2024年11月26日8:00
ペイメントナビでは2024年10月25日、「ペイメント取引セキュリティ対策セミナー2024」を開催。その最終セッションとなったパネルセッションには、イシュア、アクワイアラ、PSPと立ち位置が異なる3社が登壇。不正対策の現状と課題について議論を交わした。
登壇者:アメリカン・エキスプレス フロードリスクマネジメント マネージャー 朝比奈孝弘氏/株式会社クレディセゾン クレジットテックセンター長 新井達也氏/GMOペイメントゲートウェイ イノベーション・パートナーズ本部 営業推進部 決済企画課 課長 財津拓郎氏
モデレーター:ペイメントナビ(payment navi)池谷貴
クローズドループの中で多角的情報をフル活用
外部取得データの取り込みで精度が向上(アメリカン・エキスプレス)
――クレジットカードの不正利用を防止するには、国際ブランド、クレジットカード会社、決済代行会社などそれぞれの立場からの対策が必要になります。ご登壇いただいた3社が取り組んでいる不正対策についてお聞かせください。まずアメリカン・エキスプレスの朝比奈さんからお願いいたします。
朝比奈(アメリカン・エキスプレス:以下、アメックス):アメリカン・エキスプレスのセキュリティへの取り組みをご紹介させていただきます。今回、私は、国際ブランドという立ち位置でここに座らせていただいているのだと思いますが、実際のビジネスの環境は、MastercardやVisaとは少し違っています。全世界を舞台にオンアス(クレジットカードの発行(イシュア)と加盟店契約(アクワイアラ)が同一の会社)を展開しようとしているグローバル・カンパニーだとイメージしていただけば、わかりやすいかもしれません。加盟店、カード会社の双方との直接のかかわりを持って、クローズドループの中でデータを一括して管理することで、最適なサービスを提供することを目指しています。
今回のテーマであるカード不正利用対策において、私どもがどのような方法で不正犯を判定しているかといいますと、ベースにあるのは機械学習モデルに基づくスコアリングの技術です。社内にラボを立ち上げ、運用を開始してから、10数年になります。定期的にアップデートを行い、最適化を図っておりまして、現在のモデルは14世代目ぐらいになります。
これには多様かつ大量のデータを活用しております。まず、世界中の加盟店データ、および、会員データ、そして取引データ。これらを掛け合わせてカード利用のパターン異常を検知しています。これに加えて近年は、外部取得データを積極的に活用しています。従来の国内オーソリのプラットフォーム上では取得しきれていなかった利用者のIPアドレス、eメールアドレスなどを、3-Dセキュアを介した取引によってリアルタイムで取得し、不正判定に利用できるようになったことで、検知の精度が向上しています。
2019年以降、残念ながら日本のカード不正利用被害額が右肩上がりで増加しています。総売上に対する不正被害の発生率も、以前は業界平均で0.03%ぐらいだったものが0.05%ぐらいまで上昇しています。私どもでは3-Dセキュアを本格導入した2020年以降、それ以前は業界水準と同じぐらいの比率だったものが、大きく低下し、そのレベルを今もキープできています。このことは、外部取得データの取り込みが功を奏している証左であると認識しています。
私どもではクローズドループのデータ活用、機械学習を活用した不正予測モデル、お客様へのきめ細やかなケアを3つの柱として、これからも安心、安全なクレジットカードの運用を行っていく所存です。
全社を挙げて「線」の対策を推進
Webでの調査依頼受付も奏功(クレディセゾン)
――ありがとうございました。では、クレディセゾンの新井様、お願いいたします。
新井(クレディセゾン):当社では2023年4~6月に不正が急増したことをきっかけに、全社的に不正対策の方針の見直しを図りました。それまでは専らセキュリティ部門が不正検知を担ってきたのですが、一部門がいくらがんばっても不正を収めることはできないという認識に立って、全社を挙げて、セキュリティガイドラインの「線の考え方」に則り、カード決済前、決済時、決済後のそれぞれの領域におけるセキュリティ対応強化への取り組みを開始しました。
決済前の領域で特に力を入れたのは、フィッシングサイトのテイクダウンです。当社のサイトを真似たフィッシングサイトが数多くつくられているという現状があります。とある調査会社の調査で上位にランキングされたこともあります。そこでサイトのテイクダウンに強いベンダーと提携し、対策に取り組んだ結果、最近ではセゾンを装ったフィッシングサイトは徐々に減りつつあります。
決済前の対策としてはほかに、会員サイトのログイン通知や、Apple PayやGoogle Payなどのプロビジョニングの認証強化の取り組みを行っています。
カード決済時の領域における取り組みでは、EMV 3-Dセキュアのリスクベース認証を強化しています。統計のツールなどを活用しながら、どういった項目を掛け合わせたら最大の効果を得られるかを日々検証して、運用方法を更新しています。また、機械学習モデルを活用した不正検知、スコアリングや、データ分析による不正の可視化によって、検知精度の向上を図っています。ほかに、アプリへの利用通知や、利用確認アンケート付きSMSの送信なども実施しています。
