2025年4月3日9:00
合同会社DMM.com(以下、DMM)は動画配信、電子書籍、オンラインゲーム、通販、英会話など多様なサービスを展開しています。サービスごとに不正傾向が異なるため、それぞれの特性に合わせた不正対策を検討・実施しています。昨年度はDMM通販の販売ラインナップ拡充にともない、不正注文件数の増加が予想されたため、特に通販サービスの不正対策の強化が求められました。今回は、通販サービスで実施した対応の内容と、その結果として得られた成果についてご紹介します。(2025年2月27日開催「ペイメント・セキュリティフォーラム2025」の講演より)
合同会社DMM.com プラットフォーム開発本部 第3開発部 不正対策グループ 中谷 公紀氏
ECサイトで起きるさまざまな不正を
不正対策チームが監視・阻止
はじめにDMMについて簡単にご紹介いたします。DMMは「なんでもやってるDMM」を企業の生存戦略として掲げ、60以上の事業を20以上のグループ会社で運営しております。
DMMのECサイトで利用できる決済方法は、クレジットカードのほか、ケータイ支払い、コンビニ入金、銀行振込、電子マネーなど多様です。さまざまなユーザーのニーズに合わせて、幅広い決済方法を採り入れるという方針で、順次ラインナップを広げています。
DMMの不正対策チームが掲げているミッションは、DMMを利用している善良なお客様とサービスを不正による被害から守ることです。不正被害を減らすこと、不正の被害にあったユーザーがさらなる被害を受けないようにサポートすること、そして最終的には、不正を行う者が近づかないサイトづくりを目指して活動しています。
不正対策チームはさまざまな領域で対策を講じておりますが、その中でもメインとなる領域は3つあります。1つ目はアカウント登録時やログイン時で、漏洩したIDやパスワードを用いたリスト型攻撃や、大量アカウント作成によるキャンペーンやクーポンの不正取得といったケースが該当します。
2つ目はクレジットカード登録時で、漏洩したクレジットカード情報が使えるものかどうかを、DMMのクレジットカード登録画面を使って大量に検証するといった不正が発生しています。
3つ目が決済時で、他人のアカウントを乗っ取って登録済みの決済手段で勝手に買い物をするなりすましの不正や、不正ユーザーのアカウントを新規に作成して不正入手したクレジットカードを登録して勝手に買い物をするという不正利用が発生しています。今日はこの3つ目の決済について、その中でも特に通販サービスの不正注文対策にフォーカスしてご紹介させていただきたいと思います。
高リスク商材の取扱い拡充に向けて
不正対策を強化
DMM通販サイトは1998年にオープンし、現在、DVD・ブルーレイ、CD、本・コミック、ホビー、家電、日用品などを取り扱っており、取扱数は年々増加しています。コレクター商品など希少性の高い商品も扱っていますので、悪質な転売目的の不正ユーザーも現れています。販売方法として、仕入れ販売に加えて法人や個人が出品できるサービスやオークションも展開しています。
不正対策チームでは、24時間365日の監視体制をとっています。不正を監視するメインのチームとして、不正監視チームというものが存在しているのですが、それだけではなくて、カスタマーサポートチームやDMM通販のサービスチームなどと連携して、監視体制を構築しています。
実際にどのようにして不正を検知しているかといいますと、ユーザーの注文時に自社システムで不正判定を行い、ここで怪しい取引を検知した場合は関係各所に通知し、たとえばサービスチームと連携して発送停止などの対応をとります。自社システムの不正判定にはルールベースを採用しています。横行する不正のパターンや、狙われている商材の情報を、迅速に判定ルールに反映させて、リアルタイムに“今”の不正傾向に追従できるような体制をとって対策を実施しています。
このような対策を行ってはいるのですが、当初DMM通販にはいくつか課題がありました。1つは3-Dセキュアに非対応だということ。2つ目は不正注文の手法が巧妙化して、不正判定の難易度が高くなってきたということ。そもそも検知できなくなってきたり、検知はしたけれども不正と断定するには情報が足りなくて注文を通してしまい、結果的に不正被害になったりといったことがしばしば発生するようになりました。3つ目として、住所判定が一部商品にしか適用できず、かつ、発送直前にしか判定できないという、システム構成上の問題がありました。このような中で、高額家電などの高リスク商材の取扱い拡充が決定したため、通販の不正対策強化を実施することになりました。
あらかじめ懸念事項に対する準備をし
段階的に3-Dセキュアを導入
課題解決の具体策として、3-Dセキュア非対応という課題に対しては、3-Dセキュアの段階的な導入を進めました。不正判断の難易度の高まりと、住所判定が一部商品、発送直前にしか機能しないという課題に対しては、かっこが提供する不正対策サービス「O-PLUX」を導入しました。
まず、3-Dセキュアの段階的な導入に関してですが、注文時に3-Dセキュアをはさむことによって、不正注文を行うこと自体のハードルを上げることと、チャージバックのリスクを軽減することを目的として行いました。一方、3-Dセキュアを導入することによって、カゴ落ちの増加による売上減少と、3-Dセキュアに関する問い合わせ増加によるカスタマーサポートの負荷の増大が懸念されました。
カゴ落ち増加による売上減少の懸念については、すべての注文に3-Dセキュアを要求するのではなく、リクスの高い注文にのみ実施することにしました。少しややこしいのですが、3‐Dセキュア側の出し分けではなく、DMM側でリスクが高いと判断した取引に対して3-Dセキュアを通すという対応をしています。ここでいう不正リスクが高い注文というのは、不正注文が多い商材であったり、高額な注文であったり、行動分析・属性分析の結果、不審と判定されたアカウントからの注文などです。
システムの実装としては、自社システムの不正判定の判定ルール内に、3-Dセキュアを要求する判定ルールを設定して、これに引っかかったものに3-Dセキュアを要求するというかたちにしました。これにより柔軟に条件を設定して出し分けができるようにしています。
3-Dセキュアに関する問い合わせの増加に関してですが、問い合わせ時の対応を事前に決めておくことで、負荷軽減を図りました。実際に対応するサービスチームやカスタマーサポートチームと相談しながらガイドを作成し、実際に問い合わせが発生したときにパニックにならず迅速に対応できるように準備しました。
また、3-Dセキュアをスキップする機能を開発しました。正規ユーザーでもルールに引っかかって3-Dセキュアが要求されることがあり、結果として認証されず、問い合わせがくることが想定されたので、問題のない取引だと判断できれば、3-Dセキュアを通さずに注文に進んでいただく対応ができるような機能を実装したのです。
DMMと「O-PLUX」の結果をすり合わせ
精度の高い判定フローを確立
続きまして、外部不正対策サービス「O-PLUX」の導入についてです。導入の目的は、自社と外部のシステムで複合的に精査することで不正判定の精度を上げることと、ほかのサイトで悪用された送付先情報を利用して不正検知ができるようにすることでした。「O-PLUX」を導入しているほかのサイトの不正情報も活用して審査してくださるという点に非常に期待して、導入を決めました。
