急増するクレカ不正の問題と対策 EC不正阻止のプロ「Riskified」のエキスパートが解説
日本クレジット協会の発表によれば、2022年のクレジットカード不正利用被害額は前年の330.1億円から急増し、1997年の統計開始以降最悪となる436.7億円を記録。2023年もすでに第1四半期(1月~3月分)の被害額が2022年の同期(100.1億円)を上回る121.4億円と甚大だ。巧妙さを増す不正者たちの攻撃に対し、EC事業者に有効な対策手段はあるのか。Eコマースにおける不正取引防止およびリスクインテリジェンスを提供する「Riskified(リスキファイド)」の不正インテリジェンスリーダー、シニアデータアナリストであるNimrod Dvir氏のレポートと、同社への独自取材をもとに、詳しく解説していこう。
ECにおける「安全神話」はない…日本で増える高度な不正利用
日本における2022年のクレジットカード不正利用被害額の内訳は、番号盗用被害額が411.7億円(94.3%)、偽造カード被害額が1.7億円(0.4%)、その他が23.3億円(5.3%)となっている。以前は他国に比べ、不正率やチャージバック率が比較的低く、安全と見られていた日本のEC市場だが、こうしてみると、「狙われた国」になっていることがわかる。なぜ狙われるようになったのか。
確実なことは言えませんが、安全神話が信じられていたので全く対策をしていなかったり、例えば『20万円以上の決済はブロックする』などの『ルール』を定義し判定する、ルールベースの不正検知システムを導入していても、その『ルール』の穴を簡単に突かれてしまったりするケースが多い可能性があります」(Riskified担当者)
だからといって、ルールを不要に厳しくしては、売上低下を招く可能性もある。
「ルールベースのルールを不要に厳しくしたがゆえに、真正顧客をはじくことになり、売上低下や顧客体験悪化を招くケースは少なくありません。あるいは、ルールベースに頼り切れず、全注文の10~20%を1件1件目視でチェックする企業様もいらっしゃいますが、その場合、担当者の負荷が高くなるばかりです。それだけでなく、目視チェックが入ると一旦フルフィルメントを止めることにもなり、発送遅延につながる場合もあります」(Riskified担当者)
しかし、こうした対策をしていなければ、前述の通り、クレジットカードの不正利用、とりわけ高度な不正利用の急増には到底対応できない。
ではEC事業者はどう対策すればいいのか。RiskifiedのNimrod Dvir氏のレポートでは、今の日本市場では、ユーザーの購買行動に着目することが喫緊の課題だと指摘する。
なぜなら、高度な技術を持つ不正者にとって、正規ユーザーの特定のデータポイントの偽造はたやすく、ECサイトによってはこうした不正を阻止することは簡単ではない。このため、「EC事業者は特定のデータポイントにとらわれるのではなく、購買行動にフォーカスする必要があります。これにより、正規ユーザーをブロックすることなく、不正者の行動を阻止することができるようになるのです」(Nimrod Dvir氏のレポートより抜粋。以下、Nimrod Dvir氏)。
ユーザー行動にフォーカスし不正利用を積極的に検知・防止
ではどういった購買行動に着目すればいいのか。
例えばRiskifiedでは、特に日本の高級ファッション小売業者を狙った組織的な詐欺グループを検出した実績がある。
「同グループは人目を盗み、標的を変えながら攻撃を繰り返していました。厄介だったのは、不正防止ツールについて弱点を含め、深く理解していたこと。このため不正利用の特定が非常に難しかったのです。例を挙げると、同不正グループは電子メールの乗っ取りに始まり、一般的とはいえないドメインのメールを使って高価なハンドバッグを購入していたり、捕捉回避のために間隔を空けて数日間にわたり注文を繰り返したり、様々な手法でアカウントに不正アクセスをしていました。さらに念入りに被害者の実際の住所に近いIPアドレスを利用。不正利用に説得力のあるデータポイントを持たせることで、疑いをうまくかわし、攻撃を特定しづらくしていました」(Nimrod Dvir氏)
一方で、大規模な攻撃では一貫した行動パターンが示されることが少なくない。よって逆に個々のユーザーの購買行動の分析をすることで、様々な不正利用の攻撃をブロックすることができるようになるという。
「メールのドメインのように、攻撃者が簡単に変更できるデータポイントだけに着目するやり方は長期的には得策とはいえません。例えば、事業者は標的になっている特定の商品群から共通項を特定することにフォーカスしたり、商品の価格や物理的特性などの特徴を優先したりすることで、ビジネスの安全性を確保できるようになります」(Nimrod Dvir氏)
実際、Riskifiedではドメインや高価格帯の商品を含む取引パターンを理解することにフォーカス。不正利用を積極的に検知・防止しながら、正当な注文を処理し続けることができたという。
「詐欺グループを隔離・ブロックした後に、国内のほかの2つの高級ファッション業者でも同じ手口が行われていることを突き止めました。この種の不正利用に関しては3社合わせて14万ドル(約2000万円)分の不正注文を阻止することができました」(Nimrod Dvir氏)。
マネタイズしやすいギフトカードの不正増加! AI活用&アナリストたちが24時間監視・分析
現在、高級ファッション商品とともにギフトカードの不正が増えていると、レポートでは指摘しているが、これにはファッション商品とは違った「狙われる理由」があるという。
