Shopifyで不正注文を予防する具体的な設定方法
Shopifyで不正注文を予防する具体的な設定方法
こんにちは、株式会社Tsuzucle SPRING開発事業部の神田です。オンラインストアの運営者にとって、不正注文は非常に悩ましい問題です。盗難カードによる購入やなりすまし注文によって商品や売上金を失ってしまうと、特に中小規模の事業者にとっては大きなダメージとなりかねません。
本記事では、Shopifyを利用するストアオーナー様向けに、不正注文とは何かから始め、Shopifyの機能を活用した不正注文の検知・防止策、そして自動ルール設定による予防方法までをできる限り分かりやすく解説します。
1. 不正注文とは
不正注文とは、簡単に言えば「他人のクレジットカードを使った不正購入」や「購入商品の詐取」、つまり「正規の購入者を装って支払いだけでなく商品そのものをだまし取る行為」を指します。
代表的な不正注文のパターンには、次のようなものがあります。
- 盗難クレジットカードの使用:盗み出した他人名義のカード情報で商品を購入する手口です。カード所有者からチャージバック(支払い取り消し)が発生し、事業者は代金を失います。
- なりすまし注文:第三者が他人の名義やアカウントで注文を行うケースです。住所や連絡先も偽装されていることが多く、本人確認が困難です。
- 大量注文の悪用:一度に多数の商品を注文し転売する手口です。高額商品や限定品が狙われ、在庫を一気に奪われるリスクがあります。
- 不正な決済手段の利用:偽造カードや不正に取得したギフトカード・アカウントを使って支払いを行うケースです。決済自体が後から無効化される可能性があります。
- 返品・返金の悪用(返品詐欺):商品を受け取った後で「届いていない」「不良品だった」など虚偽の申告をして返金だけを得ようとする行為です。場合によっては別物を返送する、あるいはチャージバックを悪用することもあります。
不正注文が発生すると、チャージバック(支払い取消)のリスクが高まります。クレジットカード会社は後日になって取引を取り消すことができ、その場合商品代金は事業者の負担となります。さらにチャージバックには1件あたり数百円~数千円の手数料が発生し、発送した商品も手元に戻らないため在庫損失も被ります。なお、Shopifyはこれらチャージバックによる損失を補償してくれないため、事業者自身でリスクを管理する必要があります (Shopifyヘルプセンター | 不正解析)。
また、不正注文は特定のストアや商材が狙われやすい傾向があります。一般に高額商品や転売しやすい人気商品(ブランド品、貴金属、限定品、家電、トレーディングカード等)を扱うストアは要注意です。こうした商品の注文には、不自然な大量購入や海外からの突然の注文などが潜んでいないか注意を払いましょう。加えてオープン直後のストアや、当然ですがセキュリティ対策が手薄なサイトも犯罪グループに狙われやすい傾向があります。
2. Shopifyにおける不正注文
Shopifyには不正検知・解析機能が標準で備わっており、怪しい注文を自動的に判別して管理者に警告してくれます。注文が行われるとシステムが様々な要素を分析し、リスクレベルを「低・中・高」の3段階で評価します。例えば、注文に使用されたクレジットカードの住所確認(AVS)結果や、セキュリティコード(CVV)の一致状況、注文に使用されたIPアドレスの所在地情報、短時間で複数のカードが試みられていないか、といった指標がチェックされています (Shopifyヘルプセンター | 不正解析)
そして不正リスクが高い注文には管理画面で赤い警告表示が付き、注文詳細ページの「不正解析」セクションで「高」とハイライト表示され「おすすめ:注文をキャンセル」のような警告メッセージが表示されます。
(上図は注文詳細画面の不正解析セクション。リスクレベル「高」の場合、キャンセル推奨の警告が出る)
