
この記事はKOMOJUが提供しています。
KOMOJU(コモジュ)は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。
クレジットカード決済は、キャッシュレス決済の約8割を占めます。その分、不正利用による被害も年々増加しており、2024年には被害総額が過去最高の約555億円に達しました。
こうした被害は、ユーザーの不注意にとどまらず、ECサイト(ネットショップ)の事業者側のセキュリティ対策の不備によって発生するケースも少なくありません。不正利用が発覚すれば、チャージバックによる金銭的損失や、ブランドへの信頼低下といった深刻な影響が、事業者に直接降りかかります。
この記事では、クレジットカード不正利用の原因やリスク、対策、早期発見の方法、発生時の対応方法を解説します。
クレジットカード決済で不正利用される原因

クレジットカードの不正利用が発生する代表的な原因を、ユーザー側とEC事業者側に分けて解説します。
ユーザー側の不注意によるもの
ユーザー自身の不注意によってクレジットカード情報の漏えいにつながるケースについて解説します。
クレジットカードを紛失する
カード本体を落としたり置き忘れたりすることで、第三者に利用されるリスクが発生します。特に、署名欄が空欄の場合や、本人確認が徹底されていない店舗では、不正に使われてしまうリスクが高まります。
ICチップが搭載されていないカードを使用する
ICチップのないクレジットカードは、情報が暗号化されていないため、スキマーと呼ばれる機器でカードの磁気部分に記録された情報が簡単に盗み取られてしまいます。また、ICチップがないカードはサイン決済も可能なことから、署名欄の字体をまねされるなど不正利用を引き起こしやすいです。
フィッシングサイトにカード情報を入力する
偽のWebサイトに誘導され、ユーザーがカード番号や有効期限、セキュリティコードなどを入力してしまうことで、カード情報を読み取られる被害もあります。公式サイトとそっくりな画面が用意されていることもあり、被害者が気づきにくいのが特徴です。
カード情報の入力画面を他人に覗き見される
カフェや公共施設など、人目の多い場所でクレジットカード情報を入力した際に、背後から画面を見られてしまうケースです。店員や警察になりすました人物が、セキュリティチェックと見せかけ、本人の前でカード情報を不正に読み取るケースもあります。
安全性の低いWi-Fiで決済を行う
無料Wi-Fiなど暗号化が施されていないネットワークを使って決済を行うと、通信内容を盗み見られる恐れがあります。SSL対応していないWebサイトの利用も、カード情報が漏えいする可能性が高まります。
事業者側の不備によるもの
EC事業者が管理するシステムやデータベースに不備がある場合、そこからクレジットカード情報が漏えいする危険性があります。
セキュリティ基準(PCI DSS)を満たしていない
クレジットカード情報を扱うにあたって、業界で定められたデータセキュリティの国際基準「PCI DSS」への準拠が求められます。これに対応していないシステムでは、データの保護体制が不十分であり、情報漏えいリスクが高くなります。
▶あわせて読みたい:PCI DSSとは?準拠のメリットや認証取得の方法をわかりやすく解説
Webサイトに脆弱性がある
古いCMSやプラグインの使用、定期的なセキュリティ診断の未実施などによって、Webサイトに脆弱性が残ったまま運用されていると、不正アクセスの標的になります。カード情報に直接アクセスされるケースもあるため、プログラム更新や脆弱性対策は欠かせません。
ユーザー情報の適切な保管・削除を怠る
ユーザーのカード情報や個人情報を必要以上に長期間保存している場合、万が一攻撃を受けた際に被害が拡大しやすくなります。情報の最小化と定期的な削除は、漏えいリスクの軽減につながります。
クレジットカードの不正利用被害額は2024年に555億円を記録
クレジットカードの不正利用は年々深刻化しており、業界全体が高いリスクにさらされています。一般社団法人日本クレジット協会の統計によると、2024年の不正利用被害額は過去最高の約555億円を記録しました。
▼クレジットカード不正利用被害の発生状況

画像引用:一般社団法人日本クレジット協会「クレジット関連統計 – 四半期調査:クレジットカード不正利用被害額調査」
