見出し画像

Shopify構築日記 #116 不正利用の疑いがある

北山浩 | notエンジニア

 いつもお読みいただき誠に有難うございます。今日はShopifyの標準機能にある不正利用検知についてと、出たときにどのような対応をしているか?をご紹介します。

タイミングよく揃ったので(笑)。全くそのようなことがないというマーチャントさんはうらやましく思います。

 まず、これから紹介するサイトは高額商品を取り扱っており2次流通でも意外と多く詐欺りやすいアイテムとも言えます。という事もあり、サイトによって自動決済と手動決済に分けています。

管理画面の歯車⇒決済の画面で設定します。

 見ての通り、支払いの確定のところが【手動】になっています。これは注文一つ一つを確認したうえで通ったオーソリに対して確定させていく作業が入ります。

注意:通ったオーソリは7日間しか保持しませんのでそれまでに確定必須

 

注文内容の右下にある不正解析

 こちらを見て頂ければ幸いです。ほとんどの注文はリスク低で問題ありませんが、たまにリスク中とかリスク高とか出ると身構えてしまいます。
 リスク中の場合は、そんなに心配しなくても良いかな?と思います。一応画面に出ているリンク=完全な分析を確認するを見てみます。大体の場合は、住所とIPロケーションが離れている場合が多いです。一応念のためにグーグルマップ等で住所の周りを確認するようにはしています。


プロクシを利用するとロケーションが遠くなりアラートが立ちます

 セキュリティ関連のお仕事をしている人なら当然かな?と思ったりします。IPの偽装はネットで調べればいくらでも可能なので。。。この程度がリスク中です。

では、リスク高ってどうなもの??画面上にはこんな感じでアラートが立ちます。

赤い△にビックリマーク

 今回はチャージバックの申請が入った注文で説明していきます。
先にも述べたように、こちらのサイトは手動で決済を確定させていきます。このリスク高が出たときに必ず行う作業があります。

 直接電話する
ここで、不在や怪しい日本語を話す人の場合は一気に不正利用の可能性が上がります。不在の場合は、数日に分けて再度確認を取ります。
 その後商品発送は止めます。確認が取れれば発送します。まれに怒るお客様もいらっしゃいますが、不正利用に力を入れており確認が取れるまでは発送しない旨をご理解頂いております。

 ここでの肝は

 商品は発送しないけれど、決済を掛ける

 なぜだか分かりますでしょうか??
 こちらで、処理をしてしまうとクレカ会社に盗難or不正利用カードという事が伝わらないからです。
 モノは発送しないけれど、請求を掛ける。そうすることで、カードホルダーも不正利用に気づき、カードの利用が慎重になるし、今後同じ番号での被害が無くなる。自社サイトのみならず、すべてのマーチャントに有益と考えております。もうイタチごっこですね。

 怪しい注文に対して、商品を送らないというのが一番の防止策です。今までの経験上、疑わしい注文に対して未発送状態で放置してもなにも連絡が来ません。わざわざ墓穴堀に来る不正利用者はいませんから。

 そうして先ほどの注文のキャプチャーのように、チャージバックが走りました。<お客様が気づいてくれた。
 当然、商品を送っていないのでお客様に返金して完了となります。特に高額商品や二次流通が盛んな商品は狙われやすい傾向にあります。当社も昔は10万円以上の高額品が中心だったので分かりやすかったですが、最近別サイトでは2万円で不正利用が発生(目視で阻止できました)しており油断も隙もありません。
 ちなみに、知り合いのワイシャツ屋さんで、4400円(税込み)のセール品で不正注文があり阻止したとのこと。ここを通すと甘いサイトと認定され、シロアリのごとく狙われてしまいます。
 当社もShopifyサイトではありませんが、別のサイトでは目視も限界があり何件かは通してしまっています。。。

 あと、意外と知られていないのは、Shopifyに3Dセキュア2.0はすでに導入されていること。補足すると、すべての注文が対象ではなく、怪しい注文だけにPOPUPで認証を取りますので格段にかご落ちが減ります。なので、Shopify Paymentsを使ってチャージバックを受けた場合は、お届けした証拠の判取りさえ入手できれば、マーチャント側の負担はありませんのでご安心ください。同様にAmazon PayとPaidyもです。とくにAmazonは、自クレのオーソリに責任を持っております。不正利用対策に大きな費用を掛けるのではなく、支払い方法をShopify PaymentsとAmazon PayとPaidyのみにすればひとまずは安心できます。

 特にメルカリがやばいです。匿名で商品のやり取りができるので、ドロップシッピングのように注文を受けた後、公式サイトで入手したクレカ番号を使い相手に送るみたいなことが横行しています。
 いろいろと対策をしているようですが、こちらも仕組みの隙間を縫っていろんなことを仕掛けてきます。

 チャージバックは、加盟店=マーチャントの全額負担となります。利用者はプロテクトされていますが、加盟店はノーガードで負担を強いられます。是非、皆さんもこの不正利用に対して凛とした態度と社内ルールを作って頂き撲滅していければと思います。

教訓
不正注文はあなたのサイトを狙っている

いいなと思ったら応援しよう!

北山浩 | notエンジニア
廻らない鮨を食べたいなぁ😅