2025年4月3日8:30
かっこの不正検知サービス「O-PLUX」
“線の考え方”に沿った解決策を提供
ここからは、かっこが提供している不正検知サービス「O-PLUX」を、事例を交えながら紹介させていただきます。「O-PLUX」はEC事業者に、決済前、決済時、決済後を通して網羅的に不正対策のソリューションをご提供いたします。クレジットカード決済に関連した認証は実施できませんが、そのほかの、属性・行動分析であったり、不審な配送先の検知であったり、クレジットマスター/有効性確認や不正ログイン対策などをサポートしています。不正ログイン、アカウント乗っ取り、クレジットマスターなど、ECサイト運営にかかわるさまざまな被害への対策を講じていただくことが可能です。
「O-PLUX」の特徴は、大きく6つあります。1つは「線の考え方」に沿って、ログインから決済後までのさまざまな場面に対応しています。2つ目には、導入実績NO.1ということで、累計11万以上のサイトの決済時のネガティブデータを保有しています。
3つ目は、高い審査精度の実現です。特許取得の独自技術にもとづくデバイスフィンガープリント等の情報収集や、ローカライズされた検知ロジックにより、3Dセキュアとの併用による重層的な対策を可能にしています。4つ目はデータサイエンスを駆使した運用。専任のコンサルタントと機械学習によるチューニングで、新たな不正手口にもスピーディに対応することができます。
5つ目は、簡易的に導入が可能なこと。多数のECシステム、カートシステムと標準連携しているほか、TAG埋め込みによる不正ログイン対策の実現が可能です。6つ目には、トライアル利用が可能なことです。トライアルプランによって、精度や運用イメージを導入前に確認していただくことができます。
二要素認証の実行を最小限に抑え
利便性とコンバージョン率を維持
「O-PLUX」による決済前の対策としては、「O-PLUX Account Protection」によって、不正ログイン、属性情報改ざん/詐取などのアカウント乗っ取り、同じ人がいくつものアカウントを作成する不正会員登録などを、端末同一性判定やIPアドレス分析、BOT判定、ネガティブリストとの照合によってリアルタイムに検知しています。特許を取得した高い技術力を誇っており、大手金融機関にも導入していただいております。
具体的な運用方法についてご説明します。まず、弊社が納入するJavaScriptタグをページに組み込んでいただくことで、データ収集が開始されます。ここに飛んできた情報に対して、「O-PLUX」が「OK」「NG」あるいは「REVIEW」という審査結果を返します。この結果を管理画面で確認していただいたり、「NG」や「REVIEW」についてはアラートのメールを受け取ったりといった、高精度かつ効果的なモニタリング体制を構築していただくことができます。
またもう一歩踏み込んで、後続処理とAPI連携することで、リアルタイムブロックにつなげることもできます。「OK」の場合はそのままログインさせ、「NG」であればログインを遮断する。「REVIEW」の場合には、ワンタイムパスワードであったり秘密の質問であったりと、複数要素認証を実行していただく。このリアルタイムブロック運用によって、不正アクセス対策の自動化が可能になります。
審査は具体的に、独自技術を使った端末同一性判定、キーパンチやマウスの動きを読み取ったBOT判定などによって行います。
アカウント乗っ取りについては、いくつかの対策があると思います。ログイン試行回数の制限や、IPアドレスによるアクセス制限をかけて対策を行っているところは多いと思いますが、IDとパスワードの正しい組み合わせを知っている不正者は試行を繰り返さなくてもログインすることができますし、IPアドレスを都度変更してアクセスする場合もあります。「O-PLUX」ではこれらの対策に加えて、端末独自の情報を収集するなどして、より精度の高い検知を実現することができます。
ぴあでは、「O-PLUX Account Protection」の導入によって、「REVIEW」時にのみ二要素認証を求めることで、お客様の利便性を損なわずに、なりすましログインをゼロにすることに成功しました。以前は2名体制で行っていた不正検知の作業も不要になりました。またオルビスでは、お客様の個人情報を守りつつ、認証の手間をかけないセキュリティ体制構築のために「O-PLUX Account Protection」を導入しました。コンバージョン率を維持したままで、リスト型攻撃の検知・防御を行うことが可能になっています。
外部データベースを含め多様な観点から審査
ネガティブ情報はユーザー間で共有
