近年、不正ログインや不正利用への対策は、一部の大手事業者だけの課題ではなく、規模を問わずすべてのEC加盟店に求められるテーマになっています。
2025年3月に公表されたクレジットカード・セキュリティガイドライン6.0では、3Dセキュアの義務化に加え、不正ログイン対策も必須要件として明確化されました。その影響を受け、決済代行会社(PSP)からセキュリティチェックリストが送付され、各加盟店の対策状況を確認する動きが広がっています。
本記事では、なぜ今このタイミングで不正ログイン対策が求められているのか、その背景を整理したうえで、売上と両立し得る現実的な選択肢を考えていきます。
1. なぜ今、EC加盟店は不正ログイン対策に「向き合わざるを得ない」状況になっているのか
義務化を理解しつつも対応を後回しにしてきた背景
不正ログイン対策や本人認証の強化が求められる流れ自体は、2024年から2025年にかけて、すでに業界内で広く共有されていました。
実際、経済産業省のガイドライン改訂や、不正利用被害額の増加といった情報に触れ、3Dセキュアについては対応を完了しているEC加盟店は少なくありません。
一方で、不正ログイン対策については、具体的に何をどこまで実装すべきか判断が難しく、CV低下や離脱増加への懸念から、後回しにされがちな領域でもありました。
とくに中小規模のECでは、ログインや購入フローに手間が増えることが、そのまま売上減少につながるという感覚が根強くあります。
認証を強化した結果、初回購入やリピート初期で離脱が増えたという話を見聞きし、「セキュリティは重要だが、事業への影響が大きい施策は選びにくい」と判断するのは、当時としては決して不自然な選択ではありませんでした。
結果として多くのEC加盟店は、不正ログイン対策の必要性を理解しつつも、「いずれ対応すべきだが、今ではない」という判断を続けてきたのです。
決済代行会社からのチェックリスト送付が意味するもの
近年、決済代行会社(PSP)からセキュリティチェックリストが送付されるケースが増えています。このチェックリストは、不正ログイン対策や本人認証の実装状況を確認するための書類であり、多くの場合、「Yes」「No」での明確な回答が求められます。
重要なのは、これが単なる形式的な書類提出ではなくなっている点です。
これまで「推奨」や「努力目標」とされてきた対策が、実際に実装されているかどうかを確認・管理する対象へと変わりました。書類上でYesと回答する以上、実運用や仕組みが伴っていることが前提となります。
その結果、セキュリティ対策は加盟店の自主判断に委ねられるものではなく、PSPによって確認される事項として扱われるようになりました。
さらに、チェックリストには提出期限が設けられるケースもあり、これまでのように判断を先延ばしにすることが難しくなっています。
これ以上先延ばしにできない状況で起こり得るリスク
セキュリティチェックリストを提出しない、あるいは実装が確認できない場合、PSP側から不正対策未実施と判断される可能性があります。
PSPは多数の加盟店を抱えているため、すべてを個別に精査することは現実的ではなく、判断はどうしても書類ベースにならざるを得ません。
その結果、対策状況が不明確な加盟店は、リスクの高い取引先として内部管理されることになります。即時ではなくとも、状況次第では段階的な制限がかかり、決済停止や利用制限に発展することもあります。
一度停止や制限がかかった場合、その解除には追加資料の提出や再審査が必要となり、想像以上の時間と工数を要するケースも少なくありません。
決済が止まることで発生する売上損失は、事前に対策を講じておくためのコストを大きく上回ることもあります。
こうした背景から、現在は不正被害が発生してから対応するのではなく、未然に防ぐことが前提となっています。
2. IP制限やMFAでは踏み切れない、不正ログイン対策のジレンマ
IPアドレス制限が実運用で機能しにくくなっている理由
IPアドレス制限は、比較的導入が容易でコストも抑えやすいことから、不正ログイン対策の第一歩として多くのEC加盟店に採用されてきました。
大きなシステム改修を伴わずに導入できる点は、特に中小規模の事業者にとって現実的な選択肢だったと言えます。また、「海外IPを遮断すれば一定の不正は防げる」という考え方も、過去には一定の効果を発揮してきました。
しかし現在では、VPNやプロキシ、ボットを用いて国内IPや正規ユーザーと同じ地域からアクセスする手法が一般的になり、「海外IP=怪しい」という単純な判別は通用しなくなっています。加えて、モバイル回線ではIPアドレスが頻繁に変動するため、正規ユーザーを誤って遮断してしまうケースも少なくありません。
その結果、IP制限はチェックリスト上では「対策済み」と回答できる一方で、実運用においては不安が残る対策になりやすくなっています。
本人確認を行う仕組みではない以上、手法を変えた不正を完全に防ぐことは難しいのです。
多要素認証(MFA)が離脱やCV低下につながりやすい現実
多要素認証(MFA)は、IDとパスワードだけに依存しない認証方式として、不正ログイン対策の定番とされています。
