Shopifyの不正注文対策ガイド — チャージバックを防ぐ実践的な方法
ネットショップを運営していると、いつかは遭遇するのが 不正注文 の問題です。
盗まれたクレジットカード情報で商品を購入され、あとからカード会社経由で売上を取り消される。これがいわゆる「チャージバック」です。商品は手元に戻らず、代金も回収できず、さらに手数料まで取られる。ストアオーナーにとっては三重苦のような状況です。
「うちは小さなストアだから大丈夫」と思っていませんか? 実は、不正注文は規模に関係なく狙われます。むしろセキュリティ対策が手薄な小規模ストアほど標的にされやすいのが現実です。
出典:キャッシュレスセキュリティレポート2025、かっこ株式会社 EC事業者実態調査
わたし自身、以前ECの運営に携わっていたとき、不正注文の対応に追われた経験があります。金曜の夜に高額注文が連続で入り、翌週になって「これは不正利用でした」とカード会社から連絡が来る。あの冷や汗は忘れられません。
この記事では、Shopifyストアで 今すぐ実践できる不正注文対策 を網羅的にまとめました。Shopifyに標準搭載されている機能から、追加で導入すべきアプリ、そしてチャージバックが発生してしまったときの対処法まで、順を追って解説します。
そもそも不正注文はなぜ起きるのか
- 不正注文(Fraudulent Order)
盗まれたクレジットカード情報や、第三者のアカウントを不正利用して行われる注文のことです。EC事業者にとっては、チャージバック(売上取消)による金銭的損失に加え、商品の損失、対応工数の増加といった複合的な被害が発生します。
不正注文の手口は年々巧妙化しています。代表的なパターンを整理しておきましょう。
| 手口 | 概要 | 特徴 |
|---|---|---|
| カード番号盗用 | フィッシングや情報漏洩で入手したカード情報で購入 | 被害全体の9割超を占める |
| クレジットマスター攻撃 | 大量のカード番号を自動生成し、有効なものを見つけて悪用 | 短時間に少額決済が大量発生 |
| なりすまし注文 | 他人のアカウントを乗っ取って注文 | 配送先が登録住所と異なる |
| フレンドリー詐欺 | 本人が購入後、「身に覚えがない」とチャージバック申請 | 正規の購入に見えるため検出が難しい |
| 転売目的の大量購入 | 人気商品を不正カードで大量注文し、転売で換金 | 同一商品の複数購入、異常な数量 |
2024年のクレジットカード不正利用被害額555億円のうち、 9割以上(513.5億円) がECサイトでの番号盗用によるものです。さらに、2020年から2025年の5年間で被害額は約2倍に増加。ECサイトが不正利用の「主戦場」と化している状況です。
不正注文の「サイン」を見逃さない
注文が不正かどうかを判断するために、まずは「怪しい注文」のサインを知っておくことが大切です。以下に当てはまる注文は、出荷前に手動で確認する価値があります。
- 注文者の住所と配送先住所が大きく異なる
- 短時間に同一IPアドレスから複数の注文が入っている
- 高額商品をいきなり大量に購入している
- メールアドレスがランダムな文字列(例:xk29sd@freemail.com)
- 請求先と配送先の国・地域が異なる
- 同じ住所宛に別名義の注文が複数入っている
- 深夜帯に集中した連続注文
- AVS(住所確認)やCVV(セキュリティコード)の不一致
すべてが即座に「不正」とは限りませんが、複数のサインが重なる注文は注意が必要です。
Shopify標準の不正対策機能を活用する
Shopifyには不正注文を検出・防止するための機能が標準で備わっています。追加費用なしで使えるものが多いので、まずはこれらをしっかり設定しましょう。
Fraud Analysis(不正解析)
Shopifyに標準搭載されている不正解析機能です。すべての注文に対して自動的にリスク判定が行われ、注文画面に 低リスク・中リスク・高リスク のラベルが表示されます。
判定には機械学習アルゴリズムが使われており、Shopify全体の過去の取引データを学習しています。つまり、個別のストアだけでなく、世界中のShopifyストアの不正パターンを踏まえた判定が行われるのが強みです。
Fraud Analysisは すべてのShopifyプラン で利用可能です。特別な設定は不要で、管理画面の注文詳細ページで各注文のリスクレベルを確認できます。
ただし注意点もあります。ある調査によると、Shopifyの標準Fraud Analysisが「高リスク」と判定した注文の 約23% は、サードパーティの不正検知サービスでは「安全」と判定されました。また「中リスク」と判定された注文の 約80% も実際には安全だったというデータもあります。
出典:NoFraud - Is Shopify's Fraud Tool Costing You Good Sales?
