2022年9月22日8:00

一般社団法人セーファーインターネット協会が2022年9月1日開催した「フィッシング、クレジットカード不正の現状と対策を考える会」では、ヤフー、PayPay、メルカリによる「EC事業者による取り組みや、フィッシング等に関する最新の不正事例の紹介」のセッションも行われた。すでに3社ではEMV 3Dセキュアに対応。ヤフーやメルカリでは、不正対策で成果を上げた。現在、EMV 3Dセキュアの原則化への議論が進められているが、登壇者からは、EMV 3Dセキュアは有効だとしながらも、仮に義務化すると犯罪者がそれに合わせた対策を行う可能性もあり、不正検知システムを含めた多面的な対策が必要との声も挙がった。

会場の様子。藤田氏と水嶋氏はオンラインで参加した

ヤフーは2019年を境に不正対策で大幅な成果
ルールと機械学習で不正を防止

インターネットショッピングモール大手のヤフーは、不正対策に積極的に取り組んできた企業だ。コアサービスである「Yahoo!ショッピング」、および「PayPayモール」では、ショッピング事業が年々成長する中、不正を試みる取引も増加していたが、2019年を境に横ばいで推移している。
※10月からYahoo!ショッピングとPayPayモールが統合して新生Yahoo!ショッピングになる予定

ヤフー コマースインフラ本部安全対策部 部長 藤田智子氏は「不正検知システムの導入のほか、さまざまな対策を講じたことでえ、横ばいに抑えることができています」と成果を述べる。また、リユース事業のヤフーオークションとPayPayフリマについても、2019年のピークからYahoo!ショッピング以上に改善している。

ヤフー コマースインフラ本部安全対策部 部長 藤田智子氏

ヤフーでは、事前の「準備」、「決済」、支払い後の「被害」のそれぞれの段階において対策を行っている。すでに独自開発の不正検知システムを導入しているが、システムによる判定と、人の目視によるチェックの両方を組み合わせている。

同不正検知システムのルールは、Webツールで管理しており、不正の状況に応じて、素早く新たなルールを作成したり、閾(しきい)値のチューニングを変更可能だ。またルールベース判定システムにヤフーのビッグデータを活用した機械学習モデルを取り入れている。藤田氏は「ルールベースと機械学習のお互いの弱点を補い、強みを生かしたシステムを実現しています」と話す。そのほか、判定結果を蓄積し、それらを可視化・分析して、ルールの改善に生かしたり、機械学習モデルを定期更新するフィードバックループが構築されている。 システムでは完全に判断がつかないものを人の目視チェックに回しているが、専門の審査チームにより、24時間365日の体制で運用しているそうだ。

EMV 3Dセキュアを導入し目視チェックを軽減
決済以外の「準備」や「事後」の対策も

具体的な不正の判定フローとして、決済が行われると、まず、不正検知システムによるシステム検査を必ず通る。ここで不正か不正の疑いがあるかをリアルタイムに判定する。不正の疑いがある決済は、商品発送保留のステータスとなり、その間に全件目視による審査を行う。審査担当者の審査の結果、問題なしと判断した場合、発送保留を解除する。仮に不正の懸念がある場合は、カード持ち主本人の利用であるかを確認するために、カード会社に照会をかける。照会の結果、本人名であれば、発送手続きが行われる。

新たな取り組みとして、ヤフーでは8月17日にYahoo!ショッピング、PayPayモールにEMV 3Dセキュアを導入した。全ての決済をEMV 3Dセキュアに回すのではなく、まず、システムによる審査を行い、これまで人の目視チェックで不正の懸念があった取引を対象にした。一部例外があったり、EMV 3Dセキュア非対応のカードなどの場合には、従来のフローを通る。

これにより、正常な取引データは従来通り決済を行い、不正の懸念がある取引については、EMV 3Dセキュアにより、人の目視チェックにかかる審査工数や、カード会社とのやり取りにかかる業務工数を削減することができる。さらに、不正かどうか判明するまでの間、発送保留として店舗や利用者を待たせることもなくなったという。

決済以外の対策の「準備」にあたる部分としてYahoo!JAPAN IDの悪用対策、およびフィッシング対策を強化している。2020年7月からは、Yahoo!JAPAN IDの新規取得に携帯電話番号を必須とした。これにより、Yahoo!JAPAN IDを大量に取得することが難しくなった。ログイン認証についても、従来のパスワードから、セキュリティ強度がより高い生体認証や、パスワードの無効果設定、また、ワンタイムパスワードによる二要素認証への変更を推進している。「事後」に関しても長期期間利用がない、放置されているIDの利用停止措置を行っている。さらに、被害に遭った店舗に対しては、補償制度、チャージバック制度などを設けている。

藤田氏は「これからもより多くの人が安心してYahoo!ショッピングなどで買い物をしていただけるよう不正利用させない売り場作りと、不正検知の精度向上を進めていきたい」と意気込みを見せた。

PayPayは3つのリスク対応ポリシーで対策
どんな導線でもPayPayの本人確認をもれなく実施

キャッシュレス決済サービス「PayPay」はオフラインに加え、オンライン決済でも利用可能だ。すでに各種ECモールやオンラインショッピングで導入されている。

PayPayのユーザー登録手順として、アカウント作成時は電話番号登録を必須としている。SMS認証による本人確認を行うことで、セキュリティを保っている。アカウントのログインにも、電話番号を用いたSMS認証を実施している。

PayPay 法務・リスク管理本部金融犯罪対策室 マネージャー水嶋 康一朗氏

PayPayの支払い方法として、1つは銀行口座やクレジットカードなどからチャージしての支払い、もう1つは登録したクレジットカードから直接支払う方法がある。いずれもクレジットカードが使えるため、不正利用対策が重要になる。