Shopifyの不正解析機能により、事業者は各注文のリスク要因を確認できます。リスク判定の詳細インジケーターは色分けされており、緑色は安全な傾向の情報(例:CVV一致)、赤色は不正の可能性を示唆する情報(例:請求先住所の不一致)、灰色は追加の参考情報(例:プロキシ利用の可能性)といった具合にひと目で分かるようになっています (Shopify Help Center | Fraud analysis)。これらの情報を参考に、発送前に注文を精査することで不正注文の被害を未然に防ぐことができます。
さらに、Shopifyはプラットフォーム全体でセキュリティ対策を講じています。たとえば3Dセキュア認証(クレジットカードを使用する際に、認証コードなどで本人確認を追加して安全にする仕組み)への対応があります。欧州を中心とした地域ではPSD2規則に準拠し、必要に応じて購入者に追加認証(3Dセキュア)を要求することで、カード不正利用を防止しています (Shopifyヘルプセンター | 不正注文の防止)。またShopify Payments(Shopify公式の決済サービス)を利用している場合、機械学習による不正取引検知、防止機能が組み込まれています。具体的には、クレジットカード情報の総当たりテスト(カードテスト)を防ぐ仕組みや、プロキシ経由の不審なアクセスを自動検出してフラグを立てる機能などがバックグラウンドで動作しています (Shopifyヘルプセンター | 不正注文の防止)。加えて、Shopifyのチェックアウトでは必ずカードのセキュリティコード(CVV/CVC)入力が必要となっており、カード番号と有効期限だけを入手した第三者による不正使用を困難にしています。これら標準機能により、ストアオーナー自身が意識せずとも一定の不正注文対策が講じられているわけです。
3. 不正注文に対する基本的な対応方針
上記のようにShopifyの仕組みである程度の検知はできますが、最終的に不正注文を防ぐ責任はマーチャント側にあります。万一不正な注文を受けてしまった場合、Shopifyやカード会社は売上金の補填をしてくれないため、自衛策を講じて損失リスクを下げることが重要です。 (Shopifyヘルプセンター | 不正解析)でも触れたように、リスクの高い注文をそのまま発送してしまうと、チャージバックによる売上取消しや決済サービスの利用停止といった深刻な影響が及ぶ可能性があります。
基本方針として、不正の疑いがある注文は発送前に徹底的に確認することが肝要です。特にShopify上で「高リスク」と判定された注文については、商品を送る前に以下のポイントをチェックしましょう。
- 請求先住所と配送先住所の違い:配送先が明らかに不自然(例えば国や地域が全く異なる)場合は注意が必要です。ギフト等の正当な理由もあり得ますが、盗難カードで自分宛に商品を送らないケースも多いため、追加確認を検討します。
- IPアドレスの所在確認:注文時のIPアドレス情報から、購入者がおおよそどの地域からアクセスしたかが分かります。例えば「配送先住所は日本なのに、注文のIPが海外(例:北米やヨーロッパ)だった」といった場合、不正利用の可能性が高いと言えます。その際は本当に本人の注文か、後述の通りメールや電話で確認することが得策です。
- 電話番号やメールアドレスの確認:注文者が入力した電話番号に発信してみたり、番号やアドレスをWEBで検索してみる方法も有効です。連絡がつかなかったり応答しても日本語が不自然な場合、また、メールアドレスで不正利用の報告例が見つかった場合は、詐欺の疑いが強まります。
- クレジットカード名義人と注文者氏名の照合:Shopifyの注文詳細画面では、使用されたカードの本人名義(カードホルダーの名前)を確認できます。これが注文者の名前と一致しない場合、特になりすましの疑いがあります。名字が完全に異なる場合などは要警戒です。
- 過去の注文履歴:同じ顧客による過去の注文があるなら、不審な点がなかったか振り返ります。新規顧客で高額注文・大量注文を突然行ってきた場合も注意が必要です。
Shopify管理画面から簡単に注文のキャンセルと払い戻し処理(未収金の取り消し)ができるため、怪しいと感じたら躊躇せず疑わしきはキャンセルすることも選択肢に入れましょう。