つまり、Fraud Analysisだけに頼ると「正規の注文を取りこぼす」リスクがあるということです。高リスク判定をすべてキャンセルするのではなく、他の対策と組み合わせて判断することが重要です。
Fraud Control(不正管理アプリ)
- Fraud Control
Shopifyが提供する不正管理アプリです。Fraud Analysisの判定結果をもとに、高リスク注文への自動対応ルールを設定できます。Shopify Paymentsを利用しているストアで使用可能です。
Fraud Controlでは、以下のようなチェックアウトルールを設定できます。
- 1
管理画面でFraud Controlを開く
「アプリ」→「Fraud Control」に移動します。初回はShopify App Storeからインストールしてください。 - 2
ルールを作成する
「Rules」→「Create rule」から、不正注文をブロックする条件を設定します。 - 3
チェックアウト条件を指定する
特定のメールアドレス、IPアドレス、住所属性などをフィルタリング条件として追加できます。複数条件の組み合わせも可能です。 - 4
ダッシュボードで結果を確認する
チャージバックの発生状況、キャンセルされた不正注文、リスクレベルの分布をダッシュボードで確認できます。
出典:Shopify公式ヘルプ - Fraud Control app
Fraud Controlのチェックアウトルールは Shopify Paymentsを利用しているストア限定 の機能です。外部決済プロバイダーのみを使っている場合は利用できません。Shopify Paymentsの設定がまだの方は、まずそちらを有効にしましょう。
Shopify Flowで不正注文の自動処理を設定する
Shopify Flowは、ストア運営のさまざまな作業を自動化できるワークフローツールです。 Basicプラン以上 で無料利用できます。不正注文対策としては、以下のようなフローが効果的です。
| フロー例 | トリガー | アクション |
|---|---|---|
| 高リスク注文の自動キャンセル | 注文のリスクレベルが「高」 | 注文をキャンセルし、在庫を戻す |
| 中リスク注文の通知 | 注文のリスクレベルが「中」 | Slackやメールで担当者に通知 |
| 高リスク注文にタグ付け | 注文のリスクレベルが「高」 | 「要確認」タグを付与 |
| 特定地域からの注文を保留 | 配送先が不正多発国 | 注文を保留して手動確認 |
出典:Shopify公式ヘルプ - Managing high-risk orders with Shopify Flow
Shopify Flowにはテンプレートが用意されているので、ゼロからフローを組む必要はありません。管理画面の「自動化」→「テンプレート」から「fraud」で検索すると、不正注文対策のテンプレートが見つかります。
3Dセキュア2.0(EMV 3-Dセキュア)を理解する
- 3Dセキュア2.0(EMV 3-Dセキュア)
クレジットカード決済時に、カード会社が本人認証を行うセキュリティ仕組みです。従来の1.0ではパスワード入力が毎回必要でしたが、2.0ではリスクベース認証が導入され、低リスクと判断された取引は追加認証なしで決済が完了します。
日本では 2025年3月末までに、すべてのEC加盟店で3Dセキュア2.0の導入が義務化 されました(経済産業省「クレジットカード・セキュリティガイドライン6.0」に基づく)。
出典:flagship.cc - Japan's 3D Secure 2.0 Mandate
Shopifyストアでの3Dセキュア対応
Shopify Paymentsを利用しているストアは、 プラットフォームレベルで3Dセキュア2.0に対応済み です。特別な追加設定は必要ありません。Shopify PaymentsはStripeのインフラを使っており、3Dセキュア2.0のサポートが組み込まれています。
出典:ネイバー株式会社 - ライアビリティシフトと3Dセキュア2.0
Shop Payを利用するお客様は、初回登録時に本人確認が完了しているため、 3Dセキュア認証が省略される ケースがあります。お客様の決済体験を損なわずにセキュリティを確保できるので、Shop Payの導入は不正対策の面でも有効です。
出典:flagship.cc - Shop Payと3Dセキュア認証
不正対策アプリを導入する
Shopifyの標準機能だけでは心もとない場合は、専用の不正対策アプリを導入しましょう。以下は、2026年時点で評価の高い主要アプリです。
| アプリ名 | 特徴 | チャージバック保証 | 料金目安 |
|---|---|---|---|
| Signifyd | AIがリアルタイムで注文を審査。承認された注文はチャージバック保証対象 | あり | 取引額に応じた従量制 |
| ASUKA(アクル) | 日本市場に特化。EMV 3-Dセキュアと連携したチェックアウト時の自動制御 | 一部あり | 要問い合わせ |
| FraudBlock | 高リスク注文を自動キャンセル。シンプルで導入しやすい | なし | 月額$9.99〜 |
| NoFraud | 全注文をリアルタイム審査。Shopifyの誤判定を補正 | あり | 取引額に応じた従量制 |
出典:Shopify App Store - Fraud Apps、アクル公式サイト
ASUKAアプリは日本のEC事業者向けに開発されており、担当者の作業時間を 最大75%削減 できた導入事例もあります。日本語サポートがある点も心強いポイントです。
