2024年4月4日9:00
メルカリは、一時は不正犯の標的となり、年間30億円を超える不正利用被害を発生させていた。しかし不正対策を講じることにより、被害額は激減。現在は健全な経営環境を取り戻している。その対策とは――? 同社の不正対策部門責任者、田中啓介氏が、過去に起きた不正の実態や対策の実際について紹介する。(2024年3月5日開催「ペイメント・セキュリティフォーラム2024」より)
株式会社メルカリ 不正対策部門責任者(Director) 田中 啓介氏
2022年前半にアタックが急増
被害額は32億円まで膨らんだ
メルカリでは「あらゆる価値を循環させ、あらゆる人の可能性を広げる」をミッションに、メルカリとメルペイのサービスを提供しています。メルカリにはCtoCとBtoCの2つの事業があり、CtoCの2023年の年間総取引額が1兆361億円。2023年12月の月間アクティブユーザー数は2354万人です。メルペイではキャッシュレス決済、クレジットカード決済、コード決済、月々の購入代金を翌月まとめて支払えるあと払いを提供しており、2023年12月の利用者数は1683万人、うち本人確認済み利用者が1515万人となっています。
事業内容は、加盟店事業には、先ほども申し上げましたがCtoCのメルカリとBtoCのメルカリshopsがあります。イシュイング事業では、コード決済、iD決済、バーチャルカード、メルカード(JCBブランド)、に加え、送金を行っています。メルカリの特徴は、1つのメルカリアプリの中で、メルカリおよびメルペイを使えるワンストップサービスを提供していることです。お客様が使いやすいことはもちろんですが、犯人にとっても1つのアカウントがあればメルカリでの取引、メルカリShopsでの取引、およびイシュイングとしてもさまざまな決済を利用でき、多種多様な不正ができるということが特徴になっています。
メルカリグループは、メルカリにおけるモノの循環に、メルペイにおけるお金や信用の循環が加わることで、モノ、お金、信用が循環し、より自由度と柔軟性の高い循環型金融を拡大し、メルカリならではの価値ある体験を届けることを目指しています。
メルカリグループでは2022年に、大変大きな不正利用被害が発生しました。フィッシング被害は2022年1-3月期で6億円、同4-6月期で3億円。クレジットカード不正利用被害は2022年1-3月期で10億円、同4-6月期で13億円になりました。ただし対策を講じたことで、2022年7月以降は不正利用が大きく減少しています。
メルカリで行われてきたクレジットカード不正利用の典型例をいくつかご紹介します。犯人はまず、情報漏えいや売買、フィッシングなどによってクレジットカード番号や個人情報を入手します。これを使って不正を行うわけですが、これには大きく3つのパターンがあります。1つ目はバイヤー、つまり購入者が不正者である場合です。不正者が、不正なクレジットカードを使って出品されている品物を購入し、購入後に換金するという手口です。2つ目は無在庫販売と言われるもので、セラーが不正者であるケースです。不正者は実際には在庫のない品物を出品します。購入を希望するバイヤーが現れ、クレジットカード番号などを入力すると不正者はその情報をゲット。それを使ってほかのECサイトから、注文された品物を購入し、バイヤーに届けるというものです。3つ目は結託型の不正と言われるもので、この場合はセラー、バイヤーの両方が不正者です。セラーが架空の品物を出品し、バイヤーがそれを不正なクレジットカードを使って購入します。たとえばバイヤーが1万円の商品を出品すれば、セラーには10%の手数料を引いた9000円が入金されます。これを騙し取って現金化するという手口です。中には結託型不正を1対1ではなく、10対10、またはそれ以上で行って、騙し取った金を1つの口座に集約して、まとめて外部に持ち出すといったケースもあります。
3-Dセキュア導入により不正が激減
離脱率は2-3%の範囲にとどまる
日本クレジットカード協会の調査結果によると、クレジットカードの不正利用被害は2020年頃から急増する傾向にあります。直近ではECにおける非対面での不正が増え、2022年には436億円、2023年は1-9月までで401億円、通年では500億円を超えると推定されています。これは過去のオレオレ詐欺などの特殊犯罪の被害額に相当する規模です。
クレジットカードの不正利用対策として、当社ではEMV 3-Dセキュアを導入いたしました。3-Dセキュアに関しては、カード番号に加えて本人が設定したパスワードの入力を必須とし、なりすましを防ぐ仕組みとしています。最新のEMV 3-Dセキュアでは、カード会社がデバイス情報をもとに、リスクに応じてパスワード認証の有無を判定します。経産省では2025年3月末を目途に、EMV 3-Dセキュアの導入義務化を予定しています。
