「2026 年に入りクレジットカード不正利用被害が初めて減少に転じたと聞いたが、対策の手は緩めていいのか」
「Web スキミングや AI フィッシングなど、新しい手口が EC サイトを狙っていると聞き不安」
「クレジットカード・セキュリティガイドライン 6.1 版で、加盟店として何を追加実装すべきか分からない」
決済セキュリティのトレンド は 2026 年に大きな転換点を迎えています。EMV 3-D セキュアの 2025 年義務化、PCI DSS v4.0 の経過措置終了、そして 2026 年 3 月公表のクレジットカード・セキュリティガイドライン 6.1 版により、EC 加盟店は「線の考え方」での多層防御を求められるようになりました。一方で攻撃側も Web スキミング・リアルタイムフィッシング・AI を悪用した不正注文と進化しており、加盟店の対策は決して緩められません。本記事では、2026 年最新の脅威動向と必須対策を整理し、明日から取り組める実装ロードマップを解説します。
2026 年の決済セキュリティ環境|数字で見る最新動向
日本クレジット協会の最新統計では、2025 年通年のクレジットカード不正利用被害額は約 510.5 億円となり、2014 年以降で初めて前年比減少 (約 7.4% 減) に転じました。EMV 3-D セキュアの義務化 (2025 年 3 月末) と、ガイドライン 6.0 版の浸透が効果を発揮した形です。
カード情報流出事件の動向
- 2025 年通年の流出事件件数: 21 件 (前年比 16 件減)
- 流出件数: 約 24.6 万件 (前年比約 29.4 万件減)
- 流出経路: EC サイトの Web スキミングが約 7 割を占める
新たな脅威の台頭
- Web スキミング: 非保持化済 EC サイトでも JavaScript 改ざんでカード情報を窃取
- リアルタイムフィッシング: ワンタイムパスワードまでリアルタイムに窃取する高度な手口
- AI フィッシング: 生成 AI で本物そっくりの偽サイト・偽メールを大量生成
- データ改ざんによる不正注文: 決済金額や配送先を書き換える攻撃
被害額減少の裏で、攻撃の高度化・組織化は確実に進んでおり、加盟店の油断は禁物です。
クレジットカード・セキュリティガイドライン 6.1 版の要点
2026 年 3 月にクレジット取引セキュリティ対策協議会から公表された クレジットカード・セキュリティガイドライン 6.1 版 は、6.0 版の枠組みを継承しつつ「線の考え方」を加盟店に対して具体化した内容です。
EC 加盟店に課される 4 つの大柱
- 脆弱性対策: 管理機能の利用制限、安全な開発・運用、脆弱性診断の定期実施
- 不正ログイン対策: 多要素認証、ログイン試行回数制限、不審ログイン検知
- EMV 3-D セキュアの導入: 2025 年 3 月末から全 EC 加盟店義務化
- 不正利用対策の高度化: 線の考え方による決済前・決済時・決済後の多層防御
「線の考え方」とは
従来の「点」の対策 (EMV 3-D セキュア単独・不正検知単独) ではなく、決済プロセスの時系列に沿って対策を組合せる発想です。
- 決済前: 不審ログイン検知、デバイス指紋による異常検知
- 決済時: EMV 3-D セキュア 2.x、リスクベース認証
- 決済後: AI 不正検知 による異常注文検出、配送前の人手レビュー
高リスク加盟店への追加要件
3 か月連続で不正利用が 50 万円を超える加盟店は、追加対策の実装が義務付けられます。配送停止・本人確認の追加・利用上限額の設定など、不正パターンに応じた措置を要求されます。
EMV 3-D セキュア 2.x|2026 年現在の実装ベストプラクティス
EMV 3-D セキュアは 2025 年 3 月末から全 EC 加盟店で義務化され、現在は 2.x 系 (リスクベース認証対応) が事実上の標準です。
導入時の 4 つのポイント
- リスクベース認証の活用: 全件パスワード入力ではなく、リスクが高い取引のみ追加認証
- デバイスフィンガープリンティング情報の送信: 認証精度向上のために必要
- カゴ落ち対策との両立: フリクション最小化のために 3DS Server のチューニングが重要
- 例外フロー (Frictionless) の設計: 低リスク判定時の挙動を明確化
導入実装の具体は EMV 3-D セキュア実装ガイド を参照ください。
Web スキミング対策|非保持化していても安心できない理由
Web スキミングは、EC サイトの決済画面に攻撃者が JavaScript を埋め込み、顧客が入力したカード情報をリアルタイムに窃取する手口です。トークン決済 による非保持化を達成していても、決済画面に攻撃 JS が混入すれば情報窃取が成立してしまいます。
主な侵入経路
- EC プラットフォームのプラグイン・拡張機能の脆弱性
- 外部読み込み JavaScript (タグマネージャ・分析ツール) のサプライチェーン攻撃
- 管理者アカウントの乗っ取り後の決済画面改ざん
- サーバー設定不備による意図しない外部スクリプト読み込み
必須の 5 つの対策
- CSP (Content Security Policy) の厳格設定: 許可した外部ドメインのみ JS 実行を許可
- SRI (Subresource Integrity) の活用: 外部 JS のハッシュ検証で改ざん検知
- WAF (Web Application Firewall) の導入: 不審な書き換えを遮断