どのアプリを選ぶかは、ストアの規模と不正注文の発生頻度で判断しましょう。月間の不正注文が数件程度ならFraudBlockのようなシンプルなアプリで十分ですが、月商が大きく不正リスクが高いストアはチャージバック保証付きのSignifydやNoFraudが安心です。
チャージバックが発生してしまったら
どれだけ対策をしても、チャージバックをゼロにすることは難しいのが現実です。発生してしまった場合の対応手順を知っておきましょう。
- チャージバック(Chargeback)
カード会員が「身に覚えのない請求」としてカード会社に異議を申し立て、加盟店(ストア側)から売上が取り消される仕組みです。Shopifyでは1件あたり 1,300円のチャージバック手数料 がカード会社から請求されます(ストア側に有利な判定の場合は返金)。
対応フロー
- 01
通知を確認する
Shopify管理画面の「注文」ページで、チャージバックが発生した注文に警告マークが表示されます。メールでも通知が届きます。 - 02
証拠を収集する
注文確認メール、配送追跡番号、配達完了の証明、お客様とのやり取りの記録など、正当な取引であった証拠を集めます。 - 03
反論を提出する
Shopify管理画面からチャージバックに対する反論(レスポンス)を提出します。収集した証拠を添付してください。 - 04
カード会社の判定を待つ
通常60〜75日で判定が出ます。ストア側に有利な判定であれば、売上とチャージバック手数料が返還されます。
出典:Shopify公式ヘルプ - Chargebacks and inquiries
反論時に用意すべき証拠
| 証拠の種類 | 内容 |
|---|---|
| 取引記録 | 注文確認メール、決済日時、IPアドレス |
| 配送証明 | 追跡番号、配達完了の記録、受領サインの写真 |
| 顧客とのやり取り | メールやチャットの履歴(お客様が商品を受け取った証拠) |
| AVS/CVV照合結果 | 住所確認・セキュリティコード照合の結果 |
| 利用規約・返品ポリシー | お客様が同意した規約の内容 |
チャージバックの反論には 期限 があります。通知を受け取ったら、できるだけ早く証拠を準備して提出しましょう。期限を過ぎると自動的にストア側の敗訴となります。
今日からできる不正注文対策チェックリスト
最後に、この記事で解説した対策をチェックリストにまとめました。上から順に確認して、まだ対応していない項目があれば、今日から対策を始めてください。
- Shopify Paymentsを有効化し、3Dセキュア2.0の対応を確認した
- Fraud Analysisの判定結果を注文ごとにチェックする運用を始めた
- Fraud Controlアプリをインストールし、チェックアウトルールを設定した
- Shopify Flowで高リスク注文の自動キャンセル or 通知フローを作成した
- 怪しい注文のサイン(住所不一致、大量購入など)を把握し、手動確認の基準を決めた
- チャージバック発生時の対応フローと証拠収集の手順を社内で共有した
- 月商・不正リスクに応じて、専用の不正対策アプリの導入を検討した
よくある質問
はい、Fraud Analysisはすべてのプランで無料で利用できます。追加の設定も不要で、すべての注文に自動でリスク判定が行われます。管理画面の注文詳細ページで各注文のリスクレベル(低・中・高)を確認できます。
Fraud Analysisは全注文に自動でリスク判定を行う「分析機能」です。一方、Fraud Controlはその分析結果をもとに、特定条件の注文をブロックしたり、自動キャンセルしたりする「対策アクション」のアプリです。Fraud Controlのチェックアウトルールを使うには、Shopify Paymentsの利用が必要です。
Shopify Paymentsを利用している場合、3Dセキュア2.0はプラットフォーム側で対応済みなので、個別の設定は不要です。外部決済プロバイダーを利用している場合は、プロバイダー側に対応状況を確認してください。
チャージバックに対して反論を提出し、カード会社がストア側に有利な判定を下した場合は、売上金額とチャージバック手数料の1,300円の両方が返還されます。ただし、判定までに60〜75日かかるのが一般的です。
一律キャンセルは推奨しません。Shopifyの高リスク判定のうち約23%は、実際には正規の注文だったというデータがあります。高リスク判定が出た場合は、配送先住所の整合性やメールアドレスの信頼性など、複数の要素を手動で確認してから判断しましょう。
まとめ
不正注文は「起きてから対処する」のではなく「起きる前に防ぐ」のが鉄則です。Shopifyには Fraud Analysis、Fraud Control、Shopify Flow という3つの標準機能が揃っているので、まずはこれらをフル活用しましょう。
3Dセキュア2.0の義務化により、ライアビリティシフト(チャージバック責任のカード会社への移行)が活用できるようになったのも大きな追い風です。Shopify Paymentsを使っていれば、この恩恵は追加設定なしで受けられます。
それでも不安が残る場合は、SignifydやASUKAのようなチャージバック保証付きのアプリを検討してみてください。月商が大きくなるほど、不正対策への投資は「コスト」ではなく「保険」になります。
Shopify予約アプリ
まるっと予約
無料プランあり・日本語サポート
Shopifyストア構築もお任せください
「自分でShopifyを設定するのは不安」という方に、アプリ開発者本人がShopifyストア構築+まるっと予約の導入をまるごとサポートいたします。
