2015年11月10日8:00
世界各国で対応が進むクレジットカードのEMV化により、不正グループのターゲットは対面決済からECなどの非対面決済へ、またEMV対応が進んでいない日本へ移りつつあるという。サイバーソース、イーコンテクスト、ベリトランスの3社は、2015年10月16日、ECにおける不正取引を防ぐノウハウ・事例を紹介したセミナーを開催した。
米国、韓国で進むEMV対応
日本でも不正被害額が増加傾向に
1994年に設立されたVisa子会社のサイバーソースは、グローバルに決済処理サービスを展開しているが、2000年から国内に進出し、現在は不正検知ソリューションに特化してサービスを提供している。セミナーの第一部では、不正・チャージバック(買戻し)被害に関する事例やトレンドについて、サイバーソースセールス&ビジネスプランニング田所和明氏が講演した。
世界の主要国では、日本、韓国、米国といった一部の国を除いて、クレジットカード等の“EMV化”の整備が進んでいる。例えば、2004年は不正利用で悩んでいた英国でもEMV取引が増えるにしたがい、対面での不正利用を大幅に減少させている。対面での取引が減少する一方、カードを提示しないCNP(Card Not Present)での不正被害が目立ってきた。
EMVへの対応が遅れていた米国では、英国など欧州のEMV化推進に伴い、不正被害が増加しているという。また、大手小売りのターゲットで2013年末に4,000万件の情報漏洩が発生したこともあり、米国政府では、2014年10月にEMV化を進める方針を打ち出している。2015年末には、米国の70%のペイメントカードがICチップ搭載を完了し、約半数の決済端末をEMV対応にする計画だが、当初の予定よりも若干遅れているそうだ。
2014年4、5月の米国での不正被害の内訳をみると、CNPが45%、偽造が37%となっている。サイバーソースの資料によると、2013年の米国でのCNPの不正は年間4,200億円あり、同年の日本全国の不正被害は80億円程度であることから、米国での不正が如何に多いかが見て取れる。
韓国では、2015年頭に大統領令を発表し、新規端末の設置は2015年7月までにEMV取引に対応し、2018年1月までに全端末を置き換える予定となっている。また、カードの発行については、すでに99%がEMVに対応しているため、日本がEMV対応で取り残される可能性がある。
日本クレジット協会(JCA)の統計によると、日本では2000年に300億円を超えていた被害額が徐々に減少していたが、2012年以降、再び増加傾向にある。また、偽造の被害は比較的抑えられているが、2014年は68%が番号盗用だった。国内では、JCAなどが中心となり、「クレジット取引セキュリティ対策協議会」が立ち上がり、不正対策に危機感を持って取り組んでいる。
また、カードブランドのVisa Worldwide Japanでは、2015年10月以降、EMV準拠のICカードに対応できる端末を設置していない加盟店におけるカード偽造の債務責任はアクワイアラ(加盟店契約会社)に課せられるようになったが、今後は、そういった余波がECビジネスに来ると想定している。
北米では過去4年間不正発生率が0.9%前後をキープ
半数の加盟店が不正チャネルをトラック
サイバーソースでは、米国とカナダ全土の北米地域の加盟店347社を対象に「オンライン不正抑止ベンチマークスタディ 2014-2105」を発表しているが、2015年からは日本語に初めて翻訳されている。
北米は売り上げの0.9%が不正取引となっている。2003年は売り上げの1.7%だったが、年々改善され、2010年から0.9%となり、以降、同様の比率が続いている。また、手作業によって再審査を行っている取引が25%あり、加盟店で注文を拒否している取引が2.3%となっている。さらに、半数の加盟店では、どのようなチャネルで不正が行われているのかをトラックしているそうだ。
加盟店の一件あたりの再審査にかかる時間については、2年前まで15分、昨年は10分だったが、5分に短縮している。また、拒否した取引のうち、10%が正規の取引であり、物販系の加盟店の拒否率が高い結果となった。
不正な取引を調べる手段にかけているコストの内訳は、「スタッフによるチェック」が約半分、「第三者機関のソリューション」が3割、「自社のツール」が2割となった。
北米で発生している不正パターンの内訳をみると、不正なサイトを作り安価に商品を販売し、カード番号を盗み取る「トライアンギュレーション」の被害が顕在化している。北米は加盟店への入金のスパンが日本に比べて早いため、2回目以降は盗んだ番号を使って決済を行う被害が発生している。また、物販だけではなく、エアラインチケットなども被害に遭っているそうだ。
76%のEC加盟店がセキュリティコードを導入
3-Dセキュアの導入は21%にとどまる
不正抑止ツールとしては、「セキュリティコード」が76%のEC加盟店に採用されており、8%が導入を検討している。次いで、「住所確認サービス(AVS)」、「郵便番号による住所確認サービス」、「郵便番号と住所の整合性確認」と、国内で採用されていないサービスが続く。そのほか、「Googleマップ参照」、「ソーシャルネットワーキングサイトの確認」などが挙げられる。「3-Dセキュア」の導入は21%にとどまっているが、14%が今後使ってみたいと考えているそうだ。なお、Apple Payで採用されている「生体認証」は調査実施時点では2%の採用にとどまっていたが、今後伸びると予想される。
モバイルによる取引で、不正抑止で有効性があるサービスは、「セキュリティコード」、「住所確認サービス(AVS)」、「顧客の注文履歴」、「自社のリスクモデル」、「IP位置情報」、「デバイスフィンガープリント」となっている。中でも不正抑止で評価の高い「デバイスフィンガープリント」は、利用者の購入端末のブラウザ言語、OSのバーション、IPアドレスなどをリスト化して照合する機能である。ただし、現状22%の導入に留まっている。