なお、日頃から不正リスクレベルに応じた社内ルールを決めておくとスムーズです。たとえば「低リスク:通常通り迅速に発送」「中リスク:住所や連絡先の追加確認を行い問題なければ発送」「高リスク:原則キャンセル対応(もしくは本人確認が取れた場合のみ例外処理)」といった具合に、対応フローを明文化しておきます。そうすることでスタッフ間で判断がぶれず、万一対応を誤って被害が出るリスクも減らせます。また、このルールに沿ってShopifyの設定を調整すること(後述のShopify Flowの活用など)で、人為ミスなく不正注文をブロックすることも可能になります。
4. Shopify Flowの設定方法(自動ルール設定)
Shopify Flowとは、Shopify公式が提供するストア業務自動化アプリです。もともとShopify Plusプラン限定機能でしたが、現在ではベーシック以上のプランで無料利用できます。プログラミング不要で使えるワークフロー作成ツールで、在庫更新や注文処理など日々の繰り返し作業をブロックの組み合わせで簡単に自動化できます。このFlowを使えば、不正注文に対するカスタムルール(ワークフロー)を設定し、怪しい注文への対応を自動化することも可能です。
例えば、不正リスクが「高」と判定された注文に自動的にタグを付与し、メールやSlackで通知するワークフローを作成できます。フローを構築しておけば、該当する注文が入った段階で自動処理が実行されるため、ストア運営者が毎回手動でチェックし対応する手間を省けます。特に全ての高リスク注文を受け付けない方針で運営する場合、Flowで自動キャンセルまで設定しておくとチャージバックリスクの低減に大きく役立ちます
では、実際にShopify Flowで高リスク注文を自動判別する設定手順の概要を見てみましょう。
-
Flowアプリのインストール:Shopify管理画面の「アプリストア」からShopify Flowをインストールします(Shopify公式が提供する無料アプリです)。インストール後、管理画面のアプリ一覧からFlowを開きましょう。
-
テンプレートの利用(または新規作成):Flowにはあらかじめ様々なワークフローテンプレートが用意されています。画面上部の「テンプレートを閲覧する」から検索バーに「fraud」や「不正」と入力すると、「Cancel high-risk orders(高リスク注文のキャンセル)」や「Capture payment if order is not high fraud risk(高リスクでない場合に支払い確定)」といったテンプレートが見つかります。今回は「Cancel high-risk orders」を利用しましょう。テンプレートを選択し、「ワークフローをインストール」をクリックすると下書きとして追加されます(もちろんゼロから自分で作成することもできます)。
-
ワークフロー内容の確認・調整:追加したワークフローを開き、その内容を確認します。基本的な構成は「トリガー:Order risk analyzed(注文のリスク分析完了時)」「条件:注文のリスクレベル == 高」「アクション:注文をキャンセル」になっているはずです。 (Shopify Help Center | Managing high-risk orders with Shopify Flow)で述べられているように、トリガーは必ず「Order created」ではなく「Order risk analyzed」を使用します。こうすることで、Shopifyの不正解析が完了したタイミングでワークフローが実行され、高リスク判定を正しく捉えられます。条件部ではリスクレベルが「高」の場合に進むよう設定されており、アクション部で「Order cancel(注文キャンセル)」「在庫を元に戻す(refund and restock)」処理が自動実行されます。(実際にキャンセルまで実行するかどうかは、ストアの運用に合わせて、アクションを調整してください)
-
タグ付けや通知の追加(オプション):必要に応じて、キャンセルされた注文に自動でタグを付けたり、スタッフにメール通知を送るアクションを追加することもできます。例えば「不正注文リスク:高」といったタグを付与しておけば、後からフィルタリングしたり、注文管理画面にタグの列を追加するとでキャンセル履歴を確認しやすくなります。
