Seguridad de cuentas de comercio electrónico: detén las compras no autorizadas

Lectura de 9 min aprox.

EC サイトのアカウントには、氏名、住所、電話番号、クレジットカード情報など、攻撃者にとって極めて価値の高い個人情報が集約されています。アカウントが乗っ取られると、不正購入による金銭的被害だけでなく、個人情報の悪用やなりすまし被害にまで発展する可能性があります。日本クレジット協会の 2024 年報告によると、クレジットカード不正利用被害額は年間約 555 億円に達し、そのうち EC サイト経由の番号盗用被害が 93% 以上を占めています。 2025 年現在もこの傾向は続いており、EC サイトを狙った攻撃は増加の一途をたどっています。本記事では、EC サイトアカウントを安全に管理するための具体的な方法と、パスつく.com を活用した防御策を解説します。

結局どうすればいいのか

EC サイトのアカウント保護は、技術的に複雑なことをする必要はありません。初心者の方は、まず利用頻度の高い EC サイト (Amazon、楽天など) のパスワードをパスつく.com で 16 文字以上のランダムなものに変更し、二段階認証を有効にしてください。中級者の方は、すべての EC サイトに固有のパスワードを設定し、パスワードマネージャーで一元管理したうえで、利用頻度の低いサイトのカード情報を削除する運用に切り替えましょう。この 2 つのレベルの対策だけで、EC アカウントへの不正アクセスリスクを 95% 以上低減できます。

EC サイトアカウントが狙われる理由

EC サイトのアカウントは、攻撃者にとって直接的な金銭利益につながるため、優先的に狙われます。乗っ取ったアカウントで高額商品を購入し、転売先に配送させる手口は広く知られています。また、アカウントに保存されたクレジットカード情報を抽出して他のサイトで不正利用するケースもあります。

攻撃の手口として最も多いのが、他のサービスから漏洩したメールアドレスとパスワードの組み合わせを使ったクレデンシャルスタッフィング攻撃です。Akamai の調査では、EC 業界に対するクレデンシャルスタッフィング攻撃は年間 100 億回を超えており、全業界の中で最も多い標的となっています。2025 年現在も同様の傾向が続いており、 Akamai の最新レポートでは EC 業界への攻撃がさらに増加傾向にあると報告されています。複数の EC サイトで同じパスワードを使い回していると、1 つのサービスの漏洩が全 EC サイトのアカウント侵害に直結します。この攻撃が成功する背景には、パスワードの使い回しが依然として広く行われている現実があります。 Security.org の 2024 年調査では、インターネットユーザーの約 65% が複数のサービスで同一のパスワードを使用していると回答しています。

よくある誤解として「大手 EC サイトなら安全」と考えがちですが、攻撃者が狙うのはサイト側のシステムではなく、利用者個人の認証情報です。サイト側のセキュリティがどれほど堅牢でも、パスワードの使い回しがあれば防御は無力化されます。

EC アカウント保護の基礎知識として、クレデンシャルスタッフィング対策の実践書 (Amazon)も参考になります。

EC サイトアカウントの保護策

サイトごとに固有のパスワードを設定する

EC サイトのアカウント保護で最も重要なのは、サイトごとに異なるパスワードを設定することです。パスつく.com で 16 文字以上のランダムなパスワードを各サイト用に生成し、パスワードマネージャーに保存してください。英大文字・英小文字・数字・記号の 4 種類すべてを含めることで、総当たり攻撃に対する耐性を最大化できます。

特に、決済情報が登録されている EC サイトには 20 文字以上のパスワードを推奨します。パスつく.com の強度メーターで 80 ビット以上のエントロピーが表示されていることを確認してください。 16 文字の英数字記号混合パスワードは約 105 ビットのエントロピーを持ち、現在のコンピュータ性能では総当たりに数兆年を要する計算になります。

二段階認証を有効にする

主要な EC サイトの多くは二段階認証に対応しています。 SMS 認証よりも、認証アプリ (Google Authenticator、 Microsoft Authenticator など) を使った TOTP 認証のほうが安全性が高いため、認証アプリが利用可能な場合はそちらを選択してください。

