LexisNexis Risk Solutions、一歩先を行くリスク認証テクノロジとその適用例 ~「ThreatMetrix」の運用実績をもとに~(上)

2022年3月15日8:00

リスクベースの顧客認証や継続的顧客管理をうたう製品・サービスは世の中に多数存在するが、大きな効果を上げられるソリューションは限られている。ログイン、新規会員登録、ポイント交換、顧客情報変更など、顧客とのすべてのタッチポイントで活用できる、誤検知が少なく効果的なサービスを可能にするテクノロジとその活用例を紹介する。(2022年2月10日開催「ペイメントカード・セキュリティフォーラム2022」より)

LexisNexis Risk Solutions シニアソリューションコンサルタント 藤井林氏
/ビジネスデベロップメントマネージャー 一瀬惇也氏

世界中でBOTによる攻撃が増加
3DSでECサイトの不正被害が36%減少

LexisNexisはロンドンに本社があるRELXグループに属しており、さまざまなリスクにまつわるソリューションを提供している会社です。その中で今日ご紹介するのは不正検知システムのThreatMetrixです。ThreatMetrixは主にデバイスインテリジェンス、位置情報、デジタルID、ユーザーの振る舞いなどに焦点を当てたリスクベース認証サービスです。

LexisNexis Risk Solutions ビジネスデベロップメントマネージャー 一瀬惇也氏

われわれは「サイバー犯罪報告書」というものを年2回発行していますが、そこからいくつかのトピックスをお話しいたします。まず、2021年1月~6月に世界中で起こったトランザクションの数と、それにまつわる不正について調べたものです。トランザクション数は前年比28%増、人による攻撃が29%減、自動BOTによる攻撃が41%増という結果でした。これを日本に限って見ると、それぞれ71%増、39%減、260%増という数字になっています。

次に、アジア太平洋地域の中の、攻撃を発信している国のランキングです。1位がフィリピン、2位が日本です。一方、アジア太平洋地域の国からの攻撃がターゲットとしている国のランキングを見ると、1位がアメリカで、2位が日本です。日本は攻撃する側、攻撃を受ける側の両方でトップ2に入っているということです。攻撃大国、不正大国と言われる所以です。

続いて、金融サービスにおける口座開設/会員登録、ログイン、決済の3つのユースケースに分けた不正の割合のデータです。会員登録では全体で、不正は6.2%でした。100件のうち6件が不正だったということです。ログインに関しては0.3%、決済が2.9%となっています。デスクトップパソコンからのアクセスでは、それぞれ11.6%、0.5%、3.6%となっています。ほかにモバイルブラウザ、モバイルアプリもそれぞれ集計しておりますが、デバイス別ではパソコンが最も不正の比率が高く、次いでモバイルブラウザ。アプリからの不正アクセスは最も少ないという結果になっています。

次に、昨今話題になっているBNPL(Buy Now Pay Later)、後払いサービスについてです。この利用は、2020年上半期から下半期、2021年の上半期まで、右肩上がりで伸びています。今後のトレンドとしてもますます増えていくのではないかと見ています。

次に、ECサイトの3Dセキュア(3DS)についてです。3DSを使ったトランザクションが、日本だけでなく世界中で増加しています。その中でECサイトが受けている攻撃のパーセンテージが、前年より36%減少しています。これによって、3DSの導入によって不正を抑止できているということがわかります。3DSは不正抑止対策として非常に効果的だといえます。

多様化する決済手段に柔軟に対応する
高度な不正検知システムの導入が必須

ここからは不正な非対面決済の例をいくつかご紹介していきます。弊社がサービスを提供する中で実際にあった事例です。

1つ目は、同一端末が多数のクレジットカードを使って非対面決済を行う事例です。1つのデバイスに複数のクレジットカードが紐づいています。フィッシングなどによって手に入れたクレジットカード情報で、1人の人物が1つのデバイスを使って不正を起こします。この人物は盗んだクレジットカード番号、パスワードなどを使って複数のECサイトで不正取引を行っていました。これをどういうふうに検知するのかといいますと、まずデバイスを識別し、デバイスに紐づいているクレジットカードを検知することによってわかります。1台のデバイスに対して、多数の名義のクレジットカードが使われていることは一般的にはあり得ないことです。

次が、多数の端末から同一のクレジットカードを使った非対面決済の事例です。異なるいくつものデバイスに、同じクレジットカードが紐づいて、ECサイトなどで商品を購入しています。1人の人が複数のデバイスを持っているのは普通のことです。たとえば家庭用と会社用のパソコンがあって、携帯電話を複数台持っているということは珍しいことではありません。しかしたとえば、決済後30分以内に別のデバイスからまた決済をするといった不自然な行動は見逃してはいけません。

次が位置情報の不一致です。普段は日本から買い物をしている人が、急にオーストラリアから買い物をしたというような場合。もしかしたら旅行中かもしれません。しかしたとえば、1時間以内に1,000キロメートル離れた場所からのアクセスがあったら不正を疑う必要があります。それまで使っていなかったVPN(Virtual Private Network:仮想専用線)を使っているとか、一見日本からのアクセスのようだがプロキシを使っていて実際のアドレスは外国だとか、TOR経由でデバイスの言語設定が外国語だという場合も要注意です。時系列や位置情報を改ざんしようとしている行動を確認することによって、不正か否かを判断することができます。

