2025年4月1日8:00
特許取得の技術を保有し
数千以上のデータポイントを用いてユーザーを特定
ここからはAIを活用したForterのソリューションについてご説明させていただきます。
われわれは、Forter Trustプラットフォームを提供しています。今日のメインテーマである不正ログイン対策については、アカウント保護というソリューションで対応します。アカウント保護では、アカウント乗っ取り、BOT対策、顧客体験、複数アカウント作成、ロイヤリティプログラムの5つの機能を提供していますが、最初の3つが不正ログイン対策に特化した機能です。アカウント乗っ取りでは、ログイン時に不正者にアカウントが乗っ取られていないかをリアルタイムで検知します。BOT対策では、さまざまなBOT攻撃を、サイトに到達する前にブロックすることが可能です。顧客体験では、フリクションを最小限に抑えるため、不要な二段階認証の手間を省きます。
Forterは、アイデンティティベースと呼ばれる判定手法に基づいて、取引ごとに加盟店に判定をお返しします。アイデンティティベースでは、取引ごとに、その取引を操っている人間を特定します。振る舞い情報、デバイス情報、接続情報などさまざまな情報を利用して、ログイン中の人間が正規のアカウント所有者か、過去に不正をはたらいた人間と同一人物ではないかを判定しています。ユーザーが普段と異なるデバイスを使用しているような場合でも、その他のデータポイントを使うことで、同一人物と判定することが可能です。
判定タイミングは基本的にはログイン時としていますが、加盟店の要望によってアカウント情報の更新時、あるいはログイン時と更新時の両方にすることも可能です。判定結果のパターンについては、「承認」「二段階認証が必要」「拒否」の3段階としていますが、「承認」と「拒否」の2パターンに絞るといったことも可能です。
氏名、メールアドレス、IPアドレスなど、表側に現れる情報は “お化粧しやすい”情報です。“お化粧”した部分だけを見比べるとまったくの別人に見える場合でも、実は同一人物だということがあります。われわれは、“お化粧しにくい”情報、たとえば振る舞い情報などを含む数千以上のデータを使って、同一人物かどうかを判断しています。
判定に使っているのは、たとえばクリックのスピードや、サイトの滞在時間などさまざまですが、それらの情報を掛け合わせることによって、精度高く個人を特定することができます。Forterはアイデンティティの特定技術において特許を取得しておりまして、これがわれわれの精度の高い判定の心臓部となっております。
AI活用を推進しながら
透明性を保った運用を推進
Forterの実際の使い方について、デモ画面をご覧いただきながらご説明いたします。管理画面では、1行に1決済の情報が時系列で示されて、属性情報、デバイス情報などとともに判定結果とその理由が示されます。不正と判定したアカウントの過去の取引実績を一覧で見ることなども可能です。
われわれが今回アカウント乗っ取りと判定したアカウントの過去のログイン履歴を見ますと、同じメールアドレスを使っていながら、さまざまなデバイス、いくつかのIPアドレスを使っているのですが、前回までは本人が使っているということがしっかり特定されています。いつも使っているスマホではなく、自宅でタブレットを使っているというような場合でも、ほかの情報を使って、本人であることを特定することが可能です。
Forterではこのような取引ごとのデータを、導入加盟店ごとに見ていただける画面を提供しておりますので、AIの機械学習で常々言われているブラックボックス化を避けて、透明性を保った状態で運用をしております。
先ほどの、われわれがアカウント乗っ取りと判定した取引の詳細を示したのがこの画面です。一番上に「否認」という判定結果があり、理由は「アカウント乗っ取りの疑い」。実在するメールアドレスを使って今回ログインを仕掛けておりますので、メールアドレス自体の信用性はあると判断されています。その下の部分、デバイスの情報などを詳しく見ていきますと、いつも使っているアイデンティティとは違うということがわかるのです。たとえばIPアドレスは今回、富山市のIPアドレスを使っています。もっと細かく見ていくと、フィリピンの時間設定になっていたり、海外の方が使っているデバイスの設定になっています。複合的に見て、この方の振る舞いは怪しいと判断いたしました。最下段には、ID、パスワードをどうやって入力したのかという情報があります。今回この方は、コピー&ペーストで入力を行っています。これまではデバイスに記憶させていたものを使うか、手入力していましたので、この点もいつもと振る舞いが違うと判断する理由になりました。
グローバルで導入効果を実証
多種多様な事業者での活用が進む
Forter の2024年の稼働実績のデータをお示しします。アカウント作成/ログイン時のBOT攻撃ブロック率は99%で、大規模なクレジットマスター攻撃にも対応することが可能になっています。ログイン時のフリクション軽減率が98%、ログイン時のアカウント乗っ取り(ATO)削減率が90%。そして、ある加盟店において、3億円以上の運用コストを削減できたことが報告されています。
Forterを不正ログイン対策のために導入されている加盟店での実績をいくつかご紹介します。北米でコンビニを展開しているA社では、ログイン時でのアカウント乗っ取りの防止、会員登録時での不正のブロックを実現しています。グローバルで事業を展開している化粧品B社、C社においては、チャージバックの削減、複数アカウントの制限などの効果を上げています。多要素認証を100%実施していて顧客の離脱が課題であったアパレルD社では、Forter導入により多要素認証を2%にまで引き下げることに成功しました。このほかにもさまざまな業種業態に多くの導入実績がございます。
Forterは、クレジットカード・セキュリティガイドライン5.0版が示す決済場面の「線の考え方」の中で、EMV 3-Dセキュアと認証アシストといった認証機能以外は、すべての領域のサポートが可能です。また、Forter Trustプラットフォームは、今日ご説明した「アカウント保護」以外にも、不正取引の防止、承認率の最適化、チャージバックリカバリー、乱用/悪用保護といった、加盟店の課題に応えるさまざまな機能を提供しています。判定のタイミングは、カスタマージャーニーのどのポイントでも可能です。
今日の私のお話で、少しでもForterについての理解を深めていただけましたら幸いです。ご清聴ありがとうございました。
※本記事は2025年2月27日に開催された「ペイメント・セキュリティフォーラム2025」の採録記事となります。
■問い合わせ先
Forter Japan
https://www.forter.com/ja/contact-us/
