2020年12月16日8:30
【PR】株式会社アクル
近年のカード不正利用の急増に伴い、チャージバックの増加はカード加盟店や加盟店管理義務が課せられたアクワイアラにとって喫緊の課題となっている。従来型の不正検知システムとはまったく異なるコンセプトによって開発された不正検知・認証システム「ASUKA(アスカ)」は、後発ながら国内外含めさまざまな業種の加盟店で効果を上げ、導入が進んでいる。
●株式会社アクル 代表取締役CEO 近藤修(こんどう おさむ)氏
「ASUKA」開発の基礎となった不正対策の本質をとらえる3つのポイント
今回は、当社の不正対策ソリューション「ASUKA」のご紹介と、最近は不正検知システムを導入される加盟店が増えていますが、本質的にどういった対策を目指すべきなのかということについてご紹介したいと思います。
アクルという会社をご存じない方もたくさんいらっしゃると思いますので、アクルについてまず簡単にご説明します。
事業内容としてクレジットカード不正対策各種と記しておりますが、基本的には非対面のチャージバック対策ツール、ソリューションを提供している会社です。世の中からチャージバックがなくなったらお役御免になるのではないかという、非常にニッチなビジネスを展開しています。とはいえ昨今は日本国内でもチャージバックが増加し、その対策を迫られるシーンが増えてきていますので、それにフォーカスしたサービスを提供しているということです。
提供しているサービスの考え方は非常にシンプルです。まず、不正利用者を減らしましょうというところで、不正検知サービス。「ASUKA」はここに位置付けられます。
また、設立当初から提供しているサービスとして、チャージバック保証サービスがあります。これはいわゆる保険のようなものです。チャージバック被害に遭ったとき、これを補填するサービスです。ただ不正が急増している昨今、すべての被害を補填することは難しくなってきており、不正を未然に防いで被害を減らす不正検知サービスにより力を入れているというのが現状です。
弊社のメンバーのほとんどは決済会社の出身です。人員規模としては10名ほどですが、決済と不正を日々研究してきた精鋭部隊で業務に当たっております。
ではまず、本質的な不正対策にたどり着くためのポイントはどこにあるのかを見ていきたいと思います。このポイントが、「ASUKA」を開発する上での非常に重要なエッセンスになっています。
ポイントは大きく3つあります。世の中の不正検知システムの大枠は、次のようなものだと考えています。受注情報を吸い上げて、スコアリング(リスク計算)を行い、その結果を〇△×といった3段階評価で管理画面に返します。カード加盟店はこれをもとに、売上承認や物販であれば配送の可否を最終的に判断する――。日本国内に流通している、外資系、国内系の不正検知システムのほとんどがこのかたちです。
しかし皆さん、これを見て何か気になる点はないでしょうか。不正検知システムというからには、不正を検知してくれるものだと思いますよね。ところがこのかたちでは、カード加盟店の管理者が最終判断をせざるを得ないのです。
一般的な不正検知システムというのは、仮説に基づいて“勝手”に計算して“勝手”に“結果”を返しているだけなのです。つまるところ、正解ではなく、ヒントを与えてくれる“箱”にすぎないのです。
例えば×という結果を出すには、過去のチャージバックデータにヒットしたなどいろいろな裏付けがあるのだとは思います。しかしブラックデータにはいわゆる賞味期限がありますから、それがすべてではありません。
そう考えると、結局はカード加盟店に判断が委ねられているというのが、一般的な不正検知システムの本質なのです。この実態を、しっかり理解して受け入れていただきたいと思います。同時に、疑問を持っていただきたいのです。これが1つ目のポイントです。
2つ目のポイントは、不正利用者は止められないということです。現在問題になっている不正は、誰か悪い人、1人が、仕掛けているというものではありません。集団が、生業としてアタックをかけてきているのです。そういう集団は、対策をしても、どんどん乗り越えてきます。
このような状況の中で、不正利用者を止められるという前提に立って対策を立てると何が起きるかというと、疲れてしまいます。単純に手数を増やして、モグラたたきのような状態で不正を止め続けていると、疲弊してしまうのです。あるいは、止める方向を間違えて、真正ユーザーを巻き込んでしまうこともあります。そのようにいろいろな弊害が出てきます。
ですからここでのポイントは、矛盾しているようですが、不正利用者を止めようとしないということです。