二段階認証を設定すると、パスワードが漏洩した場合でも、認証コードなしではログインできないため、不正アクセスのリスクを大幅に低減できます。Google の報告では、SMS ベースの二段階認証でもフィッシング攻撃の 96% をブロックでき、認証アプリを使えばほぼ 100% の防御率に達するとされています。

注意点として、二段階認証のリカバリーコードは必ず安全な場所に保管してください。端末の紛失や故障で認証アプリにアクセスできなくなると、アカウントからロックアウトされる事態に陥ります。

クレジットカード情報の保存を見直す

EC サイトにクレジットカード情報を保存しておくと、購入時の手間が省けて便利ですが、アカウントが乗っ取られた場合の被害が拡大します。利用頻度の低いサイトでは、カード情報を保存せず、購入のたびに入力する運用を検討してください。また、バーチャルカードやプリペイドカードを利用することで、万が一の不正利用時の被害額を限定できます。

バーチャルカードは利用ごとに異なるカード番号を発行できるサービスもあり、仮にカード番号が漏洩しても再利用される心配がありません。月額の利用上限を設定できるサービスを選べば、不正利用時の被害額をさらに抑制できます。

不正利用の早期発見と対処

購入通知を有効にする

EC サイトやクレジットカード会社が提供する購入通知機能を必ず有効にしてください。メールやプッシュ通知で購入のたびに通知を受け取ることで、身に覚えのない取引を即座に検知できます。不正購入を発見した場合は、直ちにパスワードを変更し、 EC サイトのカスタマーサポートとカード会社に連絡してください。

不正利用の発見が遅れるほど被害額は拡大します。カード会社への届出が遅れると、補償の対象外となる場合もあるため、通知設定は最優先で行うべき対策です。多くのカード会社では不正利用の届出期限を 60 日以内と定めています。

ログイン履歴を定期的に確認する

多くの EC サイトでは、アカウント設定画面からログイン履歴を確認できます。見覚えのないデバイスや地域からのログインがあった場合は、アカウントが侵害されている可能性があります。不審なログインを発見したら、すぐにパスつく.com で新しいパスワードを生成して変更し、すべてのセッションをログアウトしてください。

EC アカウント保護のセルフチェックリスト

以下の項目を定期的に確認し、EC アカウントの安全性を維持してください。

各 EC サイトに固有の 16 文字以上のパスワードを設定しているか
二段階認証 (できれば認証アプリ) を有効にしているか
利用頻度の低いサイトのカード情報を削除しているか
購入通知メール・プッシュ通知を有効にしているか
過去 30 日間のログイン履歴に不審なアクセスがないか
パスワードマネージャーで認証情報を一元管理しているか
リカバリーコードを安全な場所に保管しているか

フィッシング詐欺への警戒

EC サイトを装ったフィッシングメールは、最も一般的な攻撃手法の一つです。「アカウントが停止されました」「不正なログインが検出されました」といった緊急性を煽るメールに含まれるリンクは、偽のログインページに誘導するものがほとんどです。フィッシング対策協議会の報告では、 EC サイトを騙るフィッシングは報告件数全体の約 35% を占め、最も多いカテゴリとなっています。

メール内のリンクからログインページにアクセスするのではなく、ブラウザのブックマークや直接 URL を入力してアクセスする習慣をつけてください。パスワードマネージャーの自動入力機能は、 URL が正規のものと一致しない場合にパスワードを入力しないため、フィッシング対策としても有効です。

フィッシング対策の知識を深めるには、フィッシング詐欺の見分け方と防御策 (Amazon)が役立ちます。

EC サイトのアカウントは、個人情報と金銭の両方に直結する重要な資産です。パスつく.com でサイトごとに固有の強力なパスワードを生成し、二段階認証と購入通知を組み合わせることで、不正アクセスと不正購入のリスクを最小限に抑えられます。まずは利用頻度の高い EC サイトから、パスワードの見直しを始めてみてください。

今すぐできること

パスつく.com で 16 文字以上のパスワードを生成し、最も利用頻度の高い EC サイト (Amazon、楽天) のパスワードを変更する
Amazon と楽天の二段階認証 (認証アプリ) を有効にする
利用頻度の低い EC サイトに保存されているクレジットカード情報を削除する
EC サイトとクレジットカードの購入通知メール・プッシュ通知を有効にする
過去 30 日間のログイン履歴を確認し、不審なアクセスがないか点検する