2024年3月25日8:30
クレジットカードの不正利用被害が拡大し続ける中、3-Dセキュアと属性・行動分析などとを組み合わせた重層的な対策が必須の課題として浮上している。かっこは、2011年からEC業界の不正対策に特化し、国内導入シェアNo1の不正注文検知サービス「O-PLUX(オープラックス)」とライト版サービス「不正チェッカー」を提供。2023年11月に独自に実施したEC事業者への実態調査アンケートの結果や、最新の不正手口、3Dセキュアと不正検知システムとの併用事例など不正対策の最前線を紹介する。(2024年3月5日開催「ペイメント・セキュリティフォーラム2024」より【PR】)
かっこ株式会社 O-PLUX事業部 小林太平氏
増え続ける不正利用に対抗するには
3Dセキュア、プラスαの重層的対策が必要
かっこは、不正検知サービス、決済コンサルティングサービス、データサイエンスサービスを3本柱とするSaaS型アルゴリズム提供事業を行っています。もともとの出発点は決済コンサルティングサービスで、日本国内の後払い決済サービス事業者の裏側で、システム開発やコンサルティング支援を行っていました。後払いですので、1度目の支払いが行われなかった場合、2度目の決済にはNGを出さなければなりません。そこで培われたノウハウが、EC向けの不正検知サービスに発展してまいりました。データサイエンスに関しては、社内に専門の部隊がありますので、そのスキルを活用しつつ不正検知の精度向上に努めています。
不正対策には大きく4つの方策があります。まず、本人認証。EMV 3-Dセキュアをベースに、カード番号や有効期限に加え、リスクの高い取引に対しては静的・動的パスワードを用いて本人確認を行います。次に、券面認証。3~4桁のセキュリティコードの入力により認証を行う方法です。この2つについては、クレジットカードに関する認証の部分です。
これ以降が、弊社のサービス提供範囲になります。まず属性・行動分析による不正検知。ルールを設定して、これに引っかかるものを洗い出していきます。そして、配送先情報。不正取引と確定された注文にかかわる不審住所データを蓄積し、これにヒットした住所への配送を止めます。これらは、EMV 3-Dセキュアにプラスした重層的な不正対策として国が推奨しているサービスです。属性・行動分析や配送先情報は、裏側のAPIの認証や、CSVによる審査など、一般のユーザーからは見えないところで活用されています。EMV 3-Dセキュアとこれらの技術との併用によって、対策強化が可能になっているのです。
3社に1社が不正利用被害を経験
年間被害額は数十万円から数百万円
2022年10月に3-Dセキュア1.0のサポートが終了し、2.0に移行した後も、クレジットカード不正利用被害額は拡大を続けています。2022年は411.7億円。ほとんどがクレジットカード番号の盗難による被害です。2023年は第3クオーターまでの数字で376.3億円と、すでに2022年の91.4%に達し、通年では前年を超える恐れがあります。
弊社では2023年11月に、不正注文対策に携わるEC事象者の担当者を対象に、セキュリティ意識や不正対策の実態についての独自調査を実施しました。ネット方式によるアンケート調査で、有効回答数は549件。企業の年商規模では10億円未満が49.9%、10億円以上が50.1%です。
改正割賦販売法でクレジットカード不正対策が義務化されたことを知っているかという問いに対しては、「内容までよく知っている」が72.5%。2022年に実施した同様の調査では65.3%でしたので、7.2%の増加となり、セキュリティ意識が少しずつ高まっていることがうかがえます。
2025年3月までにEMV 3-Dセキュアが導入必須になることを知っているかという問いに対しては、「知っている」が全体の76.5%。年商10億円未満の企業では68.2%、10億円以上では84.7%でした。
被害の状況についても聞きました。「被害にあった」のは34.4%。3社に1社が被害に遭っています。今までにあった不正被害で最も多いのは「チャージバック」で22.9%。次いで「悪質転売」(14.5%)、「後払い未払い」(13.9%)が続いています。
直近1年間の不正被害の回数を聞いたところ、「4~7回」が最も多く29.6%。直近1年間の不正被害総額は、「25万~50万円未満」がボリュームゾーンで21.7%。しかしそれより多い額だと回答したところが約45%を占めています。その中でも、「300万~500万円未満」(6.9%)と「500万円以上」(5.3%)を合わせると12.2%となり、被害額が非常に大きいことが読み取れます。
実施している不正対策では、本人認証が上位を占めています。一方で、EMV 3-Dセキュアの導入率は、36.1%にとどまっています。
EMV 3-Dセキュアに対する不満、懸念について聞いたところ、トップは「ランニングコスト」で36.1%、「導入コスト」も20.1%で、コストに関する項目に多くの回答が集まりました。また、「リスク判定のカスタマイズができない」が22.9%と、商品単価や商材などを加味した判定ロジックのカスタマイズができない点が危惧されているようです。「不正が抑制されない/すり抜けが発生する」(12.4%)といった声も多く聞かれました。
今回の調査では、事業者の対策意識の向上や対策実施にもかかわらず、不正被害が増加している状況が確認できる結果となりました。複雑化、多様化する不正被害に対して、自社対策のみではなく、業界横断的に、重層的な対策を実施することが重要と考えています。
5つの手法を駆使して不正を検知
即座に「OK」「NG」の回答を返す
弊社がEC事業者向けに提供している「O-PLUX」は、審査リクエストに応じて注文ごとに即時に審査を行い、「OK」「NG」の回答と、その理由を、リアルタイムでお戻しするサービスです。
審査に用いる要素は大きく5つあります。1つは名寄せ処理。アラビア数字や漢数字、カタカナやローマ字、異体字など、日本語表記は複雑です。たとえば「赤坂4丁目3番地2号」と「赤坂4-3-2」といった“表記の揺れ”も同一のものと認識して、精度の高い不正検知を行います。また、苗字の「中山」に「チュウザン」とフリガナが振ってあれば、氏名とフリガナの不一致と判定して、その情報をフィードバックします。
2つ目はデバイス情報。IP、cookieによる同一視判定、海外からのアクセス判定、言語設定やタイムゾーンによる外国人のなりすまし判定などを行います。3つ目は外部DB連携。空き室情報や電話回線の疎通情報など、外部の専門機関が有している情報を活用します。
4つ目が行動分析です。短期間に大量購入していないか、なりすましの挙動ではないかということを、アクセス回数、時間、特定の住所、名前、電話番号などの多様な条件を掛け合わせてヒットさせていきます。
5つ目が共有ネガティブです。弊社のサービス利用企業間でネガティブデータを共有することによって、自社ECサイトにおいては初めての不正であっても、過去の不正利用との一致が確認されれば事前に取引をストップすることが可能になります。
■お問い合わせ先
かっこ株式会社(Cacco Inc.)
〒107-0051
東京都港区元赤坂1-5-31 新井ビル4F
TEL : 03-6447-4534( 代表 )
https://cacco.co.jp/
https://frauddetection.cacco.co.jp/
お問い合わせ https://frauddetection.cacco.co.jp/contact/