2022年3月17日8:00
日本におけるクレジットカード不正利用の被害件数は年々増加しており、その中心はECサイトでのオンライン決済だ。ヤフーが提供するコマースサービス「Yahoo!ショッピング」「PayPayモール」「ヤフオク!」「PayPayフリマ」では、独自開発の不正検知システムに搭載されているAIと人の目により、不正を大幅に削減することに成功。この不正検知システムの仕組みを中心に、ヤフーが実施している不正利用対策を紹介する。(2022年2月10日開催「ペイメントカード・セキュリティフォーラム2022」より)
ヤフー株式会社 コマースインフラ本部 安全対策部 部長 藤田智子氏
ヤフーにおけるカード不正利用は
2019年をピークに鎮静化
本セッションでは、ヤフーのコマースサービスにおけるクレジットカード不正利用対策の取り組みについて、AIを活用した不正検知システムの仕組みを中心にお話しさせていただきます。
ますはじめに、ECサービスにおける不正利用の実態についてお話しします。ヤフーのECサービスは全部で4つあります。ショッピング事業の「Yahoo!ショッピング」「PayPayモール」と、リユース事業の「ヤフオク!」「PayPayフリマ」です。ただ今「超PayPay祭」(※)というキャンペーンを実施中で、こちらのサイトでもオトクにお買い物ができますので、よろしければチェックしてみてください。(※「超PayPay祭」は2022年3月31日まで開催中)
不正のターゲットとなる売り場の状況を見ていきたいと思います。「Yahoo!ショッピング」と「PayPayモール」の取扱高は、国内EC市場の成長を上回るかたちで急成長しております。リユース事業も、「ヤフオク!」の安定した成長に加え、「PayPayフリマ」の利用者の増加によって、堅調に推移しています。
一方、クレジットカード不正利用の状況はどのようになっているでしょうか。ECサイトのクレジットカード不正決済は主に、番号盗用によるものです。日本クレジット協会が公表している国内クレジットカード不正利用被害額のうち、番号盗用による被害額の推移を見ますと、年々増加傾向にありますので、ECサイトはその対策が必須になっています。
次にヤフーのコマースサービスでの不正利用状況を見ていきます。「Yahoo!ショッピング」と「PayPayモール」のカード不正状況を見ますと、カード不正利用額は事業の成長に比例するように年々増加傾向を示し、2019年にピークを迎えました。2020年以降はこのあとにご紹介する不正検知システムや、ほかにもさまざまな不正利用対策を講じたことで減少傾向に転じました。
リユース事業の「ヤフオク!」「PayPayフリマ」につきましても、2019年に被害がピークを迎えました。しかしこちらも不正対策を強化したことで、2020年以降はショッピング事業以上に大幅に改善しております。
ECサイトでの不正の大半は第三者利用
手口は巧妙化の一途をたどる
それではここで、オンライン決済の不正利用にはどのような種類があるのかを見ていきたいと思います。
1つ目はカード第三者利用です。不正者はダークウェブやフィッシングサイトでクレジットカード番号リストを入手します。そのカード番号を使ってECサイトで換金性の高い商品を購入します。それを転売して売上金を得るという方法です。ECサイトでのカード不正利用は、ほとんどがこの第三者利用になっています。こちらは基本のパターンですが、成功率を高めるためにいろいろな手口を使ってきますので、これについては後ほどご紹介したいと思います。
2つ目は有効性チェックです。クレジットマスターです。ECサイトで少額の決済をすることで、カード番号が有効であるかどうかを確認するものです。通常のトランザクションとは明らかに異なる機械的なアタックがきますので、ヤフーではキャプチャ認証を入れたり、頻度やアクセス元などで制御を入れる機能がありますので、対策がとれています。
3つ目は、ショッピング枠の現金化です。ECサイトにもクレジットカード現金化業者が出店していることがありまして、そこで現金化用の商品をカード決済で購入し、なんらかの方法でキャッシュバックを得るというものです。カードは盗用カードが使われることもありますし、お金に困っている人が自分のカードのショッピング枠をキャッシュバックするということもあります。「Yahoo!ショッピング」にも過去にはクレジットカード現金化業者が出店していたことがありましたが、現在は出店者審査を強化しておりますし、取引のモニタリングも強化しておりますので、対策がとれています。
ECサイトで最も多いカード第三者利用のバリエーションをご紹介します。カード第三者利用の不正者にとってのポイントは、いかに正常利用に見せるか、いかに足が付かないようにやるか、いかに効率良くやるかです。このあと、実際にヤフーのコマースサービスで起きた事例を紹介いたします。
いかに正常利用に見せるかという点では、アカウント乗っ取りがあります。不正に入手したIDやパスワードで、他人のYahoo! JAPAN IDにアクセスし、アカウントを乗っ取って、決済するというものです。こうすることでIDの持ち主本人の決済のようになりすますことができます。また、Yahoo! JAPAN IDにはクレジットカード情報を登録しておくことができますので、そのカード番号が狙いであることもあります。ですがヤフーでは、登録されたカードを使う場合、クレジットカードのセキュリティコードの入力を求めますので、アカウント乗っ取りだけでは登録カードは利用できないようになっています。
足が付かない方法として代表的なものは、配送代行業者の転送住所を経由して商品を受け取る方法があります。不正者が自分の居場所に荷物を送ることはまずありません。空き家などに受け子が待機して荷物を受け取ることもありますが、これも足が付く可能性があります。そこでよく使われるのが、配送先に配送代行業者の転送住所を指定して、そこから配送代行業者を使って受け取る方法です。
効率性というところでは、「ヤフオク!」と「PayPayフリマ」はCtoC取引になりますので、これを悪用した自作自演取引という不正の手口があります。不正者はまず出品者として架空商品を出品します。次に、落札者役の人がその架空商品を落札し、盗用カードで決済して、現金化するという方法です。この場合、取引の中で、先ほど紹介したショッピング枠の現金化も同時に行えますので、非常に効率的です。