弊社では2021年10月以降、クレジットカードの不正利用によるチャージバックが増える傾向があったのですが、3-Dセキュア導入の検討は、その1年ぐらい前から始めていました。なぜならクレジットカードの不正利用の低減は、加盟店の努力だけで達成できるものではないからです。チャージバックの受領割合は、一例では、不正が翌月に判明するものはわずか4%、翌々月までで37%、3カ月後までで70%。8割解明するまでには4カ月以上かかっているのが実情です。つまりは不正対策をとったところで、効果が上がっているかどうかがわかるまでに4カ月以上かかるということですから、適切にPDCAを回すことは非常に難しいのです。
たとえば1億円の不正被害を売上でカバーしようとすると、当社は売上に対して10%の手数料をいただいておりますので、10億円の売上が必要だということになります。仮に5%、あるいは1%程度の粗利ならば、もっと大きな売上を上げて補填しなければならないことになります。
3-Dセキュアを導入することによって加盟店はチャージバックを免責されます。この点だけをとっても、3-DセキュアのROIは非常に高いと言えると思います。アクワイアラ、決済代行事業者からの導入提案もあって、弊社では3-Dセキュアを導入するに至りました。
2022年2月からACQ、決済代行事業者の協力のもとで3-Dセキュアの導入を開始し、順次拡大しております。iOS、Android、Webという順番で導入し、その後BtoCのshopsにも拡大いたしました。その効果として、2023年2月時点で、2021年12月対比でクレジットカード不正利用被害額を約100分の1まで抑えることができています。
導入前後の3-Dセキュア起因の決済離脱は、別決済で購入していただいたものを加味すれば2-3%前後で、非常に低く抑えられていると思っております。ほかに3-Dセキュアの導入効果として、チャージバックのリスクがなくなったことはもちろん、不正者が嫌がってメルカリから遠ざかっていることが挙げられます。
不正被害を経路別に分類して件数の推移を見ていくと、3-Dセキュア導入直後からiOSとAndroidからの不正件数が激減し、その後、その時点では3-Dセキュアを導入していなかったWebからの不正件数がいったん膨らみました。3-Dセキュアを嫌がって、不正者がそちらに移動したことが見てとれます。Webにも3-Dセキュアを導入したあとはWebからの不正もほぼなくなり、犯罪者集団はメルカリから退散していったと見られます。
2023年2月以前、メルカリでは一定金額以上の取引にしか発火していませんでしたが、それ以降は、一定金額未満でも、メルカリの購入実績が浅いお客様には発火をするようにしました。また、アカウントの属性を分析して、不正リスクの高いもののみ、機械学習を活用して発火させるようにしています。
3-Dセキュアを導入して良かった点としては、不正被害が激減したこと、不正対策のチューニングの頻度が下がったこと、離脱率が想定より少なかったことが挙げられます。3-Dセキュアによりパスワード入力を求めた時点で5%が離脱しますが、その半分程度のお客様が別手段で決済を完了してくださっています。
課題として挙げられるのは、当初は低リスク判定が60-70%になると想定していましたが、実際には40%にとどまり、60%がチャレンジフローを要する中リスクとなっていることです。ほかの課題としては、3-Dセキュア認証後のオーソリエラーが7%前後発生していること、チャージバックが来なくなるため不正情報をアクワイアラからもらう必要があることなどがあります。
振り返ってみて、当初は加盟店として3-Dセキュアを導入すると離脱が多く発生するという先入観を持っていましたが、3-Dセキュアによる離脱後の再決済率は、クレジットカードエラーになった場合の再決済率よりも高いことがわかりました。3-Dセキュアで離脱が発生しても、再決済していただけるようなUX/UIをつくれば、離脱をもっとリカバリーすることができると思います。弊社ではその方向でスマホ画面の変更を行う予定で、開発をほぼ終えております。変更したのは、決済が完了できなかった場合、そのことをお知らせするメッセージを表示して「OK」ボタンのタップを促して終わりにしてしまうのではなく、「支払い方法を変更する」という選択肢を追加して再決済率のフローに進めるようにしたことです。
補足になりますが、弊社では、1決済当たりの収益率やチャレンジ認証率の違いによって、3-DセキュアのROIがどう変わるかを試算しています。ちなみに当社で不正被害が急増していたときには、売上対比0.5%ぐらいのチャージバックの規模になり、ROIは500-1000%ぐらいになっていました。
