2024年3月28日9:00
近年、BNPL(Buy Now Pay. Later)に代表される新たなオンライン決済手段の利用が拡大している。容易に利用可能な決済手段の登場により、不正対策にも異なる視点が求められている。不正被害から顧客とビジネスを守るために必要なのは、オンラインでアクセスしてくるユーザーが正規のユーザーであるか、あるいは不正を働こうとする者かを正確に素早く判断することだ。オンラインユーザーを知るためのテクノロジと、新たな決済手段への対応のポイントについて紹介する。(2024年3月5日開催「ペイメント・セキュリティフォーラム2024」より)
LexisNexis Risk Solutions ディレクター 雨宮吉秀氏
不正者が新規アカウント作成に動く
11件に1件が不正アクセス
LexisNexis Risk Solutionsはその名の通り、リスクにかかわるソリューションをお客様に提供しています。世の中にはパブリックなものや、弊社が集めたもの、あるいはお客様からいただいたものなど、さまざまなリスクデータが存在していますが、弊社ではそれらを集め、分析して、有効なかたちにしてお客様に提示し、使っていただくことを使命としております。
弊社は事業のテーマとして、ペイメント効率化、金融犯罪コンプライアンス、不正とアイデンティティの3つを掲げていますが、今日は不正とアイデンティティについて説明させていただきます。
弊社では毎年、弊社のネットワークの中に入ってくるさまざまな不正を分析して「サイバー犯罪レポート」としてまとめています。現時点での最新版である2022年のデータを紹介しながら、最近の不正の動向についてご説明したいと思います。
注目すべきは、新規アカウント作成時の不正が増えていることです。ペイメントの不正というと、支払い、カード決済時の不正がまず頭に浮かぶのですが、2022年には新規アカウントを作成するためのアクセスのうち11件に1件が不正と判定されました。不正に口座やアカウントを作ろうとする不正者が非常に多いということです。
モバイル経由の不正は、サイバー犯罪レポートの発行以来、毎年割合が増え続けています。モバイルへの対策強化が求められます。パスワードリセットについても、モバイル経由の攻撃が年率231%増となっています。モバイルからパスワードリセットを行って、なりすましで不正を行うケースが増えているのです。
不正のトップは「詐欺」
中でも“本人が絡む”事案が多発
不正の中身について見ていきます。このデータは、実際に不正取引に遭遇した弊社のお客様がフィードバックしてくださった情報を集計したものです。
2022年時点で、1位はすでに3rdパーティーのチャージバックではなく、詐欺となっています。3位に挙がっているのは1stパーティー詐欺。つまり、本人が絡んでいる不正が大変多くなっているのです。
本人が絡んでいるという意味には2通りあって、1つは本人に悪意があって行っているもの。たとえば、1,000円の入会特典がある申込を100回行って10万円を受け取るといったことです。あるいは、BNPLで商品を購入して、代金を支払わないというケースです。
もう1つは、本人に悪意はなく、騙されてやっている場合です。ソーシャルエンジニアリングなどで騙されて、誰かにモノを送ってしまう、送金してしまう、ポイントを分けてしまうというパターンです。
そのどちらにも、なんらかのかたちで本人が絡んでいます。本人が絡んでいる不正は、見つけるのがとても難しいのです。本人が自らの意志で、本人のPC、本人のネットワークを使って行っているし、本人の電話番号でSMS認証もできるのです。
しかしこれからは、こういった不正にも対応していかなくてはなりません。銀行のような不正にかなり厳しいところでは、すでに数年前から対策をスタートさせています。それ以外の業界でも、対策を迫られています。
BNPLがポピュラーな決済手段に
利用回数が多いほど不正も増える
近年は新たな決済手段が次々と登場しています。クレジットカード、デビットカード、現金以外の決済手段が2概ね25%前後を占めるようになってきました。クレジットカードについては不正の抑制はしきれていないとはいうものの、3-Dセキュアの普及がかなり進んできています。その一方で新しい決済手段への対応が急務になっている状況です。
代替ペイメントの代表格は、後払い、BNPLだと思います。弊社はこれについての4部作のレポートも出しています。
BNPLを使っているのはどういう人たちなのでしょうか。クレジットカードを持っていない人や、クレジットカードで決済できなかったときに使われるのかというと、一概にそうは言えないようです。クレジットカードの利用履歴に基づく信用度であるクレジットスコアで3分類してみると、スコアの高い人もBNPLをよく利用しています。クレジットカードやローンの返済履歴による信用力でサブプライム、ニアプライム、プライムに分けた場合、信用力の高いプライム層でも16%がBNPLを利用しています。欧米では分割払いを目的にBNPLが使われるという分析もありますが、日本でも今後はBNPLも分割払いが可能になるという話もありますので、国内でもこのような傾向になっていくと考えられます。
35歳以下と35歳超に分けた年齢別で見ても、クレジットカードは年齢層が高いほうがよく使っていて、若い人は少ない傾向がありますが、BNPLはそれほど変わらず、年齢が上の人にも幅広く使われている傾向が見えます。
3-Dセキュアによりカゴ落ちが増えるという話もありますし、ライアビリティがイシュアに課せられることで、イシュアが拒否する取引が増えてくる場合もあるので、BNPLはその代替手段になっていく可能性があります。
BNPL利用者の利用回数は「2-5回」が38%で最も多いですが、10回以上利用している人も25%います。興味深いのは、利用回数が増えるほど未払いが増えることです。1回使ってお金を払わず逃げてしまう人が多いのではないかというとそうではなく、数回繰り返し買ってからいなくなる傾向があるのです。これを見ると、BNPLは支払いというユースケースというよりも、ローンのユースケースに近いと考えられます。つまり、ローンを借りて返さないという人たちと同じパターンです。ですから、これまでの支払いの不正対策とは異なった視点が必要です。
不正の手口はどんどん巧妙に
新しい不正には新しい対策が必要
承認済みプッシュ支払い(APP)詐欺についてお話しします。典型的なのは、電話やメールで指示され、騙されて承認して送金や購入をしてしまうケースです。本人がOKして支払ってしまう被害なのですが、これが非常に増えています。特に米英インドにおいてAPP詐欺被害額は倍増しており、2026年には52億5,000万ドルになると予想されています。今までの不正は3rdパーティーで行われるものがメインで、アカウント乗っ取りやCNP(非対面カード支払い)やID盗難や合成IDなどが目立っていました。こういった不正に対しては、デジタルデバイスのインテリジェンスや、トランザクションのモニターが有効な抑制手段とされてきました。
新しい不正の代表例は、APP詐欺、投資詐欺、ロマンス詐欺、出荷詐欺、RAT(リモートアクセスツール)・bot、早期支払い不履行(EPD)などです。これらに対しては、先行してシグナルを見ていく必要があります。その人のこれまでの行動、受益者、送金先、支払先の情報などを広く収集して手を打っていかないと、新しい不正に対応することはできません。
■お問い合わせ先
LexisNexis® Risk Solutions
〒 104-0028
東京都中央区八重洲2-2-1 東京ミッドタウン八重洲 八重洲セントラルタワー11階
ウェブサイトよりお気軽にお問い合わせください。
URL:https://risk.lexisnexis.co.jp/corporations-and-non-profits/fraud-and-identity-management
ソリューション:https://risk.lexisnexis.co.jp/products/threatmetrix