3つ目のポイントは、大局的な観点で対策運用を行うということです。直近で大変な不正が起きて大きな被害実損を受けた加盟店が、何かしなければいけないと考えて、とにかく被害実損を減らすために3-Dセキュアを導入しました。今まではコンバージョンの問題などがあって導入するつもりはなかったのだけれど、さすがに被害金額が大きいので入れることにした、というのです。その真意は何かというと、3-Dセキュアを導入することによって、チャージバックの債務責任がカード会社に移転するからです。つまり損害を、カード会社が負担してくれるのです。
このような近視眼的な考えで対策をとっている加盟店は非常に多いのですが、実際のところ3-Dセキュアを入れても裏では不正は起こり続けているわけです。それでいいのかということです。3-Dセキュアを入れているのになぜか不正顕在化加盟店に指定されたというような加盟店の声が、弊社にも届いています。
3-Dセキュアの牽制効果を否定するわけではありませんが、その裏で不正は起きています。それにはいろいろ理由があります。パスコードがフィッシングなどによって漏れている。あるいは、完全認証と任意認証というものがありますが、パスコードのない任意認証はスキップして決済できるので不正抑制効果が低いということもあります。
加盟店の近視眼的な対策を放置していると何が起きるかというと、そのような加盟店は不正利用者のターゲットになります。3-Dセキュアを導入したからそれ以上何もしないという加盟店は、結局不正利用者から狙われます。
不正検知システムについても同様です。不正検知のヒントを与える箱を導入しただけでは本質的な不正対策にはなりません。
重要なのは、そうした大局的な観点を教えてくれる適切な伴走者をつけるということです。箱だけでなく、適切なアドバイスをしてくれる伴走者を持つということが、本質的な解決策につながるのです。
不正をたたき続けるのではなく不正利用者が自ら退散する仕組みを構築
では次に、不正検知・認証システム「ASUKA」について説明いたします。「ASUKA」はこの分野では後発のソリューションです。導入事例はトラベル、ECなど多数ありますが、物販などに関しては2020年に入ってから導入されたところがとても多いです。
「ASUKA」というサービスがどういうものかを理解していただくために、開発の背景をお話しさせていただくのがよいと思います。
2017年は非対面の不正利用が前年の倍近くに増え、チャージバックが急増した年でした。特に旅行系の加盟店の炎上が目立ち、弊社も多くの相談を受けました。当時弊社は「ASUKA」を取り扱っておらず、チャージバック保証サービスを提供していました。トラベル系の加盟店では億単位のチャージバックが発生していましたが、億単位を保証でカバーするのは無理な話です。弊社では当時サードパーティの不正検知システムの紹介をしていましたので、「不正検知システムを導入していただけたら保証を提供します」という座組みの営業を開始しました。それが2017年の3月です。ですがなかなか実績には結び付きませんでした。
その理由について、いろいろなご意見をいただきました。初期費用を100万円、200万円払うのは無理だとか。一般的に不正検知システムの料金体系は従量課金ですが、利益率の低い旅行系の加盟店にはその負担が大き過ぎるとか。また、一般的な不正検知システムはAPIでの接続開発です。不正検知システムを求めている加盟店は炎上していることが多く、すぐにも対策を始めたいのです。ところがAPIの接続開発は時間も費用もかかります。数カ月の期間と数百万円の費用がかかるのでは無理だということになります。一方、月々の被害額がせいぜい10万~20万円という加盟店は、数百万円の初期費用を投じることに二の足を踏むのです。
コストに加え、導入のネックになっていたのがスピードでした。物販の加盟店ではオーソリゼーションと売上承認の2段階で決済を完了するのが通常だと思いますが、旅行系の加盟店の場合は即時決済が一般的です。即時決済では、オーソリゼーションの与信チェックと売上承認が同時に走るので、決済、サービス提供のスピードが速くなります。不正検知のスピードが、それについていけなかったのです。
不正検知システムに入っていただけないと、保証サービスを提供できないという中で、われわれのビジネスは行き詰まり、袋小路に入ってしまいました。そんなとき、ある中堅のOTA加盟店の取締役の方と話していたとき、「それだけ課題を認識しているなら、アクルで作ってくれないか」と言われました。それが「ASUKA」開発のきっかけになりました。
つまり「ASUKA」は、それまでの不正検知システムがかかえていた、費用、接続の工程、スピードなど諸々の課題を解消することを目指して作ったシステムなのです。そうすれば多くのお客様に使っていただけるのではないかと考えました。
