されがちでした。そこで、この手間を省いたバージョンであるreCAPTCHA v2(invisible)がリリースされます。
reCAPTCHA v2(invisible)
reCAPTCHA v2(invisible)では「私はロボットではありません」のチェックボックスが無くなりました。その代わりに、フォームの送信ボタンを押した際にbotかどうかの判断が行われます。
つまり、ユーザーの操作としては、通常の購入手続きの操作の過程でbot判定を行います。
ECサイトのように、コンバージョンに関わる操作でユーザービリティを損ねたくない場合でも、このバージョンであれば疑いのない正当なユーザーに対しては、購入操作に影響を与えること心配がありません。
reCAPTCHA v3
reCAPTCHA v3では、GoogleのAIがサイト訪問者の行動をスコアとして算出し、botかそうでないかを判別します。
botではないと判定されれば、サイト訪問者は認証操作を行う必要がないため、不正利用を働かない限り、reCAPTCHA v3が設置されていることさえ気付かないと言えるでしょう。
また、reCAPTCHA v3を配置したページでは、ユーザーの行動を学習し行動スコアの精度も高まっていきます、しかしその分、設置の手間や、bot判定した場合のふるまいの実装(例えば、2段階認証等)が必要になります。運用者による方針の策定とシステム面での対応工数が発生する点が、負担になるかもしれません。
reCAPTCHAを導入する方法は?
ECサイトのクレジットカード入力画面にてreCAPTCHAを導入するためには、対応したシステムを利用した上で、EC事業者側による設定が必要です。
aishipシリーズではクレジットカード情報入力画面にてreCAPTCHA v2(Invisible)に対応しており、設定するだけで導入が可能です。
aishipシリーズにおけるreCAPTCHA機能の詳細や設定方法は、 こちら にてご確認ください。
またaishipでは、2025年1月31日までの期間限定で、システム利用の初期費用に加えて、
デザイン・制作・データ移管・機能カスタマイズの費用も含むECカートリプレイスの初期費用について、
最大100万円を割引するお得なキャンペーンを実施中です。
・reCAPTCHAや3Dセキュア2.0など最新のセキュリティに対応したい
・利用率の高いAmazonPayを引き続き使いたい
・eギフトや店舗受取など新たなプロモーションのための機能が足りない
だけど今すぐ多額の予算を投じてECカートのリプレイスまでは踏み切れない・・
そんな事業者様はこの機会にぜひ以下からエントリーください!
(一旦エントリーして2ヶ月間実施可否を検討いただけます)
最大100万円割引キャンペーンの詳細・エントリーはこちら
まとめ
いかがでしたでしょうか。もちろん、reCAPTCHAだけでクレジットカードの不正利用を完全に防げるものではありません。しかし、簡単な設定だけで不正利用対策に繋がるのであれば、設定しておくべきでしょう。
ECサイトのセキュリティ対策の全体像については以下記事で解説していますので、よろしければ併せてご参考ください。
ECサイトで必須のセキュリティ対策とは?【2024年度末】脆弱性診断義務化
ECサイトの構築方法は様々ありますが、まずはご利用のシステムがreCAPTCHAに対応しているかを確認して頂き、対応していない場合は方法を検討する必要があります。
弊社の提供しているクラウド型ECサイト構築ASP「
aiship
」はreCAPTCHAに標準対応しているため、簡単な設定を行うだけですぐに利用することができます。
ECサイトのセキュリティ強化を検討される方はぜひお気軽にご相談ください。