ガイドとレポート
オンライン決済における不正利用のリスク検知:課題と解決策
3回にわたってお届けする不正利用防止ブログシリーズのパート1では、決済環境の変化によって新たな不正利用の課題が生じていること、そしてそのリスクを検知し、ビジネスを守るためにできることについてご紹介します。
決済イノベーションの課題
フィンテックの世界はデジタル化が進んでいます。決済のキャッシュレス化は進み、より新しくスピーディな決済へと変化しています。企業にとっての主な課題は、不正利用に使用されるさまざまな、そして頻繁に変化する手法に対応し、それらを迅速に特定することです。
そのためには、効果的なリスク戦略を検討する前に、どのような種類の不正利用が存在し、それらがビジネスにどのような影響を与えるかを理解することが重要です。
CNP詐欺(Card-not-present、カード不介在詐欺)
CNP決済とは、顧客がオンラインまたは電話で決済を行うことです。そのため、カードが提示される不正利用とは異なり、検知や防止が困難です。
盗用カードの有効性確認
不正利用犯が、盗んだカード番号の有効性を調べるために、カードの有効性確認を行うことです。
不正利用犯はまず、ダークウェブやフィッシング・ソフトウェア、スパイウェア・ソフトウェアを通じてカード情報を購入したり盗んだりします。
カード情報を入手すると、無防備な加盟店のサイトで少額の買い物を試み、カードが承認されたかどうかを確認します。承認されなかったカードを除いて、さらに高額の買い物をしたり、承認された情報をダークウェブで転売したりします。
不正利用を防ぐためには、ひとつの対策では不十分であり、多層的な対策が必要です。幸いにも、ベストプラクティスと強力な不正利用管理ソフトウェアが不正利用による攻撃を防ぐのに役立ちます。ビジネスを守るために、下記の対策を講じましょう。
注意深く、異常を探す 1日の平均取引額が突然急増した場合は、必ず調査しましょう。クレジットカードの支払い拒否が増加している場合、不正利用が発生している可能性があります。 不正利用管理を効果的に実施するには、データは重要な情報です。本物の買い物客と不正利用犯を見分けるために、適切な情報を収集するようにしましょう(例えば、メールやIPアドレスの追跡など)。
本人確認における適切な管理 本人確認は、不正利用犯が決済エコシステムにアクセスする際に最も侵入しやすいエントリーポイントのひとつです。そこに有効な不正利用のゲートキーピングを設置することは、下流での不正利用低減コストを削減します。
三角詐欺
三角詐欺は、不正利用犯がEコマースの購入プロセスに介入することで発生します。通常、不正利用犯は事業者のふりをして活動し、買い物客からの注文を受け付け、代金を受け取ります。そして、実際に商品を扱う正規の事業者にて、買い物客とは別人から盗んだカード情報を利用して該当商品を購入し、買い物客に発送します。買い物客から見れば、代金を支払った上で商品が届くため、疑わしい点はありません。不正利用犯にとっては、買い物客から直接受け取った代金が儲けとなります。
一方、盗まれたカードの持ち主は、身に覚えのない請求に対してチャージバックを行います。正規の事業者はこれに応じることになるため、金銭的な最終被害者は正規の事業者ということになります。
三角詐欺の不正利用は混乱を招くように設計されています。探そうとしなければ、不正利用の原因を突き止めるのは非常に困難になります。
バスケット分析のデータを活用する 三角詐欺の疑いがある場合は、分析結果を見直し、不正利用犯が繰り返し購入している商品を突き止めます。同一商品(または複数の同一商品)を購入する特殊な作戦を実行している場合があります。 三角詐欺では、再販価値の高い限定品を狙うことが多々あります。不正利用に対する戦略では、この点も考慮するようにしましょう。こうした商品については、不正利用対策のルールを洗練させ、より高いしきい値を設けることが有効でしょう。
本人による不正利用
近年、デジタルEコマースの普及に伴い、正規のオンライン購入後にディスピュート(異議申し立て)を行う本人による不正利用が増加しています。
典型的な例に、カード情報が子どものゲームシステムに保存されて無断利用された、と親が主張するパターンがあります。
VISAは2023年4月より、加盟店が本人による不正利用に対抗しやすくなるよう、新たに説得力のある証拠に関する規則を設けました。これは、加盟店が特定の顧客によるディスピュート(異議申し立て)を無効にするために提示できる、説得力のある証拠のリストを拡充するものです。その結果、加盟店が本人による不正利用を防ぐ確率が上がります。
取引履歴の記録 取引履歴を詳細に記録し、顧客とのやり取りのコピーを保存しておくことで、本人による不正利用によるチャージバックに対抗するための説得力のある証拠を提出することができます。国際ブランドが提供する、ディスピュートの理由コードには、通常、必要な証拠が記載されています。 本人による不正利用に関与する顧客を特定する 本人による不正利用を行う顧客を特定し、再犯を防ぐことも重要です。不正利用犯は、この方法で加盟店から支払いを逃れることができるとわかると、加盟店からブロックされるまで何度も不正利用を繰り返します。
リスクと収益の適切なバランスを取るための適切なアプローチ
サイバー犯罪者によるオンライン決済における不正利用の手口は無数にあるため、「万能」なアプローチはありません。また、不正利用撲滅を優先し、本物の顧客がブロックされてしまう非寛容なアプローチや、売上を優先し、売上高が高いほど不正利用の発生率も高くなるというアプローチも適切ではありません。
こうしたアプローチは持続可能ではなく、収益の損失、チャージバック率の上昇、取引コストの増加、顧客離れ、ブランドの信用低下などにつながる可能性があります。
そうではなく、不正利用に対抗するためのより良い方法は、不正取引リスクと収益の適切なバランスを取るための適切なアプローチです。つまり、正当な認証プロセスと不当な認証プロセスをより的確に見分けるために、組織全体で学び続けることが大切です。
適切なフィンテックへの投資 万全な不正利用対策チームを設置していない企業なら、決済活動の概要を明確に把握でき、盲点を発見するのに役立つ不正利用防止ツールに投資することが極めて重要です。
顧客をより深く知り、企業を守るためには、決済データを深く掘り下げ、リアルタイムで学習・適応することでリスク対策を最適化できるツールが必要です。
Merchant Risk Council(MRC) 決済と不正利用防止の専門家による世界的なコミュニティであるMRCに加盟、またはそのパートナーメンバーと協力することは、共に解決策を探るための情報源として活用できるコミュニティがあることを意味します。共有される情報を参考に適切な対策を講じることができるため、企業に利益をもたらします。
全会員がベンチマークレポート、ホワイトペーパー、プレゼンテーション、ウェビナーにアクセスできます。MRCはまた、より良いビジネス・コネクションを構築するために、毎年、対面の会議、地域ネットワーク会議、バーチャル・サミットも開催しています。
学習ウェビナー Adyenのリスク啓発ウェビナーは、あらゆる規模や業種の不正利用対策チームを対象としていますので、ぜひご覧ください。Adyenの専門家がアドバイスを提供するほか、ベストプラクティスや最新トレンドを共有し、ご質問に回答します。
おわりに
不正利用対策は、決してセキュリティだけを優先させるものであってはなりません。包括的に対処するためには、顧客体験も十分に考慮し、正当な決済を保護する必要があります。リスク評価と適切な検知ツールに関する知識を継続的に積み重ねることは、デジタル決済の課題に正面から取り組む企業にとって最良のスタートとなります。
私はAdyenのプライバシーポリシーを確認した上で、それに基づき私の個人情報が使用されることに同意します。