当時、巷にあったシステムは、最終的に加盟店の確認が必要だったり、API接続だったり、従量課金だったり、どれも同じでオルタナティブ(代替品)がなかったのです。そのオルタナティブになったのが「ASUKA」です。2018年12月に「ASUKA for TRAVEL」をリリースし、2019年頃からは物販のお客様からの問い合わせが増えてきたので、2020年に「ASUKA for Ecommerce」をリリースしました。
例えばある大手のOTA加盟店では、かなり不正が多かったのですが、「ASUKA」導入から約3カ月でほぼゼロになりました。このような実績が評価されて、主にクチコミで評判が広がり、導入が進んでいる状況です。
「ASUKA」は、旅行や物販の申込サイトにJavaスクリプトを埋め込むだけで利用できる、非常にシンプルな仕組みになっています。開発がまったく必要ないというわけではありませんが、API接続と比較して非常にライトにスタートできる仕組みです。5日でスタートしたという例もあります。
「ASUKA」も、受注情報を吸い上げて、リスク計算をして、3段階の結果を返すという大枠においては従来のシステムと同じです。申込の入力フォームの情報を吸い上げるわけですが、注文確定のボタンを押したときにリアルタイムにスコアリングの計算を行います。オーソリゼーションに飛ばす前です。そして結果を返すのですが、それだけではありません。
ユーザーが確定ボタンを押して、リスク計算で〇だった場合は、そのままオーソリゼーションにトークンが飛びます。×の場合、過去のチャージバックのデータとヒットすると、オーソリには飛びません。モーダルウィンドウに、ほかの決済手段をお選びくださいといったメッセージを表示して、シャットアウトしてしまいます。
「ASUKA」の特徴は、結果が△のときにあります。なりすましかもしれないし、本人かもしれないという、グレーゾーンの取引の場合です。この場合まず、ご利用のカードブランドをお選びくださいという、簡単なモーダルが出てきます。ここは選択が合っていても合っていなくても先に進みます。このあとに、ある本人しか知りえないだろう項目をお選びくださいという簡単な5択のクイズを出すのです。ここで間違うと先に進めない構造になっています。
これに何の意味があるかということですが、簡単な認証ツールの役目を果たしています。不正利用者はこういった仕組みを嫌がります。
不正利用者は、先ほども申し上げたように、集団で生業として不正を働いています。この集団は闇サイトからカード番号を購入しています。例えばアメリカのクレジットカードは、16桁のカード番号とセキュリティコードと有効期限がセットで2~3ドルで売買されています。それを大量に仕入れてアタックをかけるのです。彼らにしてみれば粗利がとれればいいわけです。2ドルでカード番号を仕入れて、100ドルのものを不正に手に入れて転売し、98ドルの粗利をとれればそれでいいのです。それが御社のサイトでなければならないという理由は1つもありません。効率良く利益を得るために分業化したりもしているので、工程が多いことを非常に嫌がります。ここで答えを選べなくてタイムアウトになっているケースも非常に多いです。
もちろんこれで不正を100%防げるわけではありませんが、効果が上がることは確かです。泥棒が侵入しようとしたときに家の灯りがぱっとついたら嫌ですよね。ほかの家に行こうと思いますよね。それと同じ考え方です。従来型の不正検知システムでは、泥棒が家の中に入ってきて物音がしたとき、その物音が泥棒なのか自分の家族なのかを家主自身がチェックしなければなりません。それは大変ではありませんかという話です。泥棒自ら出て行ってもらったほうがいいわけです。
従来型の不正検知システムは、管理画面に返ってきた画面を見ながら、ずっとモグラたたきをし続けているようなものです。「ASUKA」は、モグラ自身にどこかに行ってもらおうという考え方です。これが、「不正利用を止めようとしない」というところにつながっているのです。
今までの不正検知システムは、不正利用者に脅威を与えないし、管理者にはただ3段階の結果を返すだけでその後の判断は任せるという丸投げ方式です。「ASUKA」はそこから生じる支障を解消したシンプルなシステムになっています。
※本記事は2020年11月13日に開催された「ペイメントカード・セキュリティフォーラム2020」の株式会社アクル 代表取締役CEO 近藤修氏の講演をベースに加筆/修正を加え、紹介しています。
■お問い合わせ先
株式会社アクル
106-0032
東京都港区六本木一丁目9番9号
六本木ファーストビル14階
URL:https://akuru-inc.com/
E-mail:info@akuru-inc.com
