スニーカー・コスメ・限定コラボ商品など、Shopify で人気商品の限定販売をすると必ず直面するのがボット転売の問題です。人間より高速に注文を完了するボットが在庫を瞬時に買い占め、正規顧客が買えないまま転売市場に流れるという構造で、ブランドへの不満や CS 工数の増大に直結します。
幸い、Shopify は標準のボット対策機能をいくつか備えており、加えて注文制限・サードパーティアプリ・監視ツールを組み合わせれば多層防御が可能です。本記事では、Shopify ストアでボット転売・転売目的注文を防ぐための実践的な対策を 5 層で整理します。
ボット転売の手口 — 何を防ぐべきか
ボット転売は、自動化スクリプトや専用ツールが正規顧客を装って大量注文する行為です。代表的な手口を整理します。
1. 通常購入ボット(スピード勝負型)
リリース時刻に合わせてカート投入・決済を秒単位で実行する自動スクリプト。スニーカーリリースや限定コスメで頻発します。
2. プロキシ・IP 分散型ボット
複数の IP アドレス・住所・支払い情報を使い分けて 1 商品あたりの購入数制限を回避するパターン。クレジットカード番号は同一でも、配送先と決済名義だけ変えてくる事例もあります。
3. 在庫枯渇型ボット
商品をカートに入れたまま決済を完了せず在庫を仮押さえし続ける手口。Shopify の在庫予約タイマー仕様を悪用するもの。
4. アカウント作成ボット
事前に大量のメールアドレスでアカウントを作成しておき、リリース時に並列ログインして注文するパターン。
5. CAPTCHA 突破ボット
CAPTCHA を画像認識・人力代行サービス・AI モデルで突破するツール。基本的な CAPTCHA だけでは止められないため、行動分析と組み合わせる必要があります。
防御の難易度は手口によって異なり、すべてを単一対策で防ぐことは不可能です。だからこそ多層防御の設計が必要になります。
Shopify 標準のボット対策機能
Shopify はプラットフォームとして一定のボット対策をデフォルトで提供しています。
Shopify Bot Protection(基本機能)
Shopify Plus を中心にShopify Bot Protection という機能が利用できます。チェックアウト時に不審な行動パターンを検出し、CAPTCHA を表示したり注文を保留にしたりする仕組みです。
- 検出方法: 行動分析(マウスの動き・ページ滞在時間・入力速度など)
- 対応: CAPTCHA 表示・注文保留・自動キャンセル
- 利用可能プラン: Shopify Plus が中心、一部機能は他プランでも利用可
Shopify Plus 以下のプランでも、reCAPTCHA v3 を標準搭載しており、最低限のボット検出は機能します。
IP ベースのレートリミット
短時間に同一 IP から多数のリクエストが届くと、Shopify が自動的にブロックします。ただしプロキシ分散には無力なため、IP ベース対策だけに頼るのは現実的でありません。
Fraud Analysis(不正注文検知)
Shopify は注文ごとに不正リスクを自動評価し、管理画面に「リスクレベル」を表示します。リスクが高い注文を手動で確認・キャンセルする運用が標準です。
限定販売時のリスク — 標準機能だけでは足りない理由
通常販売であれば Shopify 標準機能で足りますが、スニーカーリリースや限定コラボなど人気商品の販売では標準機能だけでは止められないケースが多発します。
理由は次の通りです。
- 同時アクセス数が桁違いに増える: 通常時の100倍以上のトラフィックでレートリミットがあてにならない
- プロキシ分散の規模が大きい: 数千 IP からの並列アクセスでブロック網をすり抜ける
- 正規顧客との見分けが難しい: 限定販売は正規顧客も早押し競争に参加するため、行動パターンだけで判別困難
これらに対処するため、注文制限・サードパーティアプリ・監視ツールを組み合わせた多層防御が必要になります。
対策①: Shopify Bot Protection を有効化
Shopify Plus 利用者は、管理画面の Bot Protection 設定を有効化することから始めます。
設定箇所
「設定 > チェックアウト > Bot Protection」(Shopify Plus)または「設定 > チェックアウト > Spam Protection」(他プラン)で reCAPTCHA を有効化します。
設定のポイント
- チェックアウト前ステップにも CAPTCHA を仕込む(カート追加段階で人間性を確認)
- 自動キャンセル基準を保守的に設定(誤検出での正規顧客損失を最小化)
- 限定販売イベント前に設定を引き締め、通常販売時に戻す運用
CAPTCHA はユーザー体験を損なうため、常時厳しくする運用は推奨されません。販売イベント単位で締め付けレベルを変える動的運用が現実解です。
対策②: 注文制限機能で物理的に絞る
Shopify には注文単位での制限機能があり、ボットによる買い占めを構造的に防げます。
数量制限
商品単位または注文単位での最大購入数を設定できます。
- 商品単位: 1 ASIN/SKU あたり 1〜2 個など
- 注文単位: 1 注文あたりの合計数を制限
数量制限はアプリ不要で実装可能で、最も効果が高い基本対策です。
住所・電話番号の重複拒否
同一住所・同一電話番号からの注文を 1 回までに制限することで、配送先を変えただけのボット注文を排除できます。Shopify Functions または専用アプリで実装します。