- 管理画面の多要素認証: 管理者アカウント乗っ取りの防止
- 定期的な脆弱性診断と改ざん検知: 月次の自動診断 + 即時アラート
PCI DSS v4.0|2025 年経過措置終了後の対応
カード情報を取り扱う事業者向けの国際基準である PCI DSS は、v4.0 の経過措置 (新規要件 64 項目の段階適用) が 2025 年 3 月末で終了しました。2026 年現在、全 64 項目が本番運用に求められています。
v4.0 で追加された主要要件
- カスタマイズドアプローチ (要件の柔軟適用) の運用
- 多要素認証の対象範囲拡大 (全システムアクセスに適用)
- EC サイト決済画面のスクリプト改ざん検知 (Web スキミング対策)
- フィッシング対策の体系的実装
- リスク分析手法の文書化と定期見直し
非カード情報非保持化事業者への影響
トークン決済等で「非保持化」を達成している EC 加盟店も、決済画面の改ざん検知 (要件 6.4.3 / 11.6.1) は適用範囲となります。非保持化していても完全に PCI DSS 範囲外にはなれない点に注意が必要です。
AI を悪用した新たな脅威と対策
AI フィッシングの脅威
生成 AI を悪用すると、本物と見分けがつかない偽サイト・偽メールを大量生成できます。日本語の不自然さで見抜けた従来手法は通用しなくなり、本物の Web サイトを完全コピーしたフィッシングサイトが数分で量産されています。
リアルタイムフィッシング
顧客が偽サイトに入力した情報を、攻撃者が即座に本物サイトに入力してログイン・決済を実行。SMS で届くワンタイムパスワードも顧客に入力させ即座に使用する手口です。リスクベース認証 (デバイス・行動・地理情報の異常検知) でしか防御できません。
AI を活用した防御側の進化
攻撃側だけでなく防御側も AI を活用しており、AI 不正検知エンジンは数千件の取引データから異常パターンをリアルタイムに検出。AI 不正検知 の導入は、もはや大手 EC だけでなく中堅 EC でも標準装備となっています。
業種別の決済セキュリティ重点ポイント
EC サイト (BtoC)
Web スキミングが最大の脅威。CSP / SRI / WAF の三層と EMV 3-D セキュアの組合せが必須。
サブスク・SaaS 事業
初回登録時の不正登録 (盗難カードでの登録) と、リカーリング決済での継続的な不正使用が課題。本人確認の強化と決済後の取引監視を組合せる。
デジタルコンテンツ (ゲーム・動画)
不正取得アカウントでの少額多発購入と、配送がないため不正後の即時利用が課題。初回購入時のリスクスコアリングと、購入頻度の異常検知が重要。
物販系 EC
高額商品の盗難カード購入 + 即時転売が典型。配送前の人手レビューと、配送先住所の異常検知を組合せる。
多層防御の実装ロードマップ
限られた予算と人員で効果的に対策を実装する優先順位を提示します。
フェーズ 1: 法令・ガイドライン必須対応 (1〜3 か月)
- EMV 3-D セキュア 2.x の導入 (未対応の場合は即時)
- カード情報の非保持化 (トークン決済への切替)
- PCI DSS v4.0 の自己問診 (SAQ) 実施
- 管理画面の多要素認証実装
フェーズ 2: Web スキミング対策 (1〜2 か月)
- CSP の厳格設定 (許可ドメインの最小化)
- SRI による外部 JS の整合性検証
- WAF の導入と定期的なルール更新
- 決済画面の改ざん検知サービス導入
フェーズ 3: 不正検知の高度化 (2〜3 か月)
- AI 不正検知エンジンの導入
- リスクベース認証のチューニング
- 配送前人手レビュー業務フローの整備
- 不正利用パターンの月次レビューと閾値見直し
フェーズ 4: 継続的セキュリティ運用 (恒常)
- 四半期の脆弱性診断
- 年次の PCI DSS 評価
- 従業員教育 (フィッシング訓練等)
- インシデントレスポンス体制の整備と訓練
よくある質問
Q1. EMV 3-D セキュアを導入すれば不正利用は防げますか?
3-D セキュアだけでは不十分です。リアルタイムフィッシングなど 3-D セキュアの認証を回避する手口が増えており、AI 不正検知や Web スキミング対策と組合せた多層防御が必須です。
Q2. PCI DSS 認証は中小 EC 事業者でも取得が必要ですか?
トークン決済等でカード情報を非保持化していれば、自社での認証取得は不要なケースが大半です。ただし PCI DSS v4.0 で導入された決済画面のスクリプト改ざん検知 (要件 6.4.3 / 11.6.1) は非保持化事業者にも適用されます。
Q3. Web スキミングを 100% 防ぐ方法はありますか?
100% は困難ですが、CSP / SRI / WAF / 改ざん検知の組合せでリスクを大幅低減できます。決済画面に外部 JS を読み込まない設計が最も安全です。
Q4. AI 不正検知の導入コストはどのくらいですか?
SaaS 型なら月額数万円から導入可能。決済金額に応じた従量課金型もあり、月商 1,000 万円規模の EC でも初期費用ゼロで導入できるサービスが増えています。
Q5. クレジットカード・セキュリティガイドライン 6.1 版に従わないとどうなりますか?
カード会社との加盟店契約に違反するため、加盟店契約解除のリスクがあります。不正利用が継続発生した場合は、損害賠償や追加対策費用の負担も発生し得ます。





