2026年6月24日8:05
デジタル決済の急速な普及とともに、ペイメント領域における不正手口は高度化・組織化し、国境を越えて進化している。特にアジアでは、モバイル決済やスーパーアプリの拡大に伴い、不正対策において従来のルールベースだけでは対応が難しい新たな課題が顕在化している――。アジアの主要な決済プラットフォームで実際に観測されている不正攻撃のトレンドや技術的進化の実際とともに、ボット攻撃、アカウント乗っ取り、トランザクション不正などの事例を紹介。さらに、数十億ユーザー規模のサービスを支えるテンセントの実運用経験をもとに、AIとビッグデータを活用した次世代リスクコントロールのアプローチ方法を披露。テンセントクラウドのリスク管理ソリューションを通じて、決済事業者や金融機関がどのように不正リスクを低減し、安全でスムーズなユーザー体験を両立しているのかを詳細に解説する。(2026年3月17日開催「ペイメント・セキュリティフォーラム2026 Spring」の講演より)
Tencent Japan合同会社 Senior Strategic Sales Executive 顔 澤鑫(ガンタクシン/YAN Zexin)氏
WeChat PayのMAUは13億人超
日本では2つのデータセンターが稼働
日本ではさまざまな不正被害が発生していると思いますが、本日は皆様に、日本に限らず中国市場、アジア市場における不正被害の情報、および、それらに対してどのような対策が有効なのかについての情報をお伝えしたいと思っています。
はじめに、私どもTencentについて、簡単にご紹介させていただきます。Tencentは非常に幅広いビジネス領域で、さまざまな技術を提供しております。たとえばTencentは、グローバル市場で最大のゲーム会社です。モバイルゲームに関する収益では、世界一。特許の取得数では世界第2位です。中国において時価総額が最も大きい企業であり、2位の企業の約2倍の時価総額を誇っています。
また、ご存じの通り、WeChat Payは、SNSとしても、決済サービスとしても、中国でトップのサービスです。月間アクティブユーザー数は13億人超で、1日当たりの取引件数は10億件以上に上っています。メディア配信の領域でもリーダー的存在であり、さまざまなIT企業への投資も行っています。中国のユーザーが利用している映像や音楽配信サービスのうち約6割は、Tencent系列のサービスです。
Tencent Cloudは、中国、アジアはもちろん、北米や欧州に関しても主要都市にデータセンターを設置し、幅広い地域をカバーしています。日本においては東京リージョンに2つのデータセンターがあり、来年には大阪に3つ目のデータセンターを開設する予定です。Tencentは各国において、それぞれが定めるコンプライアンスに準じてビジネスを展開しています。
数百人規模の研究員を擁し、世界的評価も高い
Tencentのセキュリティに関する取り組み
Tencentのセキュリティに関する取り組みについてご紹介いたします。
先ほど申し上げました通り、Tencentでは幅広い領域にさまざまな技術を提供しています。そこでまずは自社のセキュリティを守るために、社内にラボを設置し、さまざまな取り組みを行っています。5Gセキュリティ、IoTセキュリティ、AIセキュリティ、クラウドセキュリティなど、それぞれの専門分野ごとに数百人規模の世界トップレベルの研究員を配置し、日々、最先端のセキュリティ攻撃と防衛についての研究を行っています。これまでTencentで、セキュリティに関する重大な事故が起きたことはございません。
グローバルをリードするセキュリティ技術研究開発チームは、Keen Labと呼ばれています。ここでは特に自動車業界に対してセキュリティの技術を提供しています。この成果は世界的に高く評価されています。
次に、TCRS(Tencent Cloud Risk Control Engine)をご紹介します。アジア地域の金融機関向け管理ソリューションの領域において、14%の市場シェアがあります。Gartnerから、2020年から2024年にかけて、グローバルオンライン不正対策市場における銀行向け代表的ベンダーとしての評価を受けております。
Tencentのセキュリティチームの実績をご紹介いたしましたが、このような実績が生まれた背景には、中国やアジア地域におけるさまざまな不正攻撃の脅威があります。さまざまな攻撃を受けた経験をもとに、効果的な対策を編み出してきたわけです。日本においてもオンライン取引にかかわるたくさんの不正が発生していますけれども、そのほとんどが大規模な犯罪グループによるものです。日本国内に不正者がいるケースもあるでしょうが、おそらくほとんどは海外からの攻撃です。Tencentがこれまでグローバルで培ってきた不正対策のソリューションを、日本の皆様にもぜひご紹介したいと考えています。
進化するAIの活用によって
高度化し、爆発的に拡大する不正産業
ここからは、インターネット不正産業の現状と傾向についてお話しします。われわれは不正産業を、黒(ブラック)産業と灰(グレー)産業の2つに分類しています。ブラック産業は、明らかな不正行為、犯罪行為を行っており、グレー産業は、技術、リソース、情報を提供することによってブラック産業を支えています。