分析による不正の可視化と申し上げましたが、われわれはこれにBIツールを活用しています。オーソリの不正検知システム、3-Dセキュアのリスクベースの不正検知システム、Visaブランドが提供する不正検知システム、会員属性データベースなど、いろいろなところに蓄積されたデータをまとめて分析して、リアルタイムではとらえきれなかった不正利用を見つけ出す取り組みです。リアルタイムではないので一歩遅れた対応にはなるのですが、そのまま放置しておけば繰り返し不正が行われて、お客様から申告があったときには限度額いっぱいまでやられていたということになりかねません。そういったケースを少しでも減らすために、このような対策を行っています。
利用確認アンケート付きSMSというのは、不正が検知されたタイミングでお客様に「これはお客様のご利用ですか?」という旨のアンケートを付けたSMSを配信するというものです。この回答によって、本人の利用であれば、不正検知の際にかかったカードの利用制限を一時的に解除する。本人の利用ではないという申告があれば、その瞬間からカードの機能をいったん止めて、われわれからあらためてコンタクトをとって、差し替えをするといった取り組みです。これによって請求明細の到着時点でのお客様からの申告を待たずに、利用があったタイミングでの不正の早期発見、早期の対処が可能になりました。同時にお客様1人当たりの不正被害の単価もかなり下げることができたと考えています。
決済後の領域では、不正利用が発覚した取引の配送停止依頼のオンライン化の取り組みと合わせて、われわれが力を入れたのが、顧客からの利用調査依頼の受付をWeb化したことです。「利用した覚えのない請求がきているので調べてほしい」という申し出を、今までは電話だけで受け付けていましたが、これをWebからも受け付けられるようにしたのです。Webの請求明細画面から、覚えのない請求を選択すると、いくつかの質問が並ぶ画面に遷移し、それに回答していただきながらやはり利用に覚えがないということになれば、われわれに利用調査の依頼を申し入れていただくという流れになっています。
調査依頼をWebで24時間365日、手元のスマートフォンなどから簡単に申告できるようにしたことで、お客様のストレスを軽減し、顧客体験を向上させることができました。しかしわれわれがこの導入を決めるまでには、さまざまな議論がありました。操作が簡単になることで、身に覚えのないもの以外の請求についても調査依頼がきてしまうのではないかという懸念があったためです。けれどもふたを開けて見ると、懸念していたような事態は起きませんでした。受付内容の傾向は、電話で受けていたときと変わりありません。期待通りに不正の早期発見の効果が発揮されており、決断してよかったと思っています。
加盟店に一番近い決済代行会社の立場で不正対策ソリューションを多数ラインナップ
エンドユーザー向け多要素認証機能を活用した、新サービスを提供開始(GMO-PG)
――では、GMOペイメントゲートウェイの財津様、お願いいたします。
財津(GMOペイメントゲートウェイ:以下、GMO-PG):当社は決済代行会社として、加盟店に対して、契約を一本化したり、システムを提供したり、精算周りのお金を取りまとめて加盟店に提供するといったことを主軸としたさまざまな機能を提供しています。これにプラスして近年はカードセキュリティが非常に重要なポイントになってきていますので、これに注力しているというところです。
クレジットカード・セキュリティガイドラインに掲載されている不正対策の「線の考え方」に沿って考えますと、われわれは決済代行会社なので、これまでは真ん中にあるカード決済時の対策に注力してきました。2025年以降は不正ログイン対策も非常に重要になってくるということで、今後はカード決済前の対策にも力を入れて取り組んでいく意向です。
また、われわれはソリューションの提供も行っており、情報漏えい対策、不正利用対策、クレジットマスター対策のそれぞれに多数のソリューションをラインナップしています。
われわれは日々、加盟店に一番近いところで活動しております。3-Dセキュアに関しては、2025年3月までの導入を促進するため、また、不正ログイン対策やEMV 3-Dセキュアに必要なツールや対応をお知らせするために、ウェビナーの開催、メール配信、ホームページへの記事掲載などを行っています。また、われわれの200名を超える営業部隊のうち、決済にかかわる営業を担う120~130名が加盟店やパートナーを訪問して、きめ細かい対応によって付加価値を提供しています。
不正ログイン対策の一環として、この10月中にVerifyサービスという名称で決済に直接紐づかない認証、本人確認のサービスの提供を開始する予定です*。エンドユーザー向けの多様な認証を、Web上の顧客接点における任意のタイミングで実施できるサービスで、第一弾として不正ログイン対策の多要素認証として活用していただけるSMSの認証をリリースします(*)。来春にはマイナIC認証をリリースする予定です。
*本レポート掲載時点ではサービス提供開始済み
SMS認証は皆様ご存じのとおり、SMSでワンタイムパスワードを送って入力を求めることで本人性を確認するというものです。マイナIC認証というのは、デジタル庁が提供するデジタル認証アプリを介して必要情報を入力してもらい、それを読み取って、その認証結果により本人性をより厳密に確認するものです。幅広い業種業態に利用が広がるものと見込んでおります。Verifyサービスでは、FIDO(Fast Identity Online)を含めいろいろな認証を随時追加していく予定です。
Web上で取引が完結する商材は狙われやすい
不正情報を共有できる体制の構築が急務
――日本クレジット協会によりますと、クレジットカードの不正利用はデジタルコンテンツ、家電、電子マネー、チケット、宿泊予約サービスなどが特に多くなっているようです。昨今顕在化している不正の手口にはどのようなものがあり、皆様はそれに対してどのような方策を講じていらっしゃるのでしょうか。
