2025年4月、ECのクレカ決済で「EMV 3-Dセキュア（以下、3Dセキュア）」の導入が原則必須化されました。しかし、日本クレジットカード協会のデータ（2024年実績）では、不正利用被害額が約555億円と過去最悪レベルで高止まりしています。これは、認証が手薄な「決済前」と「決済後」へと攻撃がシフトしつつあるためです。
本記事では、3Dセキュア必須化後の最新動向と新たな手口や、今EC事業者様が取るべきサイト全体を防御する「線の対策」のフレームワーク、コストを抑え安全性を最大化する「最強の組み合わせ」を解説いたします。

また記事末尾にて、EC事業者様ご自身で現状確認が可能な「セキュリティ・チェックリスト」、「コスト重視 vs 堅牢性重視のおすすめ対策プラン」「具体的な攻撃手口と対策フロー」など、ここだけの内容がまとまったお役立ち資料をダウンロードいただけます。

2026年1月、ECセキュリティの現在地

2025年4月、日本のEC業界にとって大きな転換点がありました。「3Dセキュア」の原則必須化です。多くのEC事業者様が、カゴ落ち（離脱率）のリスクを懸念しつつコストをかけ、期日までに対応を完了されたことでしょう。

あれから約1年が経過した2026年1月現在。

「義務化対応が終わったから、もう不正被害には遭わないはず」その期待とは裏腹に、クレジットカード不正利用の被害報告は、形を変え、手口を変え、今もなお続いています。

日本クレジットカード協会の発表データ（2024年実績）を振り返ると、不正利用被害額は過去最悪レベルの約555億円に達していました。2023年の被害額が約541億円であったことを踏まえると、対策が進んでいるはずの期間においても被害額が増加傾向にあったという事実は、多くのEC担当者に衝撃を与えています。

※ 経済産業省「我が国のキャッシュレス決済額及び比率の推移（2024年）」及び一般社団法人日本クレジット協会「クレジットカード不正利用被害の発生状況」（2025年9月）よりGMO-PGにて作成

なぜ、私たちは「イタチごっこ」から抜け出せないのでしょうか。

本記事では、3Dセキュア義務化後の世界で何が起きているのか、その根本原因を解き明かし、2026年の今、EC事業者様が取り組むべき「線の対策」について、具体的なメカニズムと解決策を徹底解説します。

1. データが語る「3Dセキュア」の成果と限界

まずは客観的なデータから、現状を正しく認識しましょう。3Dセキュア導入は決して無駄だったわけではありません。その「効果」と「限界」を正しく理解することが、次なる一手への第一歩です。

1-1. 番号盗用被害の推移に見る「明確な効果」

ECサイトにおける不正利用の手口として、圧倒的多数を占めるのが「番号盗用」です。これは、フィッシングや情報漏えいから入手した他人のカード情報を用いて決済する手口で、被害全体の9割以上を占めています。

3Dセキュア導入の効果は、この数字の推移に如実に表れました。義務化直前の2025年1月〜3月には182.9億円だった番号盗用被害額が、対応が進んだ直後の4月〜6月には113.3億円へと、明確な減少トレンドを描きました。

これは、決済の瞬間に3Dセキュアによる本人認証を挟むプロセスが、なりすまし購入に対する強力なブレーキとして機能したことを証明しています。

1-2. 被害総額が減らない要因と今後の対策の必要性

しかし、ここで一つの疑問が浮かびます。「番号盗用が減ったなら、なぜ総被害額は高止まりしているのか？」

ここで起きている現象は、風船の一部を押すと別の場所が膨らむバルーン効果に例えられます。

セキュリティが強固になった「決済時」を避け、攻撃者はセキュリティが手薄な「決済前」と「決済後」へと、攻撃のターゲットをシフトさせているのです。

3Dセキュアはあくまで「決済時」に本人確認を行うツールです。

• カード番号そのものを盗み出す段階（情報漏えい・クレジットマスター）
• ID・パスワードを乗っ取って正規ユーザーになりすます段階（アカウント乗っ取り）
• 決済完了後に商品を転送・転売する段階

