2024年3月29日8:30
デジタルIDに情報を紐づけて
不正の事実や可能性を見抜く
弊社では主要なテクノロジとして、デジタルアイデンティティ(以下、デジタルID)を定義しています。1人の人間に1つのデジタルIDがあり、そこにさまざまな属性が結び付いている考え方です。デジタルIDには、名前や住所や、複数の電話番号やEメールアドレスやクレジットカード番号などが紐づきます。ECサイトのアカウントやログインIDなども紐づいています。また会社のPCやスマホも使うし、個人のPCやスマホもあります。こういったものを結び付けているのがデジタルIDです。
弊社はこのデジタルIDが今までネットワーク上でどのような行動をしてきたか、どういう属性が結び付いているのか、どのネットワーク経由で何回接続しているのかなどを見て、不正を行う人と、そうでない人を見分けていきます。
たとえば、あるデジタルIDには、住所が30個ぐらい紐づいています。30も住所のある人はいませんから、いかにもシッピング詐欺の匂いがします。クレジットカード番号を100個持っている人などは、不正者の可能性がかなり高いと言えるでしょう。おそらくカード番号をどこかから不正に入手して使おうとしていると考えられます。ネットワークの中に記録されているさまざまな事柄が、特定の人と結び付いている。その情報をずっと追いかけることによって、自社を初めて訪れたユーザーであっても、過去の履歴がわかる。それがデジタルIDです。
弊社は世界中からもたらされる膨大なトランザクションを通して、90億のアクティブデバイス、20億の電話番号、35億のEメールアドレス20億のIPアドレスを収集して、これにより、25億のデジタルIDが生成されています。トランザクション数は2022年6月のデータで年間960億に達します。年間960億は、つまり、毎秒3,000トランザクションです。その膨大な量のトランザクションをベースに包括的な洞察を得ることにより、不正の効果的な検出と防止に役立てています。
ThreatMetrixをはじめとする製品群で
不正対策を多層的にサポート
デジタルIDをベースに弊社は企業が多層的なアプローチでデジタル詐欺と闘うのを支援する、さまざまなソリューションを提供しています。 詐欺シンジケートは国際的に活動しており、自然の障壁や国境はそのような詐欺ネットワークの抑止力ではありません。 犯罪者が合成または偽の ID を使用したり、なりすまし技術を使用して IP や地理的位置を隠したりしている場合、正規の顧客と詐欺師を区別することは非常に困難です。 さらに、本物の顧客または信頼できる顧客は、詐欺師や詐欺師とは異なる行動をとるため、そのような行動の異常を検出することは、企業が詐欺防御を強化するのに役立ちます。また、新しく提供を開始した技術の1つに、「BehavioSec®」(行動バイオメトリクス)があります。これは、キーボードのタッチのパターンや、マウス操作、スマホのワイプの角度や速さや曲率や傾きなど、さまざまなデバイス操作の動きや癖を、機械学習によって分析して、機械か人か、あるいは本人かどうかを正確に見分ける技術です。たとえば、入力速度が異様に速い、あるいは、まっすぐ動いてぴったり止まるマウス操作だから、人ではなく機械によるものだ、とか。手入力のほうが簡単な電話番号までカットアンドペーストで入力しているから、不正者が対象者リストをコピーして入力しているかもしれない、とか。こういった分析によって、機械によるアクセスなのか、前回アクセスしてきた人と同じかどうか、入会した人と今回ログインした人が同じかどうかといったことを、精度高く判定することが可能になっています。
1stパーティー詐欺では、ATMで電話をしながら振込をさせられる振込詐欺と同様に、通話中にアプリ操作を促されて送金手続きをしてしまうというケースがあります。通話中にアプリの操作をすることは珍しく、不正との相関が非常に高いと考えられていますので、弊社では、通話中であるかどうかの情報を取得して不正の判定に活用しています。
先ほどBNPLはローンと非常に近いユースケースだというお話をしました。弊社は新興国において、今まで銀行口座を持てなかった人たちに金融サービスを提供する金融包摂の取り組みを行っています。そしてこれを通して、早期支払い不履行(EPD)に陥る人を見極める知見を蓄積してまいりました。デバイス情報や、ローン会社から提供される取引にかかわる情報に加えて、独自のノウハウと機械学習を活用し、より多くのお客様にサービスを提供できるようにしながら、不正の抑制を実現しています。弊社ではこの知見を活かして、「LexisNexis Decision Trust」というサービスを提供しています。BNPLやコンシューマーローン、カードローンの申込受付時の判定に活用していただくことができます。
また、Eメールアドレスを起点にリスク判定を行う「LexisNexis Emailage」というサービスもあります。EメールアドレスはデジタルIDの中の主要な属性の1つです。なぜなら、電話番号は持ち主が変わることがあり得ますが、特定のEメールアドレスに紐づくのは1人だけです。なおかつ、同じアドレスを非常に長く使っている人が多いのです。Eメールアドレスをキーに、その人の長期間にわたる記録がネットワーク上に存在しているというわけです。たとえばそのEメールアドレスが10年前から存在していて、その間ずっと正規の取引に使われているとしたら、それだけでかなり信頼性が高いと思いませんか。なおかつそれが、これまでと同じIPアドレス、名前、住所と合わせて登録されたとすれば、本人である可能性がかなり高いと考えられます。でもIPアドレスが違ったら、もしかしたら旅行中なのかもしれない。住所も違うとしたら、不正の匂いが濃くなってきます。逆に初めて見るEメールアドレスからリクエストが来た場合にも、注意が必要です。LexisNexis Emailageでは、Eメールアドレスとその他の属性との相関関係、アドレスの利用歴、過去に不正があったEメールアドレスやドメイン情報との照合などを行ってリスク判定を行います。
不正の手口が巧妙化する中、1つのソリューションですべてのリスクに対応するのは難しくなっています。新しい不正を見つけるには、新しいテクノロジを多層的に組み合わせて提供していく必要があります。弊社の不正対策ソリューションは「Forester Wave」において、「Leader」のポジションにランクされています。デジタルIDのネットワークをベースに、「ThreatMetrix」をはじめ、今回ご紹介しきれなかったソリューションも含めて、さまざまなテクノロジを組み合わせて提供しております。
また Small and Medium Sized Business向けのThreatMetrix SMBの提供も開始いたしました。不正対策は、より多くの企業にご参加いただき、より多くの情報を共有することで、より大きな効果を上げることができると考えています。われわれのネットワークへのご参加を、ぜひご検討ください。
※本記事は2024年3月5日に開催された「ペイメント・セキュリティフォーラム2024」の採録記事となります。
■お問い合わせ先
LexisNexis® Risk Solutions
〒 104-0028
東京都中央区八重洲2-2-1 東京ミッドタウン八重洲 八重洲セントラルタワー11階
ウェブサイトよりお気軽にお問い合わせください。
URL:https://risk.lexisnexis.co.jp/corporations-and-non-profits/fraud-and-identity-management
ソリューション:https://risk.lexisnexis.co.jp/products/threatmetrix