「ギフトカードやデジタルギフトは物理的な商品と異なり、発送先の情報がなく、『発送』というプロセスも存在しません。また、Eメールで受領してすぐに利用できるため、犯罪者にとって非常にマネタイズしやすい魅力的な商材であるといえます。よって不正判定においては、ギフトカードの送信先=受領者のEメールアドレスという、物理的商品の注文には付随しないデータ項目をいかに不正判定に活用するかが要になります」(Riskified担当者)
ポイントはギフトカードを狙った不正利用の多くが、非常に短期間に集中して行われていること。実際にRiskifiedでは、日本における「Fraud Ring(集中的な不正利用攻撃)」の増加が、複数事業者で起きていることを確認しているという。
「一例として、家電販売業者とギフトカード販売業者という異なる業種に跨がって発生した事例では、攻撃速度が非常に速かったのです。攻撃者には次のような特徴がありました」(Riskified担当者)
・注文者(=攻撃者)は新規顧客(ほぼ全ての注文に作成したばかりのEメールアドレスを使用)
・一方で請求情報(氏名+住所)はそこまで頻繁に変更されていない
・クレジットカード情報を頻繁に変更
・一般的にリスクが低いとされる商業用IPを使用
・1つ1つの注文で複数の商品を購入しており、高額注文になっている
・いくつかの注文には薇薇孫、薇薇李、瑞波王、愛民孫など中国語の氏名を使用
実は以前はこのような購買行動も、今回対象となった家電事業者やギフトカード事業者などの事業者群においては問題視されていなかった。しかし今回の攻撃は非常に増殖速度が高く、実際に不正利用の試みも即座に広 がりを見せたという。
一方、グラフでは特定の商品セグメントにおいて日に日に変化が起きたこと、そしてRiskifiedが多くの不正利用を判別して拒否したことで犯罪者集団が次の事業者を諦めたことがわかる。
「Riskifiedはヴェロシティなどの異常を検知するツールを独自に開発しています。それだけでなく、検知された異常を365日24時間監視・分析する100人以上のリスクアナリスト、そして必要に応じてAIモデルの最適化を行う200人以上のデータサイエンティスト+研究者がいます。つまり、AI/機械学習を活用した不正検知ソリューションを提供していますが、その裏では業界最大のR&D(研究開発)投資を行い、『教師あり』で機械学習の精度を高めています」(Nimrod Dvir氏)。よって、新たな不正トレンドに対しても、すばやく有効な手立てが取れるわけだ。
不正対策運用の自動化が顧客満足度の向上につながる
クレジット取引セキュリティ対策協議会が2023年3月に取りまとめた「クレジットカード・セキュリティガイドライン【4.0版】」では、不正利用対策として、原則、全てのEC加盟店に2025年3月末までにEMV3-Dセキュアの導入を求めるとしている。
しかしRiskifiedが2023年7月に行った調査によれば、ネットショッピングをする際に、何らかのものに面倒だと感じたことがある消費者は78.8%にのぼる。特に、50代から20代へ年代が低くなるほど、「配送先情報の入力」「3Dセキュア」「SMSを使った本人認証」を面倒に感じる人が多く、56.7%の消費者が、ネットショッピングの際に面倒だと感じたことが原因で買い物をやめたことがあると回答しているのが現状だ。
また「今後、ECサイトに期待することはなんですか」という質問に対しては「安心安全に買い物をしたい」が最も多く63.4%となっているが、一方で「ステップを少なく、スピーディーに買い物をしたい」が28.4%と続いている(※1)。
「安全だけど手続きはすばやく簡潔にしたい」のが消費者心理ということだろう。よって今後は、不正利用対策による十分な安全性を確保しながらも、顧客を離さないスムーズな決済認証を、より高いレベルで両立することがEC事業者にも求められるようになる。
「Riskified導入のメリットとして確実に言えることは『不正対策運用の自動化』だと考えます。承認・拒否の二択なので目視チェック等、業務負荷をなくしながら、グレー判定や『チャレンジ』がない、確実性の高い不正判定が可能です。こうした技術により、フルフィルメントを遅延させずに済みますし、これらは顧客満足度の向上につながると考えています」(Riskified担当者)
しかも、Riskifiedを導入すれば、その機械学習能力とR&Dチームによる新たな不正利用の傾向への速やかな対応が提供されるので、事業者側でルールのチューニングは不要である点も大きなメリットだ。
「もう一つ、Riskified導入後の事業者様において、平均7.8%の承認率向上を実現しています。つまりこれは、単に売り上げの上昇だけでなく、誤って不当に拒否されていた真正顧客のCX向上を意味します。とあるチケット販売業者様においては、Riskified導入により承認率を大幅に改善&目視チェック解消により顧客体験をフリクションレスに。特定の商品セグメントにおいてNPS(ネットプロモータースコア)が8ポイント向上しています」(Riskified担当者)。
不正対策はもはや単に不正を検知すればいいわけではない。売上の向上、さらには顧客体験の向上につながる、不正対策ソリューションとして、Riskifiedが提供するサービスは、事業拡大に大きく寄与してくれそうだ。
※1:調査概要(調査結果、グラフはRiskified調べ)
■調査時点:2023年7月
■調査対象:2週間に1回以上の頻度でネットショッピングをする消費者(男女20~59歳)
■有効回答数:647件
■調査方法:ネット方式によるアンケート調査
※グラフ、画像提供:Riskified