これらに対しては、3Dセキュア単体では防御力を発揮できません。これが、3Dセキュア対応を終えてもなお、被害がなくならない根本的な理由と考えられます。

2. 2026年の脅威解剖・「点の対策」をすり抜ける最新手口

現在、ECサイトを襲っている主な攻撃手法を、「決済前・決済時・決済後」のフェーズごとに分解し、その手口を詳細に解説します。

2-1. 【決済前】の脅威：正規の決済ルートに乗るための準備工作

攻撃者は、決済画面に辿り着く前に勝負を仕掛けてきます。この段階での攻撃を防げなければ、決済画面での防御も無力化される可能性があります。

① クレジットマスター（大量アタック）

「クレジットマスター」とは、カード番号の規則性を悪用し、計算によって他人の有効なカード番号を割り出す手口です。攻撃者はBot（自動化プログラム）を使い、ECサイトの決済フォームや会員登録画面に対して、生成したカード番号と有効期限の組み合わせを機械的に総当たり入力（ブルートフォースアタック）します。

• 攻撃のメカニズム：

1. カード番号生成プログラムで架空の番号リストを作成。
2. ECサイトの決済ページへBotがアクセス。
3. 「1円オーソリ」や「会員登録時の有効性確認」を利用し、エラーが返ってこない（＝有効な）カード番号を特定。
   
   

• 被害の影響：
  実在する有効なカード番号が特定されるだけではありません。大量のアクセスによりECサイトのサーバーがダウンしたり、決済処理件数の増大によるトランザクション処理料（データ処理料）が高額になったりする二次被害も発生します。また、サイトが「カード番号の選別場」として悪用されることは、ブランドイメージの失墜につながります。

② フィッシングとアカウント乗っ取り

「アカウント乗っ取り」は、正規ユーザーのIDとパスワードを不正に入手し、本人になりすましてログインする手口です。情報は、実在する企業を装ったメール（フィッシングメール）やSMS（スミッシング）から偽サイトへ誘導し、ユーザー自身に入力させることで盗み出されます。

• 攻撃のメカニズム（2段階攻撃）：

1. 宿泊施設やサービス提供者を狙う： 予約客を装ってマルウェア入りファイルを送りつけ、管理画面へのアクセス権を奪取します。
   
   
2. エンドユーザーを狙う： 乗っ取った管理画面から、正規のユーザーに対して「決済エラー」等を装ったメッセージを送信し、フィッシングサイトへ誘導してカード情報を盗みます。
   
   

• 3Dセキュアとの関係：
  近年では、ID・パスワードと共に、3Dセキュアの認証コード（ワンタイムパスワード等）までフィッシングサイトで入力させて盗み取る「リアルタイムフィッシング」や、スマホ自体を乗っ取る手口も横行しており、認証が突破されれば防ぐ手立てがありません。

③ 情報漏えい（SQLインジェクション / Webスキミング）

ECサイト自体が攻撃され、顧客情報が根こそぎ盗まれるケースです。

• SQLインジェクション：
  サイトの検索窓や入力フォームの脆弱性を突き、データベースを不正に操作する命令文（SQL）を送り込みます。これにより、保存されている会員ID、パスワード、個人情報が漏えいします。
• Webスキミング（フォームジャッキング）：
  決済画面に不正なプログラム（JavaScript）を埋め込み、ユーザーが入力したカード情報を裏で攻撃者のサーバーへ送信します。
  サイトの見た目は正常で、決済処理自体も正常に完了するため、ユーザーも管理者も被害に気づくのが遅れる（カード明細を見て初めて気づく）という恐ろしい特徴があります。

2-2. 【決済時】の脅威：リスク判定のすり抜け

3Dセキュアは、リスクベース認証を採用しており、低リスクと判断された取引は認証なし（フリクションレス）で通過します。

攻撃者は、あたかも「善良なユーザー」であるかのように振る舞うために、ユーザー本人の端末情報（デバイスフィンガープリント）やIPアドレスを偽装し、カード会社のリスク判定をすり抜けようとします。