「O-PLUX」による決済時、決済後の対策としては、「O-PLUX Payment Protection」があります。EC事業者から審査リクエストをいただきますと、「O-PLUX」は1件ごとに「OK」もしくは「NG」、またその判定理由をセットでお返しいたします。
具体的な機能として、まず共有ネガティブでは、各社で日々発生する不正情報を蓄積して、それらの情報との照合を行います。住所が一致したのか、住所と電話番号が一致したのかといったことを見ながら、不正かどうかを判定します。名寄せ処理では、たとえば住所の漢数字とアラビア数字、ハイフンや記号などの表記のゆれを同じものと見なして判定をします。漢字とふりがなの整合性や、短期間に連続した注文があるかどうかといったことも見ています。
内部で持っている情報だけでなく、外部データベースも活用しています。これによって、たとえば四丁目までしかない町名に五丁目、六丁目という記載があった場合にはアラートを出します。ECサイトから商品を発送すると発送通知のメールが届きますが、偽の住所を登録した不正者はこのタイミングで配送業者に連絡し、届け先の住所を変更するのです。また、不正者は、空き室の住所で注文をし、配送時間にその部屋の前に受け子を立たせて商品を受け取るという手口を使うことがありますので、弊社では大手不動産業者と連携して空き室情報を把握しています。固定電話、携帯電話を問わず、使われていない電話番号も把握しています。行動分析というところでは、ECでの注文時に入力するさまざまな情報を掛け合わせて、行動パターンを分析し、不審な点がないかどうかを判断しています。
「O-PLUXPayment Protection」は多種多様なECサイトでご利用いただいています。ひとつ導入事例をご紹介しますと、カメラのキタムラでは3Dセキュアと目視で不正検知を行っていましたが、「O-PLUXPayment Protection」を導入し、3Dセキュアを補完するローカライズされた審査を実現しました。目視チェックの専任スタッフ2名分の工数も削減できました。
「O-PLUX」では、会社の垣根を越えて、ユーザー間でネガティブ情報を共有していただいております。また、日々集まる多くの決済データを、データサイエンスの技術で分析し、コンサルタントが新規導入や事業拡張のノウハウとして提供しています。
PSPやカード会社との連携も強化
「O-PLUX」活用範囲の拡大を図る
弊社では多くのパートナーとともに「O-PLUX」を提供しています。連携しているECカートシステムも多数ありますので、少ないコスト、短い期間で導入していただくことが可能です。
カード会社との取り組みについても紹介させていただきたいと思います。ECサイトの不正検知については2つの取り組みを行っています。ひとつはパートナー契約で、イシュアやPSPなどから、不正が顕在化している加盟店を紹介していただいて、弊社から不正対策のご提案をさせていただくというものです。
もうひとつは不正情報を共有するフロード連携です。3Dセキュアを実施している場合、不正利用が行われても加盟店に通知がいくことは少ないかと思います。そこで、弊社の加盟店で不正利用が発生したとき、弊社がイシュアから直接その情報を受け取ります。そしてその情報を、共有ネガティブに蓄積いたします。
ほかにも4つの取り組みを進めております。1つは、支払意思のない虚偽申込の対策強化。実際に未払いが発生する前に、クレジットカード払いの申込の審査フローの時点で「O-PLUX」を活用することを検討しています。2つ目はWebからの加盟店申込受付への「O-PLUX」の活用です。3つ目は途上与信の効率化。国際ブランドの規定で販売が認められていない商材を取り扱っていないかといった加盟店の途上審査を、データサイエンスの技術を使ってDX化することを検討しています。4つ目は個品割賦における審査の強化です。法定審査、事業者の独自審査に加えて「O-PLUX」を活用することによって、審査精度を向上させるというものです。
今日の話をお聞きになってご興味のある方は、ぜひお気軽にお問合せください。ご清聴ありがとうございました。
※本記事は2025年2月27日に開催された「ペイメント・セキュリティフォーラム2025」の採録記事となります。
■お問い合わせ先
かっこ株式会社(Cacco Inc.)
〒107-0051
東京都港区元赤坂1-5-31 新井ビル4F
TEL : 03-6447-4534( 代表 )
https://cacco.co.jp/
https://frauddetection.cacco.co.jp/
お問い合わせ https://frauddetection.cacco.co.jp/contact/