支払い方法の制限
ギフトカード・プリペイドカード経由の支払いを拒否することで、ボットが使う匿名性の高い支払い経路を遮断できます。
アカウント要件
新規アカウントによる注文を制限し、事前登録 + 抽選販売に切り替えるアプローチも有効です。完全なボット排除にはなりませんが、購入競争のスピード勝負を回避できます。
対策③: サードパーティアプリの導入
Shopify App Store には、ボット対策・転売対策に特化したアプリが多数あります。代表的なカテゴリを整理します。
ボット検知特化アプリ
機械学習で不審アクセスを検出し、CAPTCHA や注文保留を実行するアプリ。Shopify 標準の Bot Protection を超える検出精度を求める場合に導入します。
抽選販売アプリ
事前登録 + ランダム抽選で当選者だけが購入できる仕組みを提供するアプリ。スピード勝負そのものを無効化する根本対策として、スニーカー・コラボ商品で広く採用されています。
Queue(行列)アプリ
販売開始時に仮想的な行列を作り、入店順を制御するアプリ。サーバー負荷の平準化とボット排除を同時に実現できます。
不正注文監視アプリ
注文後のリスク評価・手動レビュー支援アプリ。Shopify 標準の Fraud Analysis を強化します。
アプリ導入時は月額コスト・処理速度への影響・既存アプリとの相性を事前に評価する必要があります。
対策④: 監視ツールで転売追跡
ボット対策を行ってもすり抜けた注文や、転売目的の通常注文(ボットを使わない買い占め屋)は残ります。販売後の市場流通を監視し、転売状況を可視化することで、次回販売時の対策強化に活かせます。
監視のポイントは次の通りです。
- 自社商品が Amazon・楽天・Yahoo!・メルカリ等で正規価格を超える価格で出品されていないか
- どの転売販路に最も流れているか
- 新規 SKU が出品されたタイミング
これらをマルチモール対応の監視ツールで横断的に追跡することで、次回販売時に対策を強化できます。
Amazon・楽天・Yahoo! ショッピング・Qoo10 までの転売流通を Sentrio で横断監視できれば、次回販売時の対策強化や、ブランド毀損リスクの早期発見に活用できます。
Amazon と Shopify の二本立てで転売を捉える考え方についてはEC の転売対策は「出品側」と「注文側」の 2 本立て、転売監視ツール全般の比較はEC モール相乗り・転売監視ツール比較も参照してください。
対策⑤: 注文後の手動チェック運用
技術的な対策に加え、注文後の手動チェック運用も重要です。
チェックポイント
- 同一住所・電話番号への複数注文の有無
- ギフトカード・プリペイドカードでの高額注文
- IP アドレス・配送先国の不一致
- アカウント登録から注文までの極端に短い時間
Shopify の管理画面でリスクレベル「高」の注文をリストアップし、CS チームでレビュー・必要に応じてキャンセルする運用を限定販売の翌日に集中実施します。
自動キャンセルポリシーの事前告知
「ボット利用・転売目的と判断した注文は自動キャンセルする」というポリシーを利用規約に明記しておくことで、キャンセル時のクレーム対応を簡素化できます。
Shopify ストアの基礎を整える — そもそも構築段階で対策可能
Shopify ストア構築の段階で、以下の選択を意識するとボット対策が後から楽になります。
- Shopify Plus を選択する: Bot Protection や Shopify Functions の機能差が大きい
- 抽選販売を前提とした商品設計: スピード勝負を避ける販売モデル
- アカウント必須にする: ゲスト購入を許可しないことでボット作成コストを上げる
- 支払い方法を選別する: 高リスク支払い手段を排除
これから Shopify ストアを立ち上げる場合は、ボット対策を後付けで足すのではなく、構築時の前提として組み込む設計が長期的に有利です。
まとめ — 5 層防御で限定販売を守る
Shopify でのボット対策・転売目的注文ブロックの 5 層を整理します。
| 層 | 内容 | 対象手口 |
|---|---|---|
| ① Bot Protection 有効化 | CAPTCHA・行動分析・Fraud Analysis | スピード勝負型・CAPTCHA 突破型 |
| ② 注文制限 | 数量・住所・支払い方法・アカウント | プロキシ分散型・買い占め型 |
| ③ サードパーティアプリ | 抽選販売・Queue・専用ボット検知 | スピード勝負型・在庫枯渇型 |
| ④ 監視ツール | マルチモール転売追跡 | 販売後の市場流通把握 |
| ⑤ 注文後の手動チェック | リスク注文レビュー・自動キャンセル | すり抜けた怪しい注文 |
ボット転売は単一対策では防げません。Shopify 標準 + 注文制限 + アプリ + 監視ツール + 手動チェックの組み合わせで、それぞれの抜け道を補完する設計が必要です。
特に限定販売をリリースする場合は、Shopify Plus の Bot Protection + 抽選販売アプリ + 数量制限 + マルチモール監視という 4 点セットがコスト効率と防御力のバランスが良い構成です。販売イベント前に対策レベルを引き上げ、終了後に通常運用に戻す動的運用で、ユーザー体験への影響を抑えつつ転売リスクを最小化できます。