2-3. 【決済後】の脅威：商品は戻らず、売上も消える

決済が完了した後も、攻撃は続きます。EC事業者様が商品を発送してしまったら、その時点で「不正取引」が成立します。

① 不正配送・転売

盗んだカードで購入した商品は、換金性の高いもの（ゲーム機、ブランド品、家電、化粧品など）が中心です。これらはすぐにフリマアプリや買取業者を通じて転売され、現金化されます。

配送先には、空き家や、SNSで「荷受け代行」として募集した「受け子（闇バイト）」の住所が指定され、足がつかないように工作されます。

② トライアングル詐欺（悪質転売）

プラットフォームの特性を悪用した、非常に巧妙な手口です。

1. 攻撃者が、偽の旅行代理店サイトやオークションサイトで、正規の宿泊プランや商品を「格安」で出品します。
2. 事情を知らない一般の旅行者（Bさん）がそれを注文し、攻撃者に代金を支払います。
3. 攻撃者は、盗んだ他人のカード情報（Aさんのカード）を使って、正規のECサイトやOTA（オンライントラベルエージェント）で商品を注文し、Bさんの名義で手配します。
4. 正規サイトはBさんにサービスを提供します。
5. 後日、カード名義人Aさんが不正利用に気づき、チャージバックが発生。正規サイトは売上を取り消され、サービス提供のコストだけが損失として残ります。

3. 点から線へ ー2026年版のセキュリティデザイン

前述の通り、攻撃はあらゆるフェーズで行われます。これに対抗するには、決済の瞬間だけを守る「点」の対策から、ユーザーがサイトを訪れてから商品が到着するまでの一連の流れを防御する「線の対策」へとシフトしなければなりません。

ここでは、クレジットカード・セキュリティガイドラインが推奨する「決済前・決済時・決済後」の対策フレームワークをベースに、具体的なソリューションを紐解きます。

3-1. 【決済前】侵入させない防壁

まずは、攻撃者を「サイトに入れない」「ログインさせない」ことが最優先です。

• 不正ログイン対策：
  2025年4月以降、ECサイトにおける不正ログイン対策も必須化の流れにあります。

• Bot検知・遮断： 「reCAPTCHA」などの認証ツールや、Bot特有のアクセスパターンを検知して遮断するサービスの導入が必要です。
• 多要素認証（MFA）： 管理画面や会員ログイン時に、パスワード以外の認証（SMS認証やアプリ認証）を追加し、リスト型攻撃を防ぎます。GMO-PGでは独自のSMS認証「Verifyサービス」も提供しています。

• クレジットマスター対策：
  一定時間内に同一IPアドレスや同一会員IDから、異常な回数のカード入力や決済試行が行われた場合、自動的にアクセスをブロックする機能です。GMO-PGでは「大量アタック遮断サービス」として提供しており、サーバーダウンのリスクも低減します。
• システムの堅牢化：
  SQLインジェクションやWebスキミングを防ぐため、WAF（Web Application Firewall）の導入や、定期的な脆弱性診断の実施が不可欠です。

3-2. 【決済時】真正性の証明

ここは、既に導入済みの「3Dセキュア」が主役となる領域です。

• 3Dセキュアの適切な運用：
  リスクベース認証により、真正なユーザーにはパスワード入力を求めず（フリクションレス）、怪しい取引だけに追加認証を求めることで、セキュリティと利便性を両立します。導入して終わりではなく、認証の成功率（カゴ落ち率）や不正発生状況をモニタリングし、必要に応じて設定を調整します。
• セキュリティコード（券面認証）：
  基本中の基本ですが、カード裏面のセキュリティコード（CVC/CVV）の入力を必須化することで、磁気情報スキミングなどで漏えいした（セキュリティコードを含まない）カード情報の利用を防ぎます。

3-3. 【決済後】最後の砦

決済システムを通過してしまった「巧妙な不正」を、出荷前に食い止める最後の砦です。

• 属性・行動分析（不正検知ソリューション）：
  決済前にも有効な対策である属性・行動分析。決済完了後の注文データ、配送先情報、デバイス情報、IPアドレス、過去の取引履歴などをAIや機械学習を用いて分析し、スコアリングします。

