2022年3月10日8:10
ECにまつわる不正は年々増加。なりすまし注文、不正転売、後払い未払いなど多岐にわたり、被害額は年間200億円に上っている。ECの不正注文検知サービス「O-PLUX(オープラックス)」を提供するかっこの相馬氏が、不正者に狙われやすい商材や手口、その対策について解説する。(2022年2月10日開催「ペイメントカード・セキュリティフォーラム2022」より)
かっこ株式会社 O-PLUX事業部 相馬陽一氏
不正注文がもたらすさまざまな被害
金銭面にとどまらずブランド毀損や運用面も
かっこは2011年1月設立で、事業内容はEC上での不正注文、不正ログインの不正検知サービス、決済事業者様に提供しております決済コンサルティングサービス、データサイエンスサービス、マーケティングサービスを提供しており、それぞれのシナジーをもって事業者様の支援をさせていただいております。私が所属している不正検知サービス部門では、多くの決済事業者やカード会社とアライアンスを結んで、EC上で発生する不正を抑制しています。
ECにおける不正注文の被害は大きく3つに分類できます。1つ目は、チャージバックの発生、後払い未払い、いたずら注文などによる金銭的被害。2つ目に、コスメや健康食品など単品通販に多い、サンプル不正取得や悪質な転売によるブランド毀損や顧客LTV(ライフタイムバリュー)の低下。3つ目は、これら2つの被害にともなって発生する目視確認などの運用面の被害です。このように一口に不正注文といっても、その被害や手口は多岐にわたります。
代表的な不正注文の手口の1つに、クレジットカードの不正利用によるチャージバック被害があります。この場合、EC事業者は、商品を盗られ代金が支払われないという二重の被害に遭います。不正者は在庫を仕入れて転売する手口が多く、配送先に一定の傾向があったため、EC事業者による目視などの対策である程度抑止することができていました。しかし最近では目視ではなかなかわからない手口の巧妙化が進んでいます。
巧妙化した手口の代表的なものとしてフリマサイトを起点とする被害が増えています。不正者はECサイトの画像などをそのまま使用し、在庫がない状態でフリマサイトに商品を出品し、買い手が付き次第、正規のECサイトで商品を購入します。この手口のポイントは、購入の際に盗んだクレジットカード情報と、フリマサイトの購入者の住所情報で商品を注文することです。購入された正規のECサイトでは、盗んだクレジットカードが使われているため、チャージバックが発生します。フリマサイトの購入者は普段から不正注文を行わない正常な購入者なので、EC事業者の目視によるブラック情報との照合では不正を見抜くことができません。この手口は今、主要フリマサイトでも注意喚起がされています。
このような手口の巧妙化もあり、チャージバック被害は毎年右肩上がりで増加しています。日本クレジット協会では2021年の第三四半期までの被害額を発表しており、それによると、番号盗用被害額は前年対比で140%と、第三四半期までで前年を大きく上回っています。過去の実績から見て、繁忙期のためチェック体制が手薄になる第四四半期では被害額が増加する傾向にあり、2021年の被害額は300億円近くに上ると予想されています。
チャージバックには、売上取り消し以外にも大きなデメリットが伴います。まず、不正注文を防止するために目視作業が発生します。その人的工数が発生し、そこには本来、売上を増加させるために費やす工数があてられるため、ECの効率低下を招きます。さらにカード会社との契約変更を求められる可能性があります。不正が多発すると決済手数料の変更などを求められ、利益率に大きく影響してきます。
チャージバック被害に狙われる商材は多様化
サンプル不正取得件数トップは健康食品
このような被害の増加には、いくつか原因が考えられます。そのひとつは、情報漏えい事故などによるクレジットカード情報の流出です。最近はAmazonをかたるフィッシング詐欺に関する注意喚起がされており、そのほか会員サイトから個人情報が流出したというニュースもたびたび耳にします。一般の人が入ることができないダークウェブと呼ばれるところで盗み取られたカード情報が売買され、直接盗み取った人以外にも情報が伝わっていくことになります。そのクレジットカード情報を使ってECで不正注文が行われます。ECサイトで利用されるオーソリゼーションではカードの有効性を確認しており、カード番号と有効期限の整合性がとれると決済が通ってしまうため、カードの確認や防犯カメラでのチェックがある対面販売より容易に不正注文を行うことができます。ある19歳の無職の少年は、逮捕される前に海外の闇サイトで数百件のカード情報を買ったと証言しました。2021年には6人のグループが2億円以上の被害を発生させた事件が起きました。
不正者の最大の目的は、商品の詐取による換金です。商品・サービスのジャンルにかかわらず、注目度が高い、もしくは換金性の高いものは、それに比例して不正のリスクが高くなるといって過言ではありません。各EC事業者が自社サイトのセキュリティレベルを上げることが、被害を防ぐ唯一の手段だと考えています。
弊社製品「O-PLUX」利用企業の実績から、不正手口に応じた狙われやすい商材の傾向がわかります。2020年のチャージバック被害では、単価や換金性が高い電化製品が1位で対前年増加率248%、ホビー、美容機器、DIYといった高単価の商品もそれぞれ143%から218%増加しています。また、フリマサイトに多く出品されているアパレルが、3位で334%の増加率になっています。