決済方法には、クレジットカード決済だけでなく、後払い、銀行送金・振込、アプリ決済、QRコード決済、ICカードなどさまざまなものがあります。すべての決済方法における不正に対応するには、やはり高度なシステムを導入する必要があります。しかし、高度なシステムとはいったいどのようなシステムなのでしょうか。多様な決済方法に柔軟に対応できることに加え、不正防止率の向上や誤検知率の減少に役立つこと、膨大なデータを収集できること、ルールを細かく設定して不正と真正を正しくジャッジできること。また、すべてをまとめる高機能なプラットフォームが必要であると考えています。

日々収集される膨大なデータと
独自のノウハウを駆使して不正を検出

ここからは、不正検知の現状とThreatMetrixの機能についてご説明いたします。

多くのお客様から、不正検知は難しい、効果を発揮しづらいというお話をうかがいます。また、不正検知率を限りなく100%に近づけたい、真正阻害は限りなくゼロに近づけたいという欲張りなお客様が多いということも事実だと思います。統計モデル、機械学習、ブラックリストなどを用いても、なかなか目標とするところまで到達できないという声も聞かれます。そういったところで弊社が重要視しているのは、予測の手がかりとなるデータ特徴量です。ThreatMetrixを使うことで、さまざまなデバイスの情報やAPI連携でお客様の情報を収集できたり、また、弊社の一番のメリットである共有データを参照できたりいたしますので、それによって効果的な不正検知を実現することができます。

不正取引は新規取引とほとんど同じように見えます。過去の不正のフィードバックがかかっているものは、その情報を使って検知できますが、全体から見ると4~7%というわずかな比率にとどまります。弊社は不正に関して1万~2万パターンのデータを保有していますので、それらをいかに活用して不正検知の効果を上げていくかということが課題になっています。

ThreatMetrixは6,000社以上のさまざまな業種の企業に導入していただいています。日次で2億件以上の決済のリスク判定を行っています。これを通して日々データを収集していることが、弊社の大きな強みになっています。

ThreatMetrixは位置情報の分析にも便利に活用できる機能も備えています。日本で決済されていても、実はプロキシを経由して外国からアクセスしているというケースもあります。登録者の郵便番号情報と実際の場所との矛盾をとらえて効果的な不正検知を実現しているお客様もいらっしゃいます。

端末情報やIPアドレスのみを使って検知を行っても真正阻害を招いてしまうといった他社製品もあります。ThreatMetrixは多面的にIPアドレスの検知が可能で、さらに種別、頻度、確認期間判定履歴などのデータを加味することで誤検知率を非常に低く抑えることができます。

弊社ではさまざまに情報を活用して、多層防御対策を提供します。第一層としてはお客様から連携していただく情報や、アクセスしている端末の情報、さらには振る舞い検知といって、ユーザーの行動データを使用します。第二層としてはAI、機械学習。それ以外にも、バックエンドで連携していただいたデータ、たとえば電話番号やメールアドレスが不正に使われていないかを参照できますし、かつ変数を定義して実勢に合ったかたちの不正検知も可能です。第三層に関しては、弊社はさまざまなソリューションを持っておりまして、それらとの連携ができます。IDの検証だったり合言葉認証、さらにはデバイスとログインIDの組み合わせで認証をかけることも可能です。第四層に関しては、ケースマネジメントとか、お客様からフィードバックを与えるような、運用を助ける機能が豊富にあります。これらに加えて、ThreatMetrixを導入していただいている企業からのフィードバックがあります。お客様の組織内で流れているトランザクションが不正なのか真正なのかの判断を提供するといったことも可能です。

また、端末情報の検知によって精度の向上を図っています。言語、タイムゾーン、画面解析度といった一般的な端末情報だけを用いたリスク判定では真正阻害を招く危険性があるのですが、ThreatMetrixではリモートアクセスや仮想端末兆候などの情報も取り入れて誤検知率を限りなく低く抑えることができます。

弊社では標準的なルール、関数を使ったルール、動的な変数を使ったルールなどさまざまなルールを作ることができます。たとえばOS、ブラウザ言語、ブラウザ、画面解像度、送信元所属国、リモートデスクトップ、仮想端末兆候などの項目をandで組み合わせたりして、よりピンポイントに不正を検知することを可能にしています。

クレジットカードに関しては、固定閾値と動的閾値というお話をよくさせていただいています。一般的に、同一のデバイスから異なる3つのカードで購入があれば不正と判断するというケースがあります。しかし中には、3枚のカードを使い分けているユーザーもいます。実際の傾向に合わせて不正検知ができるというのも弊社の強みです。動的閾値としてよく使われるのは、経年とか頻度とかの組み合わせです。動的閾値を使うことによって、固定閾値だけでは検知できない不正も見抜くことができるようになります。

⇒⇒次に進む

■お問い合わせ先
LexisNexis Risk Solutions
〒106-0044 東京都港区東麻布1-9-15
東麻布1 丁目ビル3 階
URL:https://risk.lexisnexis.co.jp/financial-services/fraud-and-identity-management
一瀬 惇也:080-4219-6788
Junya.Ichinose@Lexisnexisrisk.com

 

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP