「フィッシング詐欺って、具体的にどんな手口なの?」
「うちのECサイトのお客様が被害に遭ったらどうなる?」
「事業者としてできる対策はある?」
本物そっくりの偽サイトやメールで、カード情報やパスワードをだまし取る「フィッシング詐欺」。被害はあとを絶たず、EC事業者にとっても、お客様を守り、不正利用による損失を防ぐために無視できない脅威です。
この記事では、フィッシング詐欺とは何かという基本から、手口、消費者の対策、そしてEC事業者が取るべき対策までを、わかりやすく解説します。
フィッシング詐欺とは?
フィッシング詐欺とは、実在する企業やサービスになりすまし、偽のメールやSMS、Webサイトを使って、クレジットカード番号・パスワード・個人情報などをだまし取る詐欺です。「fishing(釣り)」をもじった言葉で、巧妙な“エサ”で利用者を誘い込みます。
「フィッシング」という言葉は、魚釣りのように“エサ”で獲物をおびき寄せることに由来します(綴りはphishing)。手口が巧妙化しており、専門家でも一見して見分けるのが難しいケースもあります。
主な手口
典型的な手口は、「カードが不正利用されました」「アカウントを確認してください」といった不安をあおるメールやSMSを送り、本物そっくりの偽サイトへ誘導するものです。利用者が偽サイトに情報を入力すると、その情報が犯人の手に渡ってしまいます。
近年は、宅配便の不在通知や金融機関、大手ECサイトをかたるものなど、手口が非常に巧妙になっています。
メールだけでなく、SMS(ショートメッセージ)を使った「スミッシング」と呼ばれる手口も増えています。スマホに届く短いメッセージからの誘導は、つい信じてしまいやすいため注意が必要です。
正規のメールと見分けがつかないほど精巧な偽サイトも多く、「送信元が本物に見えるから安心」とは限りません。少しでも不審に感じたら、リンクを踏まずに公式サイトで確認する習慣が大切です。
フィッシングで狙われるもの

フィッシングで狙われる情報には、次のようなものがあります。
- クレジットカード情報…カード番号・有効期限・セキュリティコード。
- ログイン情報…IDやパスワード。
- 個人情報…氏名・住所・電話番号など。
とくにカード情報は、盗まれるとそのまま不正利用(なりすまし決済)につながります。セキュリティコードの役割はセキュリティコードとはもご覧ください。
これらの情報がまとめて盗まれると、犯人はカードでの不正決済や、アカウントの乗っ取りを行えてしまいます。被害は金銭だけでなく、個人情報の悪用にも及びます。
消費者ができる対策

利用者側の基本的な対策は、次のとおりです。
- メールやSMSのリンクを不用意にクリックしない。
- 公式アプリやブックマークから正規サイトにアクセスする。
- URLや送信元アドレスが正規のものか確認する。
- 身に覚えのない請求は、カード会社にすぐ連絡する。
「少しでも怪しいと思ったら入力しない」ことが、被害を防ぐ第一歩です。
また、スマホやパソコンのOS・ブラウザを最新の状態に保つ、セキュリティソフトを使う、カードの利用明細をこまめに確認する、といった日頃の対策も有効です。
とくに利用明細の確認は、万一不正利用されても早期に気づける有効な手段です。見覚えのない少額の請求が、後の大きな被害の予兆であることもあります。
EC事業者が取るべき対策

フィッシングは消費者を狙う詐欺ですが、盗まれたカード情報は自社サイトでの不正利用(なりすまし決済)に使われる可能性があります。EC事業者にも、次のような対策が求められます。
「詐欺は消費者の問題」と考えがちですが、盗まれたカードが自社サイトで使われれば、被害は事業者にも及びます。攻める側から見れば、対策の甘いサイトほど狙われやすいのです。
本人認証(3Dセキュア)を導入する
3Dセキュア(本人認証サービス)を導入すると、カード決済時に本人確認の手続きが加わり、なりすまし決済を防ぎやすくなります。詳しくは3Dセキュア義務化とはをご覧ください。
3Dセキュアは、EC事業者にとって導入が求められる標準的な対策になりつつあります。カード情報だけでは決済を完了できなくすることで、盗まれた情報の悪用を大きく防げます。
カード情報を持たない(非保持化)
自社でカード情報を保持しなければ、万一サイトが攻撃されても情報が漏れません。非保持化は、フィッシングの温床となる情報漏洩を防ぐ基本対策です。詳しくはカード情報の非保持化とはをご覧ください。
そもそも事業者がカード情報を持っていなければ、その事業者が攻撃されても流出するカード情報はありません。フィッシングに使われる情報の“供給源”を断つ、という意味でも重要です。
不正検知の仕組みを使う
不審な取引を自動で検知する仕組みを使えば、なりすまし決済を早期に止められます。AIを活用した不正検知についてはAI不正検知の仕組みで解説しています。決済全体のセキュリティ動向は決済セキュリティの最新トレンドも参考になります。
これらの対策は、一つだけで完璧というものはありません。本人認証・非保持化・不正検知を組み合わせ、多層的に守ることが、なりすまし決済を防ぐ現実的なアプローチです。
フィッシング被害と決済(チャージバック)

盗まれたカードで自社サイトが不正利用されると、後日、本来の利用者からの申し立てで売上が取り消される「チャージバック」が発生することがあります。これは事業者にとって、商品も代金も失うリスクにつながります。チャージバックについてはチャージバックとはで解説しています。
本人認証や不正検知は、こうした損失から事業者自身を守る対策でもあるのです。
不正利用による損失は、積み重なると経営に響きます。対策への投資は、単なるコストではなく、損失を防ぐための備えと捉えるべきです。
フィッシング詐欺に関するよくある疑問
不正利用された場合、誰が負担する?
利用者に過失がなければ、多くの場合カード会社の補償で利用者は守られます。一方、不正利用が行われた加盟店側は、チャージバックで代金を失うことがあります。
3Dセキュアを入れれば安全?
リスクを大きく下げられますが、万能ではありません。非保持化や不正検知など、複数の対策を組み合わせることが重要です。
自社をかたるフィッシングが出回ったら?
お客様への注意喚起を速やかに行い、公式サイトやSNSで正規の連絡方法を周知しましょう。関係機関への報告も検討します。放置すると、ブランドへの信頼低下につながります。