さらにタグを付与すれば、WMSツール(倉庫管理ツール)で自動配送している場合でも、タグが付与された注文に対してのみ発送を確認待ちに停止するなどの運用を組み合わせることが可能です。
また管理者メールアドレス宛に「高リスク注文を自動キャンセルしました」という通知を送れば、万一誤判定でキャンセルされた場合にもすぐに気付けて安心です。
-
ワークフローの有効化:ワークフローの設定が完了したら、画面右上の「有効化(Activate)」ボタンを押してオンにします。これで設定は完了です。以後、不正リスクが高いと自動判定された注文が入ると、Flowが即座にその注文を判別しメールを送ったり、必要に応じてキャンセルまで自動で行ってくれます。
以上がShopify Flowによる不正注文自動キャンセルの一例です。このようにFlowを活用すれば、不正が強く疑われる注文を人手を介さずブロックすることができます。Shopify Plusプランをご利用の場合は、さらに高度なワークフローや他システムとの連携も可能ですが、通常プランでも今紹介したような基本的な不正対策オートメーションは十分実現できます。
4. おすすめアプリ
Fraud Control
Fraud Controlは、不正リスクの可視化・自動対応をサポートするShopify公式アプリです。
いわゆる純正アプリなので無料であることが非常に大きな利点で、かつ標準機能の分析画面やダッシュボードとの相性も良く、また、不正注文を事前にブロックすることも可能です。
5. まとめ
Shopifyストアにおける不正注文対策について、基本から具体的な設定方法まで解説しました。不正注文は放置すると金銭的損失だけでなくストアの信用にも関わる重大なリスクですが、Shopifyの持つ機能を活用し、適切に対処することでその被害を大きく減らすことができます。
まずShopify標準の不正解析機能を理解し、有効に活用しましょう。日常的に注文一覧に表示されるリスク表示に目を配り、怪しい注文は必ず発送前に確認するクセをつけてください。特に高額商品を扱う場合や不審な点がある場合は、「念には念を」の慎重さが求められます。
そして、すぐに実践できる対策から始めましょう。上で挙げたチェックリストの項目(住所やIPの確認、連絡先検証など)は、追加コストなしで今日から実行できます。不正が疑われる注文に対しては、思い切ってキャンセルする勇気も必要です「売上が惜しい」という気持ちを抑えてリスク回避を優先する判断が、長期的にはストアを守ることにつながります。
さらに一歩進んだ対策として、Shopify Flowによる自動化や不正防止アプリの導入も検討してみてください。不正注文検知ワークフローを用意しておけば、忙しい時期でも見落としなく不正対応が可能です。加えて、どうしても不安が拭えない場合はサードパーティの不正検知サービス(例:かっこ株式会社のO-PLUXなど (ECサイトのセキュリティ対策:不正注文や詐欺を減らす5つの方法 - Shopify 日本))や、Shopify公式パートナーが提供する不正防止アプリを活用するのもオプションです。これらは高度なアルゴリズムやデータベースを駆使して不正リスクをスコアリングしてくれるため、独自に判断するより精度が上がる場合があります。
最後になりますが、不正注文対策は継続的な取り組みです。ネット犯罪の手口は日々巧妙化していますので、最新の情報にもアンテナを張りつつ、ストアのセキュリティポリシーを定期的に見直してください。ワークフロー等で疑わしい注文への対応プロセスを整備し、万一の被害に備えてチャージバック保険等を検討しておくことも有効です。適切な対策を講じておけば、安心・安全にビジネスを成長させていくことができるでしょう。
株式会社Tsuzucleでは、上記でご紹介した不正注文の基本対策はもちろん、ストアやブランドに合わせた最適な技術サポートを提供しています。ご相談は、下記のリンクよりお気軽にお問い合わせください。
お問い合わせ:https://tsuzucle.com/pages/contact
メールアドレス:info@tsuzucle.com
Xアカウント:https://x.com/tsuzucle
Discussion