PayPayが関連するリスクパターンとして、フィッシングによるアカウント乗っ取りが挙げられる。犯人がフィッシングでアカウントを盗んで不正購入を行うパターンだ。また、偽物の広告を経由してフィッシングサイトに誘導させ、認証情報を盗むケースもある。

不正取得したクレジットカードの悪用については、フィッシングやスキミング等で盗まれたカード情報が犯罪者のPayPay番号に登録されて、不正購入に至るケースが確認されている。

PayPay 法務・リスク管理本部金融犯罪対策室 マネージャー水嶋 康一朗氏は、「3つのリスク対応ポリシーを基に不正対策にあたっています」と説明する。1つ目が「Preventive(事前防止措置)」となり、犯罪者のターゲットになりにくいサービスやプロダクト設計をリリースプロセスの中で、専用のセキュリティチェックを実施することによって、担保している。2つ目が、「Proactive(積極的な対応)」で、不正を常に探しに行く体制を構築している。3つ目が、「Reactive(ユーザーケア・調査/分析)」となり、万が一不正利用されてもすぐに利用者をサポートできる体制を組んで、事案の調査/分析を通して事前防止方法のリスク対応を行っている。

オンライン決済における「Preventive」の対応として、加盟店のWebサイトやアプリからPayPay決済される際、どんな導線でもPayPayの本人確認をもれなく実施する設計となっている。PayPayでは二要素認証を完了しているログイン状態のアプリ、そのアプリでWebサイトに表示されたQRコードを読み込んで決済、ブランドから二要素認証でPayPayにログインする導線など、どのルートから決済されてもPayPay側の本人確認を担保できるようにしている。

独自の利用実績などをもとに上限額を設定
不正事案を調査して次の対策に生かす

クレジットカードの不正利用に対するセキュリティ対策として、登録の認証状況によってPayPay側で利用可能額をコントロールしており、独自の登録制御を用いることでセキュリティを高めている。例えば、EMV 3Dセキュアはもちろん、青いバッジと呼ばれる同社の独自の利用実績などをもとに上限額を設定している。また、利用者自身で個別の利用額を設定できるようにしており、SMS認証を必須とすることで改竄されにくくしている。さらに、登録時に1枚のカードが複数アカウントに登録できないようにするなど、独自の登録制御を実施している。

PayPayは2018年12月、初の100億円キャンペーンを実施したが、クレジットカード不正利用された過去がある。地道な対策によって、2021年1月~12月は0.001%(参考:クレジットカード0.047%)と低い発生率となった。

2つ目の「Proactive」の体制では、システムと人間の両方で監視をしている。不正パターンをターゲティングしたシステム制御や、専任スタッフが24時間365日監視を行う機械と人間のダブルスタンバイのチェック体制を取っている。

3つ目の「Reactive」では、仮に不正利用されたとしても、すぐに対応することを挙げた。具体的には、24時間365日の電話によるサポート体制、被害者や加盟店への補償制度の導入、今後の反省に生かすために不正事案の定性・定量的な事後調査と分析を行うことだとした。

PayPayでは、利用者がいつでも相談できる体制と速やかな補償手続きを実施。補償に関しては規約に則るが、「基本的に第三者の不正であれば加盟店にチャージバックいたしません。不正事案を調査して次の対策に生かしています」と水嶋氏は語った。

※PayPayでは、9月に、PayPayアプリ バージョンv3.57.0以降においてEMV 3Dセキュアに対応したと発表した。

メルカリはEMV 3Dセキュア対応で不正が大幅に減少
かご落ちによる離脱差分は2〜3%前後にとどまる

メルカリは、新たな価値を生み出す世界的なマーケットプレイスを創ることをミッションとしている。2013年からフリマアプリ「メルカリ」、2019年からはスマホ決済サービス「メルペイ」で金融事業を展開している。現在、メルカリの月間利用者は2,000万人を超えている。

メルカリ 執行役員 VP of Trust and Safety Japan Region篠原 孝明氏

2022年7月のフィッシング件数は10万件を突破。2021年のクレジットカードの被害額は330億円となっており、同年の特殊詐欺被害額を超えている。クレジットカードを利用するサービスは多岐に渡るため、「EC業界だけの問題ではない」とメルカリ 執行役員 VP of Trust and Safety Japan Region篠原 孝明氏は指摘する。

メルカリでも2021年末から不正利用が増えており、クレジットカード不正利用額は今年度前半で23億円、フィッシング詐欺は半年で9億円となっている。

一方で、2022年7月以降、大幅に不正被害額が減少しており、8月以降も減少していく見通しだという。篠原氏は「弊社では、ミッションを達成するために安心・安全な利用環境の構築は経営の最重要課題として捉えております」と語気を強める。同社ではEC事業、金融事業を行うメルペイ、そして、さまざまなサービスを横断する形で「Japan Region」で不正対策の担当部門を新設した。

このコンテンツは会員限定(有料)となっております。続きを読むには「Paymentnavi Pro 2022」のお申し込みが必要となります。
詳細はこちらのページからご覧下さい。

すでにユーザー登録をされている方はログインをしてください。

関連記事

ペイメントニュース最新情報

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)

国内最大級のクレジットカード情報データベース(アイティーナビ)

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
トッパンの決済ソリューションをご紹介(凸版印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

40ブランドに対応するキャッシュレス決済ゲートウェイ事業のほか、ハウスプリペイドやクラウドPOSなどのマーケティングソリューションを提供する情報プロセシングカンパニーです。(トランザクション・メディア・ネットワークス)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

Global Payment Technology Solutions(インコム・ジャパン)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP