2025.12.172025年のブラックフライデー不正トレンドと今後の展望

本記事は、Sift Science, Inc.のBlog記事「Black Friday 2025 Fraud Trends: ATO Surges, High-Value Attacks, and What to Expect in 2026」を日本語に翻訳したものです。

本記事の著作権は、Sift Science, Inc.および同社の国内パートナーである株式会社DGビジネステクノロジーに帰属します。

Sift Trust and Safety Team 著 / 2025年12月9日

2025年のブラックフライデーとサイバーマンデーは、過去最高の消費者需要を記録し、それに比例するかのように過去最大級の不正リスクも発生しました。米国では、推定2億290万人の消費者が5日間にわたるホリデーセールに参加し、ブラックフライデーの米国内eコマース売上は118億ドル、世界全体では790億ドルに達しました。予想通り、お金の動きに付随して不正も増加しました。

Siftグローバルデータネットワーク全体で見ると、BFCM（ブラックフライデーおよびサイバーマンデー）期間中の取引量は、前年比13.8%増加しました。アカ​​ウント乗っ取り（ATO）攻撃の全体発生率は、2025年当初から累計で13.6%上昇し、1.64%から1.87%に増加しました。これらの攻撃はすべてSiftによって事前にブロックされ、チャージバックや損失には至っていませんが、この前年比の伸びから、不正犯が大量のトラフィックを隠れ蓑にして大規模な攻撃を仕掛けた実態が浮き彫りになっています。

変化の激しい市場は、依然として不正の主要なターゲットに

利便性を重視する市場は、繁忙期に不正の標的となりやすい傾向があります。eコマース、フィンテック、デジタルプラットフォーム、旅行業界などは、繁忙期にはスピード・自動化・そして低い摩擦（ユーザー負担の少なさ）を優先します。しかしこれらの条件が逆に、アカウントと取引の両方を狙った組織的な不正行為の格好の隠れ蓑となってしまいます。

2025年のBFCM期間中、デジタルコマースではアカウント乗っ取りが前年比で24%増加し、1.35%から1.67%へ上昇しました。金融およびフィンテック業界でも同様に20%増加（0.49% → 0.58%）しました。インターネットおよびソフトウェア系のプラットフォームも7.7%増（1.55% → 1.67%）となっています。これらの増加傾向は、売上機会の拡大と連動する形で、自動化されたログインの悪用が増加していることを示しています。

旅行・チケット業界では、業界全体で最も高いアカウント乗っ取り率が記録され、BFCM期間中に2.30%から2.36%へと上昇しました。他業界と比較すると上昇幅は小さいものの、再販価値の高さや在庫の時間的制約から、リスクの絶対値は依然として高い水準にあります。季節需要の高まりが、すでに厳しい不正リスクの環境をさらに悪化させているのが、この業界の現状です。

不正の経済的側面が変化

Siftのグローバルネットワーク全体では、2025年のBFCM期間中、不正試行取引の平均金額は全体で16%減少し、138ドルから116ドルに減少しました。この傾向は、盗まれた認証情報や決済手段を確認するため、検知されにくい少額のテスト取引が広く行われている実態を反映しています。

しかし、デジタルコマースの分野では全く異なる動きが見られました。eコマース全体では不正試行取引の平均金額が93%急増し、130ドルから250ドルに跳ね上がりました。この急増から、不正犯が単に取引量だけを狙うのではなく、高額なリテール取引に焦点を絞って攻撃を仕掛けていたことが伺えます。季節需要による取引の急増が不正の検知を困難にし、リターンの大きい取引が狙われたのです。

AIを活用した不正とショッピングエージェントの悪用が加速

2025年のBFCMはまた、不正手口における生成AIの影響力が拡大していることも浮き彫りにしました。サイバー犯罪者は現在、AIを活用して非常に巧妙なフィッシング詐欺や偽のオンライン店舗、偽ブランドの体験を作り出し、それらを有名サイト上の広告や検索結果の操作を通じて拡散しています。こうした不正は実在するブランドを驚くほど正確に模倣し、大量の認証情報や決済データ収集した後、姿を消します。