2024年の不正利用被害の92.5%は「クレジットカード番号の盗用」が原因であり、オンライン取引で多く発生していると見られます。
ECサイト上では、カード番号だけでなく個人情報も盗みのターゲットになり得ます。ブランド品など換金性の高い商品を取り扱っているサイトや、詳細な会員情報を保持しているサイトでは、特に注意が必要です。
事業者がクレジットカードの不正利用対策を怠るリスク
クレジットカードの不正利用が発生した際に、EC事業者がどのようなリスクに直面するのかを解説します。
チャージバックによる金銭的損失
事業者が運営しているECサイト上でクレジットカードの不正利用が発覚すると、事業者は商品代金を返金する「チャージバック」の対応を求められることがあります。チャージバックとは、クレジットカードの利用者が身に覚えがない取引として異議を申し立てた場合に、カード会社が決済を取り消す仕組みです。事業者はその取り消された分の代金をクレジットカード会社に払い戻します。
▼チャージバックの流れ

画像引用:KOMOJU
商品がすでに発送済みであっても、事業者側がその金額を負担することになります。このような被害が繰り返されると、決済代行会社やカードブランドから警告を受けたり、取引制限を課されたりすることもあります。
3Dセキュアという本人認証サービスを事業者が導入していれば、不正利用があっても事業者側の責任にはならず、原則としてカード会社がキャンセル分を負担することになります。また、「チャージバック保険」の導入を検討するのも一つの手段です。あらかじめ保険料を支払うことで、チャージバック発生時の損害が一定額まで補償されます。
▶あわせて読みたい:【EC事業者向け】チャージバックとは?基本的な仕組みから対策まで解説
社会的信頼の低下
セキュリティ対策不足によりユーザーに被害が発生すると、よくない評判がSNSや口コミで広まり、社会的信頼の低下を招きかねません。顧客離れが加速し、金銭的損失だけでなく、ブランド価値の低下という長期的かつ深刻なダメージを引き起こす可能性があります。
クレジットカードの不正利用対策7選

クレジットカードの不正利用のリスクを最小限に抑えるには、事業者側の対策が欠かせません。
クレジットカード決済を扱うEC加盟店が必ず確認すべきなのが「クレジットカード・セキュリティガイドライン」です。クレジット取引セキュリティ対策協議会により、2025年3月に6.0版が策定されました。
ここでは、「クレジットカード・セキュリティガイドライン」にある代表的な7つの不正利用対策を紹介します。
カード情報の非保持化
ユーザーのカード情報を自社サーバー上に一切保存しない「非保持化」は、不正利用のリスクを大幅に軽減する手段として推奨されています。カード情報がサイト内に残らなければ、仮に不正アクセスを受けたとしても、情報漏えいの被害を回避できるという考えです。
方法としては決済ページのリンクを貼るリンク型と、決済代行会社によりユーザーから決済サービスへ直接つなげるトークン型があります。近年は、トークン型が主流です。カード情報非保持化をしても万全な対策とは言えないため、定期的にシステムの点検を行うことが求められています。
▶あわせて読みたい:トークン決済とは? クレジットカード情報を保持せず決済可能に
PCI DSSに準拠
PCI DSSとは、クレジットカードの国際的なセキュリティ基準です。EC加盟店はカード番号の非保持化か、PCI DSSへの準拠のどちらかが原則義務付けられているため、カード番号を保持する場合は必ず準拠しなければなりません。認定されるには、訪問審査か自己問診の方法があり、四半期ごとの点検を受けることが必要です。
▶あわせて読みたい:PCI DSSとは?準拠のメリットや認証取得の方法をわかりやすく解説
3Dセキュア2.0の導入
3Dセキュア2.0(本人認証サービス)は、決済時にカード所有者しか知り得ないパスワードなどを入力させることで、第三者によるなりすましを防ぐものです。ワンタイムパスワードや生体認証、合言葉などがあります。2025年3月末をもって導入が義務化されています。
カードの使用履歴から、カード所有者が普段と違った使い方をしたと判断するリスクベース認証の機能も備わっているのが特徴です。リスクが検知された場合は、追加で本人認証が行われます。
▶あわせて読みたい:3Dセキュアとは?仕組みやメリット、利用手順について解説