2025年のサイバー犯罪関連市場は、全世界で数兆円規模に上っています。その形態は1クリックで攻撃を実行できるCaaS(Crime as a Service)であり、これにより不正を行うハードルは劇的に低下しています。また昨今はAIの技術が非常に発達し、犯罪者は複雑なツールを使わずともAI駆動型で不正をはたらくことができるようになっています。
不正行為は個人が手作業で行うものではなく、まさに産業化しているのです。そして、ブラック産業を支える技術やサービスはどんどん進化しています。たとえば大量のSimカードを供給するSim Card Farmがあり、リアルの端末よりも調達が容易なCloud Deviceがあります。さまざまなデバイスの情報を得たり、テストができるDevice Farm、認証コード生成ツール、ポイント交換サイトなど、犯罪者が非常に簡単にオンライン不正を行える環境が整ってきています。
昨年、2025年の攻撃トレンドTop5を紹介します。1つ目は、CaaSモデルの普及です。攻撃の実行が容易になり、アクションをアウトソーシングするケースも出てきています。2つ目は、犯罪組織のブランド化です。さまざまなツールを提供しているグループがあるのですが、それらのツールの有効性を証明するためのマーキングとして、組織ブランドを確立する動きが活発化しています。3つ目がAI技術による攻撃力の向上です。4つ目が全方位・爆撃型攻撃です。たとえばモバイルとPCの両方を同時に攻撃するといったように攻撃範囲の拡大を図ったり、休眠アカウントを大量に用意して一気に大規模な攻撃を仕掛けるといった動きです。5つ目がツール化による規模の拡大です。攻撃手法が誰でも容易に使えるツールに落とし込まれたことによって、犯罪への関与者数が急速に拡大しています。
ブラック産業およびグレー産業の産業チェーンとエコシステムは、以下のようになっています。まず、SIMカード、プロキシIP、ドメイン資産などのリソースを調達します。次にターゲットに合わせて、チートツール・通信プロトコル改ざんツール、クリックシミュレーター、AI自動化ツールなどのツールを製造あるいは調達します。そして、CaaS型配布・提供、自動化ボット、分散攻撃などによる攻撃を実行。次に詐欺サイトへの誘導、ギャンブルサイト、違法広告などの手法を使って収益化・換金します。この産業チェーンの中では非常にきめ細かい分業体制がとられています。
闇市場で取引される主要リソースのTOP4は、不正SIMカード、ドメイン資産、プロキシIP、個人情報データです。これらも分業体制によって行われており、それぞれの行為を単体で犯罪と特定することは難しいのが現実です。
次に、完全自動化攻撃の3フェーズとAI活用についてお話しします。攻撃のライフサイクルは定着化しており、潜伏・偵察期、リソース蓄積期、集中攻撃・爆発期からなっています。AIは不正のさまざまなフェーズで使われています。たとえば、フィッシングメール文面の自動作成。さらにこれを多言語に翻訳することによって、ターゲットへの到達度が向上します。それから、ディープフェイク技術による顔認証突破・生体認証の回避。キャプチャ自動解読による突破成功率の向上。ソフトウェアの脆弱性を自動的にスキャンすることによるゼロデイ攻撃。さらにAI完全駆動型の攻撃も増えています。
2025年のPCチート増加率は前年比238%増、モバイルチート増加率は162%増、アカウント乗っ取り新規検知件数は59%増となりました。2025年には日本でネット証券のアカウントがフィッシング被害を受け、大きな損害が発生しています。われわれが不正被害に関する情報収集をする中でも、日本のアカウントが大量に取引されている事態が検知されています。ある攻撃手法がひとたび防衛ラインを突破すると、企業は従来をはるかに上回る規模と速度で被害に直面することになります。セキュリティを守るため、早急に対策をとる必要があります。そのソリューションのひとつとして、TencentのRisk Control Engine(RCE)をご紹介いたします。
多角的観点から瞬時に不正取引を検知する
Risk Control Engine(RCE)
TencentのRisk Control Engine(RCE)は、コンテンツ不正対策、アカウント保護、マーケティング保護、取引保護の各領域において、事業セキュリティを包括的に支援するソリューションです。RCEは、データ基盤、ツール、業務シナリオ別ソリューションの3階層から構成されています。
RCEはもともとわれわれが自社のサービスを守るために開発いたしました。攻撃があったとき、それを瞬時に検知します。他社のサービスでは、クライアントから攻撃の報告を受けるというフローになるのですが、RCEでは自社で攻撃を検知して、すぐに対策を講じます。使っているツールのセキュリティに関する精度、性能も、非常に高いのが特徴です。
RCEの特徴として、日本の皆様に特に申し上げておきたいことは、リスクのあるデバイスの識別に優れているということです。ほとんどの場合、攻撃は特定のデバイスから行われます。ですからわれわれは、デバイスのリスクを識別できれば、不正のリスクを減らせると考えています。これにさまざまな業務データを加味して最終的に不正リスクを判定します。
ツールとしてはクラウドルールエンジンというものがあり、さらにツールのレイヤーに対して、業務ごとに、アカウント保護、マーケティング施策保護、取引保護、コンテンツ不正対策といったソリューションを、コンプライアンスを守りながらご提供いたします。
AIセキュリティについてご説明します。まず、AIによるコンテンツ読み取りの不正利用に関してです。AIは学習データをいろいろなところから探してくるのですが、その行動に異常やリスクがないかどうかを検知します。