属性・行動分析ツールの一例

• Forter： 膨大な取引データに基づく高精度かつリアルタイム判定可能な不正検知ソリューション
• Sift：グローバルで展開する、AIと機械学習を活用した不正検知ソリューション
• ASUKA：日本国内の不正傾向を学習した独自モデルによる不正検知ソリューション
  
  

• 不正配送先情報の活用：
  過去に不正利用に使われた住所や電話番号のデータベースを提供。注文情報と照合し、該当する場合は出荷を保留にする仕組みの構築が可能です。

4. 最適な組み合わせは「3Dセキュア × 不正検知ソリューション」

多くのEC事業者様が抱える悩みの一つに「コスト」があります。すべての対策をフルスペックで導入するのは難しいかもしれません。

しかし、限られた予算の中で最も投資対効果（ROI）が高いのが、「3Dセキュア」と「不正検知ソリューション」の併用です。

なぜ「併用」が推奨されるのか？

3Dセキュアは"本人かどうか"を確認するツールです。しかし、フィッシング等で本人認証情報ごと盗まれている場合、3Dセキュアは「本人だ」と誤認して通してしまいます（これが3Dセキュアの限界です）。

そこで、「不正検知ソリューション」の出番です。

不正検知ソリューションは、本人確認とは異なる軸でリスクを判定します。

• 「この端末は過去に不正に使われた履歴がある」
• 「深夜2時に、換金性の高い商品を、短時間に連続で購入している」
• 「配送先住所が、過去にトラブルがあった住所と一致する」

このように、たとえ認証情報が正しくても、「行動がおかしい」「文脈が不自然だ」という異常を検知してブロックすることが可能となります。

3Dセキュアという「強固な門」と、不正検知ソリューションという「優秀な監視カメラ」を組み合わせることで、初めて死角のない「線の対策」が完成するのです。

5. 【無料DL】あなたのサイトは大丈夫？セキュリティを総点検

セキュリティ対策に終わりはありません。2025年4月の3Dセキュア原則必須化対応は、あくまで「スタートライン」でした。

2026年の今、改めて自社のセキュリティ体制を見直す必要があります。

「昨年の対応に抜け漏れがなかったか再確認したい」

「具体的にどのツールを組み合わせれば、コストを抑えつつ安全性を高められるかわからない」

そのようなEC事業者様のために、『クレジットカード不正利用 現状と対策』資料をご用意しました。

本資料では、記事で解説した「線の対策」をすぐに実行に移すための以下の情報を網羅しています。

• セキュリティ・チェックリスト
  管理画面のアクセス制限（IP制限、2要素認証）や、データディレクトリの設定不備対策など、EC事業者様が今こそ見直すべき必須項目を20項目以上にわたりリスト化。
• コスト重視 vs 堅牢性重視のおすすめ対策プラン
  「必要最小限の必須セキュリティ対策プラン」と「網羅的な堅牢セキュリティ対策プラン」の構成例を図解で提示。
• 具体的な攻撃手口と対策フロー
  万が一、情報漏えいや不正利用が発生してしまった場合の「初動対応」から「調査」「公表・再発防止」までの時系列フローチャート。

攻撃者は、常に対策の「隙」を探しています。被害に遭ってからでは、失った信用を取り戻すのに何倍ものコストと時間がかかります。

まずは自社の「守り」の現状を把握し、必要な対策を打つための第一歩として、本資料をご活用ください。

■ 不正利用対策ならPGマルチペイメントサービス

GMOペイメントゲートウェイの「PGマルチペイメントサービス」は、単なる決済代行にとどまりません。

3Dセキュアの導入支援はもちろん、記事中で紹介した「Forter」「sift」などの不正検知ソリューションや、クレジットマスターを防ぐ「大量アタック遮断サービス」まで、貴社の課題に合わせたセキュリティ対策をワンストップで提供可能です。

「カゴ落ちを増やさずに不正を減らしたい」「自社に最適なツールの組み合わせを知りたい」というご相談も承っております。ぜひお気軽にお問い合わせください。