同時に、消費者の購買行動もAIを活用した商品発見へと急速に移行しています。現在では、約半数の消費者がAIを主要な商品発見手段として活用しており、キュレーションされたAIの回答が、ブランドと消費者が直接接点を持つ前に、購買行動に大きく影響を与えています。エージェンティックコマースが、2030年には米国だけで1兆ドル規模の小売収益に達すると予測される中、大量購入、在庫の枯渇化、プロモーションの不正利用など、新たな自動化リスクが次々に生まれています。取引の双方が自動化されることで、ピーク時のショッピングイベントでは、不正攻撃のスピードもますます加速していきます。

2026年に向けて

ホリデーシーズンの中にアカウント乗っ取りが急増することは、翌四半期にかけて紛争件数の増加につながる可能性があります。乗っ取られたアカウントが後から悪用され、その被害が請求書に反映されるまでに数週間かかるためです。2025年のBFCM期間中、コマースおよびフィンテック全体でアカウント乗っ取りが増加したことを踏まえ、企業は2026年初頭にかけてチャージバックの圧力に備える必要があります。

リスク管理・決済部門における具体的な優先対応事項

• 大規模なリスク判断の自動化：取引の急増により、手作業による審査は現実的ではなくなりました。しきい値を一律に下げてリスクを高めるのではなく、機械学習と自動化されたワークフローを活用して、変化するリスクに動的に対応しましょう。自動化により、信頼できる顧客の承認率を維持しながら、不審なアクティビティをリアルタイムで動的にブロックすることができます。
• アカウント乗っ取りを先手で阻止：トラフィックが集中する時期にアカウントを保護することは、顧客の長期的な信頼を維持する上で不可欠です。リアルタイムのシグナルで不審なログインを検知し、顧客体験を妨げることなく、自動でセキュリティ通知を送信して異常を知らせる仕組みを整備することができます。
• 必要に応じてステップアップ認証を導入：アカウント情報の変更、新しい支払い方法の追加、高額取引など、リスクの高い操作に対しては、事前にステップアップ認証を行い、正当性を確認します。これにより、ログイン後の不正行為も抑制することができ、リスクが高い場面にのみ適切なセキュリティ負荷を加えることができます。
• 購入後の顧客体験強化で後工程のリスクを軽減：長期的なプロモーション、返品対応、配送遅延は、紛争リスクを高める要因になります。明確なポリシー、簡単な返金手続き、そして積極的なカスタマーサポートをホリデーシーズン中に提供することで、後にチャージバックへと発展するリスクを大幅に抑えることができます。
• 繁忙期におけるアナリストの生産性を最大化：季節的な取引増加は、不正対策チームの対応力を超えることがあります。自動化された承認・ブロック基準を設定し、本当に判断が難しいケースにのみ手動審査を実施することで、プレッシャーのかかる状況下でもスピードと精度の両立が可能になります。
• 攻撃発生前にエスカレーション体制を明確化：大規模な不正行為には、部門を横断した迅速な対応が求められます。事前にリスク管理、エンジニア、オペレーション各部門でエスカレーション手順を定め、コードフリーズ前にシステムの脆弱性を洗い出しておく必要があります。
• チャージバックの季節に備える：第1四半期には、ホリデーシーズン中の不正や購入行動に起因する紛争が例年多発します。明確な返品・キャンセルポリシーを設けることで、ファーストパーティ不正や勝ち目のない紛争による損失を軽減することができます。

季節変動に対応する柔軟な不正対策

季節需要の増加に伴い、サイバー攻撃も季節的に繰り返されるようになっています。こうした変動を管理するには、連動性と柔軟性を備えた不正対策が不可欠です。Siftでは、グローバルな機械学習、デバイスインテリジェンス、そして行動シグナルを組み合わせ、大規模な自動化不正や重大な不正行為を阻止します。

Siftの「RiskWatch」などの革新的な機能により、企業は不正パターンの変化に応じてリアルタイムでブロック率を動的に調整できます。ブラックフライデーのような急激な需要イベントでも、不要なユーザー負担をかけることなく、高いセキュリティレベルを維持することができます。2026年に向けて、企業の明暗を分けるのは、大規模な自動不正・高額攻撃・そしてAIを活用した不正に対して、どれだけ効果的に対処できるかという点です。FIBR (Siftの不正対策ベンチマークレポート) は、自社の不正率をグローバルデータネットワーク上の業界平均と照らし合わせることができる、初の不正ベンチマークツールです。ぜひ活用ください。