また、AIによる操作機能の不正利用というものもあります。たとえばインターネット上の広告をクリックしたり、ウェブビュー、ダウンロードに対して課金が発生するというケースがあると思いますが、これに関連する不正も多くなっています。広告を多頻度にクリックして、最終的に何十万円かの広告料を不正グループが受け取ったという事例もありました。問題のないデバイスからの正常なアクセスかどうかを監視することによって、このような不正も防ぐことが可能になります。
換金性の高い商品やクーポンなども不正のターゲットになりやすいので対策が必要です。また、不正クローリングや、アプリケーション脅威インテリジェンスなどに関しても対策が必要になります。RCEはこれらにも解決策を提供いたします。
実効性のあるソリューションを提供
ディープフェイクの研究にも注力
中国の金融機関などの多くは、デバイスとクラウドの連携によるリアルタイム統合リスク管理を実施しています。これは重要なトランザクションやアクションが起きるたびに安全性を確認する方法であり、その有効性が実証されています。
これが実際にどのような場面で活用されているかといいますと、たとえばアプリの新規ダウンロード/登録時です。不正アカウントによる大量登録が行われようとしている場合などに、リスクを検知、これを遮断します。また、チケット購入などのアクションに対して、転売目的などの不正アクセスでないかどうかを見極め、リスクがあると判断すれば取引を中止します。
またTencentは、EC事業者や決済サービス事業者などに向けて、包括的な決済不正対策ソリューションを提供しています。リスクのあるデバイスからのトランザクションでないかどうかを、ひとつひとつチェックしています。
RCEの機能構成としては、アプリケーションに関してSDKを入れて、ひとつひとつのアクションのたびにリスク判定を行い、安全に渡していくという仕組みによって、不正リスクを抑止しています。RCEはこれまでわれわれが蓄積してきたデバイスリスクのビッグデータを基盤に、数十億台規模のモバイル端末をカバーするSDKによって、リアルタイムにリスク判定、情報更新を実行しています。
RCEのリスク評価は先進的なAI戦略エンジンに支えられています。不正グループによる攻撃のパターンは、ある程度決まっています。同じようなパターンの攻撃が、いろいろな標的に向けられることはよくあります。われわれは保有しているデータ基盤の中から、類似する攻撃パターンを見つけ出し、不正グループを特定することができます。
ところで、中国のみならずアジア各国では、AIによるディープフェイクがeKYCの本人認証に使われることがあり、被害が発生しています。技術が進歩し、識別は非常に難しくなっています。対策の確立が急がれるところです。われわれはSTIL手法というものを用いて、空間的不整合、時間的不整合という観点からディープフェイクかどうかを見抜く仕組みを提供しています。
リアルに見える画像にも、不自然な箇所がないかどうかよく確認することが大切です。また、1人の犯罪者に対して、複数の人の写真が合成されて使われていることもあります。われわれはAI Face Shieldの専門ラボを設置して、ディープフェイクについての研究を進めています。
銀行、博物館、動画サイトにおける
RCE導入の成功事例を紹介
RCE導入の成功事例をご紹介いたします。1つ目は、銀行における不正検知強化とユーザー体験向上の事例です。
この銀行では、偽装デバイスおよび本人認証プロセスへのインジェクション攻撃への対応として、RCEを導入されました。信頼性の高いセキュアデバイス情報を活用することで、全プロセスにおいて包括的なモニタリングを実施し、異常デバイスを特定することが可能となりました。これにより、不正行為の早期検知を実現し、本人認証リスクおよび業務不正を低減するとともに、ユーザー体験の向上にもつながっています。
2つ目は、チケット転売対策としてRCEを導入した博物館の事例です。この博物館では、チケット申込の9割以上が転売を目的とするボットからのアクセスだったことが判明し、過度なアクセス負荷によりシステム障害も発生していました。RCEにより転売ボットによるリクエストを検知・遮断することにより、安定かつスムーズなチケット販売運用を実現。システム負荷も軽減することができました。
3つ目の事例は、動画サイトのBilibiliです。Bilibiliでは、ユーザー品質を確保するためにクイズ形式の登録認証を導入しています。不正業者は自動化スクリプトを利用して登録クイズを回避し、大量の偽アカウントを作成、ボット制御デバイスを用いてアクティビティを偽装し、新規ユーザー特典やプロモーション報酬を不正取得していました。RCEの導入によって、リスクレベルが「Reject」と判定されたアカウントの登録および報酬配布をブロックすることとし、大量の不正登録アカウントを検知・排除し、ゾンビフォロワーやスパム広告などの不正行為も特定できるようになりました。
私の今日のお話は以上です。ご清聴ありがとうございました。
■お問い合わせ先
〒105-6329
東京都港区虎ノ門1-23-1
虎ノ門ヒルズ森タワー 29階
URL:https://www.tencentcloud.com/jp
メールorお問い合わせフォーム:https://www.tencentcloud.com/jp/contact-us
