TOP コラム ECサイトのクレジットカード不正利用防止!スパム対策に有効なreCAPTCHAに対応したカートシステム
TOP コラム ECサイトのクレジットカード不正利用防止!スパム対策に有効なreCAPTCHAに対応したカートシステム

ECサイトのクレジットカード不正利用防止!スパム対策に有効なreCAPTCHAに対応したカートシステム

ECサイトのクレジットカード不正利用防止!スパム対策に有効なreCAPTCHAに対応したカートシステム

ECサイトにおけるクレジットカード不正利用防止対策には、例えば3Dセキュア(本人認証サービス)を導入する等、決済画面側で対策を講じる方法もありますが、ECショッピングカート側で可能な対策もあります。

Googleが提供している認証システムのreCAPTCHAをご存知でしょうか。
reCAPTCHAとは、ECサイトへのbotによる連続スパム投稿や不正利用を防ぐ仕組みで、無料で提供されています。問い合わせフォームや会員登録フォームへの等、連続したスパム投稿を防ぎたい箇所に設置すると効果的です。それだけではなく、この仕組みをクレジットカードの情報入力画面に設置することで、クレジットカードの有効性確認時に不審な動きをした場合に、不正を検知し認証画面を表示させ、利用を制限することができます。その結果、クレジットカードの不正利用を防ぐことに繋がります。

reCAPTCHAは、対応したカートシステムにて、利用設定をすれば簡単で利用できるため、その方法をご紹介していきます。

目次

クレジットカード入力画面におけるスパム攻撃の一例

クレジットカード入力画面におけるスパム攻撃には、例えば、以下のようなものがあります。

・外部から不正に入手したクレジットカードの有効性確認
・有効なクレジットカードを割り出すためにbot攻撃を仕掛ける

ECサイトにてクレジットカードの不正利用が発生した場合、その被害額の負担はEC事業者になります。また、連続する不正な認証エラーが発生した場合、ECサイトに連携している決済会社に検知され状況が改善されないと、ECサイトの信頼度が低下し、クレジットカード決済が利用できなくなる可能性があります。万が一、クレジットカード不正利用の被害に遭い、そのことが消費者に知れ渡ると、ECサイトのイメージダウンになり、売り上げにも影響を及ぼす事態に陥ることでしょう。

このような攻撃を防ぐ対策の1つとして、比較的容易に導入できる仕組みがreCAPTCHAです。

reCAPTCHAのバージョンとそれぞれの特徴

reCAPTCHAはリリースされてから現在まで4つのバージョンがあり、現在はv2、v2 invisible、v3を利用できます。新しいバージョンがあるなら新しい仕組みを使いたくなりますが、すべての環境において最新版が最適であるとは限りません。reCAPTCHAを提供しているGoogleも、v2を廃止する予定はなく、今後もこれらのバージョンをサポートしていく方針としています。

reCAPTCHA v2

reCAPTCHAは、チェックボックスの操作が人間によるものなのか、それともbotによるものなのかを判別し、botかどうか疑わしいと判断された場合は、指定されたアクションを求める仕組みです。

reCAPTCHA v2では「私はロボットではありません」というチェックボックスが表示され、チェックボックス操作によりをbot判定を行います。

このチェックが煩わしく、購入操作にひと手間加えないといけないため、ECサイトの購入フローにおける設置には敬遠されがちでした。そこで、この手間を省いたバージョンであるreCAPTCHA v2(invisible)がリリースされます。

reCAPTCHA v2(invisible)

reCAPTCHA v2(invisible)では「私はロボットではありません」のチェックボックスが無くなりました。その代わりに、フォームの送信ボタンを押した際にbotかどうかの判断が行われます。つまり、ユーザーの操作としては、通常の購入手続きの操作の過程でbot判定を行います。
ECサイトのように、コンバージョンに関わる操作でユーザービリティを損ねたくない場合でも、このバージョンであれば疑いのない正当なユーザーに対しては、購入操作に影響を与えること心配がありません。

reCAPTCHA v3

reCAPTCHA v3では、GoogleのAIがサイト訪問者の行動をスコアとして算出し、botかそうでないかを判別します。botではないと判定されれば、サイト訪問者は認証操作を行う必要がないため、不正利用を働かない限り、reCAPTCHA v3が設置されていることさえ気付かないと言えるでしょう。

また、reCAPTCHA v3を配置したページでは、ユーザーの行動を学習し行動スコアの精度も高まっていきます、しかしその分、設置の手間や、bot判定した場合のふるまいの実装(例えば、2段階認証等)が必要になります。運用者による方針の策定とシステム面での対応工数が発生する点が、負担になるかもしれません。

reCAPTCHAを導入する方法は?

ECサイトのクレジットカード入力画面にてreCAPTCHAを導入するためには、対応したシステムを利用した上で、EC事業者側による設定が必要です。
aishipシリーズではクレジットカード情報入力画面にてreCAPTCHA v2(Invisible)に対応しており、設定するだけで導入が可能です。

aishipシリーズにおけるreCAPTCHA機能の詳細や設定方法は、こちらにてご確認ください。

まとめ

いかがでしたでしょうか。もちろん、reCAPTCHAだけでクレジットカードの不正利用を完全に防げるものではありません。しかし、簡単な設定だけで不正利用対策に繋がるのであれば、設定しておくべきでしょう。

ECサイトの構築方法は様々で、こちらの記事にてASP(クラウド)/オープンソース/パッケージソフト(スクラッチ開発)の違いやそれぞれのメリット・デメリットをご紹介しておりますが、まずはご利用のシステムがreCAPTCHAに対応しているかを確認して頂き、対応していない場合は方法を検討する必要があります。クラウド型ECサイト構築ASPのaishipシリーズのように、reCAPTCHAに対応したASP/クラウド型のECカートシステムを利用することで、設定するだけですぐに利用することができます。

クラウドECのサイト構築はaishipR-カスタマイズ可能なASP実績No.1

累計2000社以上の導入の総合通販型カートシステムで、カスタマイズ性が高く、デザインの自由度はもちろん、各種システムとの連携や機能追加等も独自のカスタマイズができるため、こだわりのある本格的な通販を月額9,800円から実現できます。 またモバイルファースト設計や月2回の無償バージョンアップなどの特徴があり、使いやすさと最新性を追求した通販サイトを構築できます。 さらに信頼性の高いサーバーを採用しており大規模アクセスにも対応できるため、これからさらに通販での売上を伸ばされたい事業者様におすすめです。
資料請求