チャージバック以外の代表的な手口として、サンプル・初回限定品の不正取得被害も増えています。不正者は不正にアカウントを取得して特定人物になりすまし、サンプル品や初回限定価格の商品を大量に購入します。商品を受け取ると、フリマサイトなどで正規価格よりも少し安い金額で転売します。そもそも転売を目的とした架空の顧客情報による注文では、サンプル品や初回限定品の販売は次回の取引にはつながりません。CRM施策が行えず、広告の効率が悪化します。また、顧客や見込客は自社サイトではなくより安く商品が手に入るフリマサイトに行ってしまい、結果として顧客LTVが低下。同時に商品が値崩れを起こし、品質劣化によるブランド毀損にもつながりかねません。
このタイプの不正は、健康食品やコスメなど、「おひとり様1回限り〇パーセントOFF」といったオファーで販売される比較的プチプライスな商材で多く発生しています。特に健康食品は、被害件数で全ジャンル中1位となっています。
導入企業間でネガティブデータを共有
空室情報などの外部データベースも活用
不正注文の代表的な手口をご紹介いたしました。ここからは、弊社の不正注文検知サービス「O-PLUX」について説明させていただきます。「O-PLUX」は2万以上のサイトでご利用いただいており、東京商工リサーチ調べで2021年5月末現在、国内導入実績NO.1のご評価を頂いております。
「O-PLUX」の特徴の1つは、さまざまな決済の審査が可能な不正検知サービスであることです。不正の手口は多岐にわたります。「O-PLUX」は前段でお話ししたチャージバックやサンプル品の不正取得はもちろん、度重なる代引の受取拒否や、後払い未払いなど、ほぼすべての不正注文に対応しています。
2つ目の特徴として、不正検知サービスのキモとなる、審査ロジックにあたる「多様なネガティブデータベース」についてご説明いたします。「O-PLUX」は、EC事業者より連携していただいた注文情報を、共有ネガティブ、行動分析、外部データベース、名寄せ、デバイス情報の大きく5つの項目により多角的に分析しています。中でも共有ネガティブデータベースは「O-PLUX」の最大の強みといえる項目です。不正者は転売によって多額の利益を得るために、複数のECサイトを転々として不正を働く傾向があります。その手口を逆手にとり、あるサイトで不正注文を行った不正者に、ほかのサイトで不正注文をさせない対策が非常に重要です。共有ネガティブの機能では、「O-PLUX」をご利用いただいております2万以上のサイトで過去に発生した不正データを、全導入企業に共有しています。「O-PLUX」導入企業の横断型のブラックリストのようなものです。
また、外部データベースから得る情報も、「O-PLUX」のユニークな審査項目になっており、不正注文の手口や傾向に合わせて、さまざまなデータを審査に採り入れています。一例を申し上げますと、不正者は足のつきにくい住所を商品の配送先に指定する傾向があります。空き室やホテル、ウィークリーマンションの住所などを配送先にしてEC事業者のブラックリストとヒットしないような手立てを講じます。「O-PLUX」では不動産業者のデータベースなどと連携し、空室やウィークリーマンションの判定をしています。電話番号についても利用されていないものを登録する傾向があるので、電話番号が実際につながるかどうかの調査をしている企業と連携して検知しています。時代の変化に合わせて連携するデータベースを追加したり変更したりできるのも、自社開発システムである「O-PLUX」の強みです。
また、氏名、住所、電話番号、デバイス情報といった注文情報に紐づくデータを組み合わせ、行動分析を行っています。ECの注文に利用されている複数のパラメータを組み合わせ、行動傾向との一致判定を行います。たとえば何時間以内に何回購入しているかというものから、同一住所に異なる電話番号が紐づいた注文が何時間以内に何回行われているかというような、通常のお客様は行わないような行動していないかということを、細かいパラメータの組み合わせで審査しています。
このように外部データベースやECの注文情報に紐づく住所、電話番号、IPアドレス、デバイス情報などを組み合わせた行動分析を用いたフィルターと、共有ネガティブという「O-PLUX」を利用している2万サイトで発生した不正注文のエビデンスデータのフィルターとの、二重のフィルターで審査を行うことで、導入初期から高い検知精度を実現することができます。
また、「O-PLUX」では、このようなルールで検知した内容を、「OK」や「NG」といった審査結果だけではなく、なぜそのような判定結果になったのかを確認できるように、注文ごとにテキストで判定理由を付けてお返しします。不正注文対策においてはこれが非常に重要です。EC事業者がお客様と直接やり取りする際に、不正注文と判断された理由が不明では非常に困ると思います。また、EC事業者が集客してお付き合いされてきたお客様を、一方的にはじいてしまうことにならないように、このような仕組みにしています。
■お問い合わせ先
かっこ株式会社(Cacco Inc.)
〒107-0051
東京都港区元赤坂1-5-31 新井ビル4F
TEL : 03-6447-4534( 代表 )
https://cacco.co.jp/
https://frauddetection.cacco.co.jp/
お問い合わせ https://frauddetection.cacco.co.jp/contact/