クレジットカード決済端末のIC化
スキミングによる情報盗用を防ぐため、IC化された決済端末の利用が原則義務付けられています。カード情報を盗み取るのに使われる機器をスキマーといい、コンビニのATMや飲食店のレジなど、日常的な決済の場で仕掛けられることもあります。情報が盗み取られると偽造カードが作られる恐れがあるため、決済端末でもIC化は必須です。
決済端末がIC化されると、情報を暗号化するICチップ付きのクレジットカードのみが利用可能となり、タッチ決済以外は暗証番号の入力が必要となります。
セキュリティコードの確認
セキュリティコード(CVV/CVC)の入力を必須にすることで、カード番号を不正に取得した第三者による利用をある程度防ぐことができます。
セキュリティコードは、カード裏面に記載されている数字3桁か、表面の数字4桁のコードのことで、実際にカードを所持していなければ知ることができません。そのため、情報漏えいによる番号の悪用に対する一定の抑止力となります。
ただし、セキュリティコードも完全ではなく、フィッシング被害などで盗まれるケースもあるため、他の対策と併用することが望まれます。
▶あわせて読みたい:クレジットカードのセキュリティコードとは?仕組みや番号の意味をわかりやすく解説
配送先情報の蓄積
ユーザーの過去の配送先情報を蓄積・分析することで、不審な注文を事前に検知できる可能性があります。
たとえば、いつもと異なる都道府県や住所宛てに高額商品を発送する注文が入った場合、発送前にメールや電話で確認したりするなど本人確認を強化できます。過去に不正利用が発生した配送先や電話番号をブラックリスト化する運用も、再発防止につながります。
不正検知システムの導入
不正検知システムは、AIやルールベースで不正な注文を自動で判別するシステムです。金額や購入回数、IPアドレス、配送先、ブラウザ環境などの情報から、一定のルールをもとに疑わしい取引を自動的に検出します。被害発生時の記録管理やレポート作成も簡略化でき、事業者の業務負担を軽減します。決済代行サービスとセットで提供されているケースもあります。
▶あわせて読みたい:クレジットカードの不正検知システムとは? 仕組みやメリット、注意点を解説
クレジットカードの不正利用を早期発見する方法

不正利用による被害を最小限に抑えるには、早期発見が何よりも重要です。ユーザー側は日常的に確認し、事業者側も不審な注文に目を光らせる必要があります。ここでは、それぞれの立場で実践できる早期発見の方法を紹介します。
ユーザー:利用明細をこまめに確認
ユーザーがクレジットカードの不正利用にいち早く気づくには、クレジットカードの利用明細を日常的にチェックすることが最善策です。
身に覚えのない決済や、普段使わないショップでの購入履歴がないかを意識して確認しましょう。数百円以下の少額決済が続いている場合は、使えるカードかどうかを犯人が試している可能性があります。ほとんどのカード会社では不正利用から60日までを補償の対象としているため、補償期間が過ぎる前の確認が重要です。
カード利用時にメールやアプリからリアルタイム通知が届くように設定すれば、不正な取引を即座に把握できます。設定は各社のマイページやアプリから簡単に行えるため、すぐに導入できる対策です。
事業者:注文をリアルタイムにモニタリング
不正利用を早期に見抜くには、注文データをリアルタイムで監視し、異常を察知することが重要です。以下のような兆候があれば、不正利用やボットによる大量注文の可能性があります。
- 異常に高額、または極端に少額な注文
- 同じIPアドレスから短時間での連続注文
- いつもと異なる配送先への大量注文
- ブラウザ言語やアクセス元の国がユーザーと一致しない
- 初回注文で複数商品を一度に購入する
不正検知システムを併用すれば、人的リソースに頼らず効率的な監視が可能になります。後ほどご紹介します。
ユーザーが不正利用に気づいたときの対応方法
万が一、不正利用に気づいた場合は、すぐに行動を起こすことで被害の拡大を防ぐことができます。ここでは、一般的なクレジットカード不正利用に対する対応フローを紹介します。
カード会社に連絡し停止手続きをする
最優先で行うべきは、カード会社への連絡とカードの停止です。不正な取引が発生している最中でも、カード会社に連絡することで即時停止できます。多くのカード会社は24時間対応の緊急窓口を設けており、状況に応じたアドバイスや手続きを受けられます。早期に対応し、不正利用を断ち切りましょう。
