ECサイトの不正ログイン防止策 ― WelcartとO-PLUXで実現する“決済前”防御

ECサイトを守る「3大セキュリティ対策」

EC事業者が最低限取り組むべきセキュリティ対策は大きく3つに分けられます。

近年の業界ガイドライン^（※1）では、これら決済前・決済時・決済後を通した、多層的な対策の整備が求められています。特に本記事で焦点を当てる「不正ログイン対策」は、個人情報や過去の注文データを守り、様々な被害の連鎖を断ち切る「要（かなめ）」となる非常に重要な防御線です。

なぜ今、「不正ログイン対策」なのか

不正ログインとは、悪意のある第三者が、何らかの方法で入手したIDとパスワードのリストを使い回したり（クレデンシャル・スタッフィング）、プログラム（BOT）で総当たり攻撃を仕掛けたりして、正規の会員になりすます行為です。

万が一ログインを突破されると、下記のような被害が連鎖的に発生するリスクがあります。

このように、不正ログインは単なる「なりすまし」に留まらず、事業者とお客様の双方に深刻な被害をもたらします。独立行政法人情報処理推進機構（IPA）も継続的に注意喚起^（※2）を行っており、対策は事業者の責務となりつつあります。

この「決済の手前」で異常を見抜くには、IDとパスワードの正しさだけでなく、アクセス環境や操作の“違和感”を評価する仕組み、つまり「正しい認証情報を持った不正者」を見分ける技術が鍵となるのです。

O-PLUX Account Protectionとは？

そこで有効なソリューションとなるのが、かっこ株式会社が提供する「O-PLUX Account Protection」です。会員登録・ログインの瞬間に、端末特性・操作挙動・接続元IPなどを総合判定し、不正ログインや不正会員登録をリアルタイムに検知 / ブロックするクラウドサービスです。

多層的なアプローチで不正を見抜く仕組み

O-PLUXは、以下の特徴的な技術で不正アクセスを高い精度で検知します。

• 端末特定技術と操作情報の活用
  特許技術である「デバイスフィンガープリント」でアクセス端末を特定し、操作情報とあわせて同一人物による行為か、あるいはBOTによる操作かを見抜きます。
• 接続元情報の分析
  IPアドレスや位置情報（ジオ情報）の分析、匿名化ツール利用の検知により、不審なアクセスを可視化します。
• 横断的な不正知見とハイブリッド審査
  多数のサイトを横断した不正の知見（ネガティブデータ）を活用し、機械学習と専門家による審査ルールを組み合わせたハイブリッドな手法で判定します。

これらの多層的なアプローチにより、正しいIDとパスワードでログインしてきたとしても、その人となりや接続環境の不自然さから不正を弾くことが可能です。公開事例では不正アカウント検知率99%^（※3）を達成した報告もあり、その信頼性と運用ノウハウは高く評価されています。

Welcartと「公式連携」がもたらす大きなメリット

Welcartでは、このO-PLUX Account Protectionとご自身のECサイトを公式に接続できる、無料の拡張プラグイン「WCEX O-PLUX Account Protection」を提供しています。

この公式プラグインにより、インストールして簡単な設定を行うだけで連携が完了します。これにより、会員登録やログイン時にO-PLUXの審査が自動で実行され、審査結果が「REVIEW（監視）」「NG（拒否）」だった場合の挙動（ログインを許可するか、拒否するか）をWelcartの管理画面から簡単に選択できるようになります。

従来、連携にはシステム間の個別開発が必要となり、導入のコストや時間が大きなハードルでしたが、インストール＋簡単設定まで導入のハードルを劇的に引き下げ、高度なセキュリティ対策をすべてのWelcartユーザーが利用しやすくなった点が最大のメリットです。

具体的に“何を”防げるのか（被害像と抑止ポイント）

乗っ取りの典型は、他サービスから漏れたID/パスワードを使い回すクレデンシャル・スタッフィングです。
ログインさえ突破されれば、住所変更や支払情報の悪用に直結します。
O-PLUXは端末特性や挙動、IPの異常を加点し、正当ログイン“に見える不正”を水際で遮断します。さらに、多重アカウント（特典濫用）や、BOTによる大量登録・総当たりにも操作リズムの不自然さから対処可能です。^（※4）

【ケース1】なりすましログイン（クレデンシャル・スタッフィング）

他サービスから漏えいしたID・パスワードを使い回す典型的な攻撃です。ログイン情報自体は正しいため、通常の認証は通過してしまいます。O-PLUXは、普段と異なる端末特性や不審なIPアドレスからのアクセスを検知し、水際で遮断します。

【ケース2】多重アカウントによる特典の濫用

初回購入クーポンなどを不正に取得するため、同一人物が複数のアカウントを作成する行為です。O-PLUXは、氏名やメールアドレスが異なっていても、同一端末や相関性の高い属性からの連続登録をデバイス情報や行動の相関から見抜きます。

【ケース3】BOTによる総当たり攻撃

プログラムを使い、ID・パスワードの組み合わせを機械的に大量試行する攻撃です。O-PLUXは、人間では不可能な操作速度や単調な操作リズムといった不自然な挙動から、BOTによるアクセスを効果的に対処します。

Welcartへの導入はかんたん！4つのステップ

Welcartユーザーが導入する際の流れは、とてもシンプルで以下の4つのステップで完了します。
専門的な開発作業は不要で、管理画面からの設定のみで進めることができます。

1. O-PLUX Account Protection（有償サービス）の契約

   かっこ株式会社へお問い合わせの上、「O-PLUX Account Protection」の利用契約を行います。

2. 拡張プラグインを無料で購入・ダウンロード

   Welcart公式サイトの商品ページから、拡張プラグイン「WCEX O-PLUX Account Protection」を無料で購入手続きし、プラグインファイル（zip形式）をご自身のPCにダウンロードします。

3. プラグインのアップロードと有効化

   WordPressの管理画面にログインし、「プラグイン」>「新規追加」>「プラグインのアップロード」画面を開きます。そこで、先ほどダウンロードしたzipファイルをアップロードし、インストール後に有効化してください。

4. 連携設定と挙動の選択

   Welcartの管理画面に追加された設定項目で、O-PLUXの契約情報を入力・設定します。あわせて、不正アクセスが検知された（REVIEW／NG）際の挙動（ログインや会員登録をさせるかさせないか）を選択すれば、すべての設定は完了です。

REVIEW／NGの際のモードは簡単に切り替え可能ですので、最初はブロックせずに監視として運用してみるとよいかもしれません。
どんなアクセスが検知されるかを確認し、問題なければ「ブロックモード」に切り替える、という段階的な進め方がスムーズでおすすめです。

よくある質問（FAQ）

まとめ：被害の連鎖を断ち切るために

参考・出典（主要ソース）

• (※1) クレジットカード・セキュリティガイドライン【6.0版】改訂ポイント（クレジット取引セキュリティ対策協議会）
  https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_6.0_revisionpoint.pdf
• (※2) 独立行政法人情報処理推進機構
  https://www.ipa.go.jp/security/anshin/measures/account_security.html
• (※3) PR TIMES DMM通販における不正アカウント検知率99%を達成
  https://prtimes.jp/main/html/rd/p/000000129.000009799.html
• (※4) かっこ株式会社 | 不正検知サービス
  https://frauddetection.cacco.co.jp/o-plux/