ガイドラインやチェックリスト上でも「望ましい対策」とされることが多く、セキュリティ面では評価されやすい手法です。
一方で、実際の運用ではログインや決済時に認証ステップが増えることで、ユーザーの心理的なハードルは確実に上がります。
特に初回購入時やデジタル操作に不慣れな層では、その影響が顕著に表れやすくなります。
SMS認証を採用した場合、不達や遅延、認証コードの入力ミスといった問題も起こりがりです。
ユーザーにとっては「面倒」「うまく進めない」と感じる要因となり、結果として離脱につながるケースも少なくありません。
このように、MFAはセキュリティ要件を満たしやすい一方で、売上やCVへの影響が読みにくい側面を持っています。「チェックリストは通るが、事業に影響が出るかもしれない」という懸念から、導入を検討しながらも決断に踏み切れない加盟店が多いのが実情です。
対策は必要だと分かっていても決断できないEC加盟店の共通課題
多くのEC加盟店は、IPアドレス制限だけでは不十分だと感じており、MFAを導入すれば安全性が高まることも理解しているものの、決定打にはなっていません。
判断を難しくしているのは、チェックリストに記載できる対策と、実際に売上や顧客体験を守れる対策が必ずしも一致しない点です。
セキュリティを強化すればUXが損なわれるのではないか、逆にUXを優先すれば評価されないのではないかという不安が、判断を鈍らせています。
さらに、他社事例を見ても「自社の規模や顧客層に本当に当てはまるのか」を判断するのは簡単ではありません。現在、チェックリストへの対応と、不正防止、そしてCV維持を同時に満たせる現実的な選択肢が求められているのです。
3. 義務対応で終わらせない、売上と両立する不正ログイン対策という選択肢(Infront Security)
電話番号と端末を組み合わせたパスワードレス認証という考え方
Infront Securityは、電話番号と端末情報を組み合わせたパスワードレス認証を提供するセキュリティサービスです。
初回認証では、画面に表示された番号へワンタップで電話を発信するだけで本人確認を行い、その過程で利用端末を登録します。
通話は自動的に切断され、ユーザーに追加の操作を求めません。
2回目以降は、電話番号を入力するだけで、登録済み端末との一致を確認してログインが完了します。
電話番号は契約時に公的な本人確認が行われている実在性の高いIDであり、端末情報は複製が極めて困難な所持情報です。
両者を同時に確認するため、仮に電話番号が漏洩しても、登録端末以外からの不正ログインは成立しません。
さらに、認証にはWebとは独立した電話網を用いるため、フィッシングやリアルタイム詐取など、インターネット経由の攻撃を受けにくい構造になっています。
CVを落とさずに不正ログイン対策を強化できる理由
売上と両立できる理由の一つは、本人認証を決済直前ではなく、ログインや会員登録といった前段で確実に行える点にあります。
決済時に追加認証を求める3Dセキュアとは異なり、購入の最終段階でユーザーの行動を止めにくいため、離脱につながりにくい構造になっています。
ログイン時の操作は、画面に表示された番号へワンタップで電話をかけるだけとシンプルで、入力ミスが起きにくく、SMS認証にありがちな不達や遅延といったストレス要因も発生しません。また、電話番号という馴染みのある要素を用いた認証であるため、高齢者やデジタル操作に不慣れなユーザーにとっても敬遠されにくい設計になっています。
パスワードやワンタイムパスコード、専用アプリなど、ユーザーにとって複雑な操作や管理コストを排除した、徹底的な「おもてなし」を実現しています。さらに、ガラケーや固定電話、IP電話にも対応しており、利用環境による制約を受けにくい点も特徴です。
専用番号はフリーダイヤルのため通話料の負担もなく、端末や通信環境の違いが理由で認証を諦めるケースを減らすことができます。
セキュリティチェックリストにも実効性ある対策として記載できるポイント
セキュリティチェックリストで問われているのは、高度で複雑な技術そのものではなく、なりすましをどう防ぎ、本人確認を担保しているかを説明できるかという点です。
Infront Securityは、電話番号という実在性の高いIDと、登録済み端末との一致を確認する認証方式を採用しているため、認証の根拠を具体的に示しやすい構造を持っています。
さらに、会員登録やログイン、決済時の追加認証など幅広い場面で利用できるため、チェックリスト上でも「本人確認に用いる情報」「なりすまし防止の考え方」「突破されにくい理由」を、実運用に即した形で記載できます。
形式的にYesを付けるための対策ではなく、実際の仕組みをそのまま説明できる点は、チェックリスト対応を進めたいEC加盟店にとって大きな利点です。
義務対応として場当たり的に対策を追加するのではなく、実効性のある仕組みを整理してそのまま記載できること。
売上やUXへの影響を抑えながら対応を進めたいEC加盟店にとって、Infront Securityは現実的な選択肢の一つだと言えるでしょう。
