2023年3月30日7:30
デバイスの使い方で本人かどうかを判断
人と機械、不正と正規を容易に見極め
次に、行動バイオメトリックスについてお話しします。これは何かといいますと、皆様がキーボードやスマホをどんなふうに使っているかを見るものです。キーボードであれば、キー操作の特徴、どういうタイミングでキーを押して、離して、次のキーを押すかといったデータを収集します。これは人によって非常に特徴があって、なかなか真似ることができないといわれています。スマホであれば、スワイプ、タッチ、圧力、動かす方向、傾きとか加速度とか。こういったデータをもとに、以前来た人と同一人物かどうかを正確に見極めようという手法です。
スワイプのデータを単になぞっただけでも、人によって違うということがわかりますが、これをスワイプの長さ、圧力、曲率、速度などをキーに分析すると、プロファイルを作成することができます。たとえば4要素で分析すれば4次元でつくれますので、かなり特徴が明確になります。数回分のデータを取るだけでも十分機能するらしいですが、1カ月分くらいのデータを収集すれば相当高い精度で個人を特定することができます。
機械かどうかの判定は、より容易です。たとえば人間だとマウス操作が絶対にぶれますが、機械だとスワイプが真っすぐになる。また、機械はキー操作がものすごく速いとか、間隔が一定だとか。また、不正を見抜くわかりやすい例としては、会員登録などのときにたいてい電話番号の入力が求められますが、これをカットアンドペーストで入力している。パソコンであれば、登録画面からいったん外に出て、戻ってきて入力を再開するとか。これは他人名義のカードをつくろうとしている犯罪者の行動パターンです。そういった、不正を働く人の特徴というのがありますので、この技術を使うことで非常に精度高く、本人かどうかの確認ができます。
BehavioSec の機械学習とデータモデリング技術
この仕組みでは、セッション全体の動きを追うこともできます。特定のひとつのログインセッションだけではなくて、ログインして、商品を見て、決済のサイトに移って買い物を完了するといった流れを見ると、正規の人とそうでない人はやはり動き方が違います。不正を働く人は、商品ページは見ずに、真っすぐ注文ページに行って特定の商品を購入して、すぐに帰っていく。普通の人は買う前に商品を確かめたり、決済のときに一瞬躊躇したりします。不正をする人は躊躇しません。そういう差分を見ていって、不正かどうかを判定するわけです。
デジタルIDと行動バイオメトリックスを駆使した
リスクベース認証ソリューション「ThreatMetrix®」
最新技術を2つ紹介させていただきました。これらの機能は、弊社のLexisNexis® ThreatMetrix®というリスクベース認証のソリューションに搭載されています。ThreatMetrixはトランザクションのリスクを、マイナス100からプラス100までの数値でスコアリングして、サイト運営者にお返しします。その数値を見て、チャレンジするのか、フリクションレスにするのか、リジェクトするのかを決めていただく。スコアには、理由コードも付けています。理由コードは弊社が用意したものに加えて、オリジナルなものを書くことができます。たとえばこの3カ月間、同じアドレス、同じデバイスで決済していたのに、今回は高額な商品を前回とは違うIPアドレスから購入しようとしている。リモートアクセスツールが入っている。そういった危険な兆候をキャッチして、不正を防ぐことが可能です。
先ほど情報は多ければ多いほどいいという話をしましたが、ThreatMetrixには判定に使える要素が2,000以上あり、それらを組み合わせて使うことができます。たとえば、このデバイスは他社でリジェクトされたことがある。他社で不正判定を受けたことがある。過去1時間以内に他社で100回ログインに失敗している、とか。そういった情報も使えます。どの項目にどれだけ点数を与えるかというのも、お客様ごとにカスタマイズできます。たとえば国内のみでECの決済を行っているお客様であれば、海外での取引データは重視しなくてもいいかもしれません。ただ、日本からの、外国語を使った取引データはどうするのか。お客様によって判断は異なると思いますので、点数を上下させて、それぞれのお客様にとって最適なルールを設定できるようにしています。
ThreatMetrixの機能を整理しますと、年間960億という膨大なトランザクションを処理し、その情報を共有のインテリジェンスとして匿名で使えるようになっています。たとえばその人が過去に不正を働いたということはわかっても、どの企業で不正をしたのかはわかりません。脅威解析というところでは、ThreatMetrix独自の対応をしています。たとえばbotである恐れがあるとか、リモートアクセスツールが使われている可能性があるとか、VPN経由であるとか、TORネットワーク経由であるとか、そういったことも加味して分析しています。また、デバイス情報も豊富に入手することができます。グラフィカルでわかりやすいUIを用意しています。コンプライアンス機能としては、不正検知のルールを権限のない人が変えることができないように監視する仕組みや、承認フローをつくる機能などを提供しています。
また、人間が定義するルールだけではなく、機械学習も採り入れています。弊社ではホワイトボックスアプローチを採っており、AIが出した答えをそのまま正しいとするのではなく、機械学習したデータがルールとして出てくるかたちにしています。どんなルールを、AIは良いと判断しているのか。たとえば高額商品は不正のターゲットとなりやすいと一言で言っても、高額の基準はそれぞれの会社で違います。人間は「10万円以上」などと定義しがちですが、機械学習の結果、7万3,500円といった数値が出てきたりします。
横軸に擬陽性率、つまりどれだけ取引を止めるのか、縦軸に真陽性率、つまりどれだけ不正を見つけたかという数値をとったときに、急角度に上がって後はなだらかになるのが理想的なパターンです。リスクを最小限に抑えながら、不正を最大限に止める。ThreatMetrixではこのようなグラフをつくって、結果を検証することもできます。
昨年リリースした、ECサイト向けの新機能として、商品情報を大量にまとめて送っていただくことが可能になりました。そのデータをもとに、どのような商品が不正のターゲットになりやすいかという分析をして、きめ細かなルールを書くことができるようになりました。また、PCI DSSに準拠いたしましたので、これまでハッシュ化して送っていただいていたクレジットカード番号などを、クリアテキスト送信していただくことが可能になりました。ThreatMetrixはオンボーディングからアカウント管理まで一貫して、さまざまな場面で使っていただくことができます。ご興味ある方はぜひお声がけください。ご清聴ありがとうございました。
■お問い合わせ先
LexisNexis® Risk Solutions
〒106-0044 東京都港区東麻布1-9-15
東麻布1 丁目ビル3 階
ウェブサイトよりお気軽にお問い合わせください。
URL: https://bit.ly/risk-lexisnexis-co-jp-products-threatmetrix
LexisNexis、LexID、Knowledge Burstロゴは、RELX Inc.の登録商標です。 ThreatMetrix、Digital Identity Networkは、ThreatMetrix, Inc.の登録商標です。HPCC Systemsは、LexisNexis Risk Data Management Inc.の登録商標です。 Copyright © 2023 LexisNexis Risk Solutions.