クレジットカードを再発行する
カード情報が漏えいしている可能性がある場合は、速やかにカードを再発行しましょう。一度不正利用されたカードは、たとえ利用停止しても再び悪用されるリスクがあります。再発行により新しいカード番号が発行されれば、旧カードは完全に無効化されます。再登録には多少の手間がかかりますが、安全を最優先するなら必須の手続きです。
高額被害の場合は警察へ相談する
被害額が大きい場合や悪質な詐欺が疑われる場合は、警察への相談・通報も検討しましょう。不正利用があった場合の被害者はカード会社になるため、警察への被害届はカード会社からキャッシュバックを受けられない場合に行うのが適切です。しかし、まずは相談だけでもよいでしょう。サイバー犯罪として扱われれば、それに応じた調査が行われます。
事業者が不正利用に気づいたときの対応方法
不正な注文が疑われる場合、事業者には迅速かつ適切な対応が求められます。ここでは、商品発送の前後に分けて、取るべき対応を解説します。
商品発送前:発送を保留し、ユーザーに注文を確認する
不正利用の疑いがある場合は、商品を発送せずに、購入者本人へ連絡して注文したかどうかを確認しましょう。メールに加えて電話でも本人確認をし、第三者が注文していたことがわかったら、注文のキャンセル手続きを進めるとともに、今後の支払い方法の変更を依頼するのが賢明です。
本人と連絡がつかない場合も、注文をキャンセルするのが無難です。決済前であれば、カードが有効かどうかカード会社に確認するオーソリ(与信枠確保)という作業プロセスを解除することで、キャンセルできます。決済依頼後でも、14日以内であればカード会社にキャンセル依頼が可能です。15日以降は事業者が購入者に直接返金対応を行う必要があります。
なお、本人確認には一定の時間がかかるため、実際には正当な注文だった場合に配送の遅延が発生するリスクもあります。セキュリティ対策のために行っていることを説明するなど、安心して利用できるサイトであるとユーザーに認識してもらえるような工夫が必要です。
商品発送後:カード会社・決済代行業者へ連絡する
すでに商品を発送してしまった場合は、ただちにカード会社や決済代行業者に連絡を取り、対応を確認することが重要です。チャージバックの対象になるか、補償制度が適用されるかどうかは、被害状況や契約内容によって異なります。早期に連絡することで、取引停止や返金手続きなど、事後対応に備えやすくなります。
なお、発送済みの商品を回収できる可能性は極めて低く、配送コストや商品の損失は基本的に事業者側の負担となります。また、チャージバックが承認され、ECサイトの本人認証が不十分だと判断された場合は、事業者が商品代金をカード会社に返金しなければなりません。
不正注文を記録・保存する
不正が疑われる注文の情報は詳細に記録・保存しておくことが重要です。カード会社からの問い合わせ対応や警察への相談時に役立つだけでなく、今後のトラブル対応や再発防止のための判断材料にもなります。
注文日時、利用されたIPアドレス、使用されたブラウザの種類・言語設定、購入商品の内容や個数、配送先住所、電話番号、決済情報などを記録しておきましょう。
まとめ|クレジットカードの不正利用対策でECサイトの信用を高めよう
クレジットカードの不正利用は、ユーザーの不注意によるだけでなく、事業者側のセキュリティ体制や運用フローの甘さによっても引き起こされます。EC事業者は、3D セキュアや不正検知システムを導入するなど、セキュリティ対策が必須です。
決済代行サービス「KOMOJU」では、不正検知システムと「3D セキュア 2.0」を無償で提供しています。追加の開発なども不要です。AI技術を活用してIPアドレスや決済方法など様々なパラメータを検証し、不正利用を防いでいます。さらに、クレジットカード業界において世界レベルの最新セキュリティ基準「PCI DSS Level 1 v4.0」に完全準拠しています。
ECサイトに決済手段を導入の際は、ぜひKOMOJUご検討ください。

この記事はKOMOJUが提供しています。
KOMOJU(コモジュ)は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。