サイバーソースでは、日本の加盟店にも不正検知サービスを提供しているが、国内では同じカード番号、氏名、配送先を入力し、複数回のアタックをかける「短期間刈り取り型」に加え、「約1週間同じ番号を使って不正を行うパターン」も発生しているという。また、「同様の配送先だが、複数のカード番号を使って決済を行うケース」も見受けられる。そのほか、「転送サービスを利用する方法」に加え、一見不正な取引と判別できない「超巧妙型のアタック」も起きており、チャージバックに至ったケースもある。
サイバーソースでは、2014年に日本でインターネット調査を行ったところ、チャージバックになった取引で怪しい傾向が見受けられたかという質問に対し、「平均注文金額よりも高い金額の注文だった」が42.9%、「特段怪しい点は見受けられなかった」が35.7%、「転送サービスを利用していた」が25.0%、「短時間のうち複数回の購入があった」が21.4%、「注文情報に意味不明な文字などが含まれていた」が14.8%となった。
サイバーソースは年間600億件のトランザクションから不正を検知
自社内できちんとしたルールを作成することが重要
続いて、攻撃のパターンを含めた対策について、サイバーソース セールス&ビジネスプランニング松浦由佳氏が事例を交えて紹介した。
不正取引を見抜くためのキーワードとしては、まず「データ情報量」を挙げ、より多くの情報を参照することで、正しい注文かどうかを判断するための材料を整えてもらいたいとしている。また、システムの自動化を行うことで、本来のEC業務に専念できる「業務効率化」を挙げた。さらに、アタックの時流やトレンドは常に変化するため、そこに対応できる「柔軟性・拡張性」が重要となるそうだ。
そのうえで、不正を見抜くためのキーとなる情報は、「購買行動」、「住所情報」、「端末情報」、「独自のデータベース」となっている。これらの情報から、自社のサービスにあった情報を見極めたうえで導入をしてもらいたいとしている。
サイバーソースでは、世界最大規模の不正取引検知エンジンがルールに基づき不正注文のリスクを自動判定するクラウドベースの不正抑止ソリューション「Decision Manager(ディシジョン・マネージャー)」および専門のアナリストが検知ルールの設定から導入後のレビュー、不正手口の傾向分析やチューニングをサポートする「Managed Risk Service(マネジメント・リスク・サービス)」を提供している。
たとえば、犯罪者は短期間のうちに不正な行動を繰り返すため、自社はもちろん、他加盟店の利用情報を調べることで、不正防止に役立てることが可能だ。サイバーソースは、世界中で40万社と契約しており、「Visa Net」も含めた年間600億件のトランザクションから不正を検知できる。
また、より巧妙な不正に関しては、購入者の属性情報を追跡すると、名前、メールアドレス、利用端末などが違うユーザーから同じカード番号で申し込みがあったり、同じメールアドレスを別の加盟店で利用しているケースなどが分かる場合もある。
これらの情報は自社の情報だけでは見えにくいが、情報を深堀していくことで、不正な利用をあぶり出すことが可能だ。
加盟店にとって、不正利用対策の最初の一歩として、自社内できちんとしたルールを作成することが重要であるという。たとえば、ショッピングカートの合計金額が10万円以上だったり、オンライン限定商品を1日に3回以上注文しているといった取引を、注意深くみることが重要だ。個々人が対応していると、基準がぶれる可能性もあり、非効率なため、統一したルールでチェックすることが大切となる。
また、不正検知ツールの導入により、海外では、チャージバック率が下がるなどの効果に加え、真正な取引の拒否率を大幅に減らすことで、売り上げを高めることも可能であるとしている。
不正被害の抑制は決済導入時から段階的に対策を講じることが重要
自動音声対応で決済可能な「IVR決済ソリューション」を提供
サイバーソースの後を受け、イーコンテクスト econtext事業部 白石玲音氏と、ベリトランス 営業企画部 永野秀俊氏が「リンク式クレジットカード決済フォーム」、「3-Dセキュア」、「チャージバック補償保険」、「IVR決済」を紹介した。
決済処理事業者のイーコンテクストとベリトランスでは、決済導入時から段階的に対策を導入・検討することが大切であるとしている。導入時には、決済処理事業者にカード番号を預ける「非保持サービス」を採用することで漏洩リスクを回避することができる。近年は、不正利用の増加によりチャージバックの被害が増加しているが、相次いで被害が発生した加盟店に対し、カード会社から不正利用対策を行う勧告を受けることもある。イーコンテクストとベリトランスでは、加盟店の依頼があればカードの属性確認を行うことができるという。属性確認の役割は、カード決済における不正利用の防止および本人利用確認の判断材料取得となる。
また、セキュリティコードや、よりチャージバックリスクを軽減できる本人認証サービス「3-Dセキュア」の導入がある。さらに、万が一チャージバックが発生した際への対応として、チャージバックを受けた取引や保険金の適用条件範囲で月額2,500円からの掛け金でチャージバックリスクを補償する保険サービスも用意している。
電話注文による通販に対応している加盟店に対しては、ベリトランスでは、オペレーターがクレジットカード番号に触れることなく自動音声対応で決済可能な「IVR決済ソリューション」を提供している。利用者がコールセンターのオペレーターへカード決済を希望する旨を告げると、受注処理はオペレーターが従来通り行うが、インターネット経由でベリトランスのセンターに切り替わり、音声ガイダンスにしたがってカード番号をプッシュ通知で入力するため、オペレーターがカード番号を聞く必要はないという。近年はコールセンター経由でのカード情報の漏洩も発生しているが、カード番号はベリトランスが保持するため、漏洩リスクはないそうだ。また、導入にあたっては、電話機と接続できるPCのみとなり、大規模な改修なく、初期費用30万円から利用できるのも特徴となっている。