「3Dセキュア2.0」導入の実態は? カゴ落ち、不正利用が発生… 効果的な対策を施すには必要なこととは
クレジットカード不正利用被害が深刻化するなか、EC事業者に「EMV 3-Dセキュア(3Dセキュア2.0)」の導入が2025年3月までに原則義務化されるなど、不正利用対策は待ったなしの状況だ。一方で、「EMV 3-Dセキュア」を導入しても完全に不正利用を防ぎきれるわけではない。また、「EMV 3-Dセキュア」によってカゴ落ちが発生するという課題もある。
不正利用を最大限防ぎながら機会損失を最小化していく「正しい不正利用対策」とはどんな方法なのか。不正検知サービス「Sift」を提供するスクデットの関隆進取締役が解説する。
クレジットカード不正被害額は増加の一途
クレジットカード不正利用被害は深刻化している。日本クレジット協会の調査によると、2023年の不正利用被害は前年比24%増の540.9億円。被害は2021年頃から急速に拡大しており、被害額の年平均の増加率は28%と急増している状況だ。
被害内容としてはクレジットカードの番号盗用が大半を占めており、ECなどオンラインでクレジットカードの不正利用が広がっているということになる。
番号盗用被害が起こる背景にあるのは、主に「フィッシング」と「情報漏えい事故」の2つだ。「フィッシング」はユーザーがフィッシングサイトに誤ってクレジットカード情報やID・パスワードを入力することで、番号盗用被害が広がる。フィッシングサイトは新たに立ち上がっては消えることを繰り返しており、フィッシング対策協議会に報告されている件数だけでも2023年の年間実績で100万件を超えている。
「情報漏えい事故」は企業などがサイバー攻撃を受けて起こる。EC事業者はクレジットカード情報の非保持化を進めているが、ECサイトに不正なプログラムを仕込まれてしまい、クレジットカード情報が流出するというケースは少なくない。
加えて、アカウントの乗っ取りも増えている。ECサイトのユーザーのアカウントが不正ログインによりアカウントを乗っ取られ、登録されているクレジットカード情報を使われるというケースもある。
フィッシングサイトで詐取された情報や、サイバー攻撃により漏えいした情報は「ダークウェブ」に流れる恐れがある。関氏は次のように警鐘を鳴らす。
情報を詐取する者、ダークウェブで入手して使う者、そして不正ツールを作る者というように、不正行為は分業化が進んでいると言われている。カード情報をダークウェブから入手し、虚偽のアカウントを作ってカード情報を利用するケースもあれば、ダークウェブからIDやパスワードを入手してECサイトのアカウントを乗っ取り、登録済みのカードを使うケースもある。
生成AIも含めたテクノロジーの進化は不正利用にも使われ、また、不正ツールも簡単に手に入るようになり不正行為の裾野が広がっている。(関氏)
スクデット 取締役 関 隆進氏
こうした状況を受け、政府でも対策を進めている。クレジット取引セキュリティ対策協議会は3月に「クレジットカード・セキュリティガイドライン」を改訂。2025年3月末までに全EC加盟店でワンタイムパスワードなどの動的認証の仕組みが取り入れられた「EMV 3-Dセキュア(3Dセキュア2.0)」の導入を原則義務化した。不正被害が顕在化している加盟店については即時の導入着手を求めている。
「EMV 3-Dセキュア」を導入しても発生する不正利用
「EMV 3-Dセキュア」の導入を進めていく必要があるが、関氏はEC事業者のなかで誤解が生まれている面もあると指摘する。
「EMV 3-Dセキュア」については、法的拘束力のあるガイドラインに明記されており、一定の効果もあるのでEC事業者にはぜひ導入を進めていただきたい。一方で、「『EMV 3-Dセキュア』ではほとんどカゴ落ちが起こらない」「『EMV 3-Dセキュア』を導入すれば不正はなくなる」といった誤解もある。(関氏)
パスワード認証などで10%以上のカゴ落ちも
「EMV 3-Dセキュア」では「リスクベース認証」を採用しており、決済時に不正利用の可能性が高いと判断された場合、パスワードの入力などを求める「チャレンジフロー」が発生することがある。
このチャレンジフローはリスクに応じて発生する。以前は発生する割合は数%程度と言われていたが、関氏によると実際には数十%の割合で発生しているという。つまり、「EMV 3-Dセキュア」は安全な仕組みだが、利用者にとってはパスワードの入力などを求められることが想定以上に多いという現状があるのだ。
このため、パスワード忘れなどによりカゴ落ちしてしまうユーザーは一定数発生している。スクデットの顧客においても、「EMV 3-Dセキュア」の導入方式のうち、みなし認証ありの方式で「EMV 3-Dセキュア」を導入しているEC事業者では、12%程度のカゴ落ちが発生。完全認証方式で導入しているEC事業者では、23%程度のカゴ落ちが発生しているとのことだ。
「EMV 3-Dセキュア」導入済みでも月に200万円の被害も
「EMV 3-Dセキュア」の導入をもってしても残念ながら完全に不正をシャットアウトできるわけではない。その理由は「チャレンジフロー」で、セキュリティレベルの低い固定パスワードを求めるだけのケースが少なからずあるからだ。また、カード自体が「EMV 3-Dセキュア」非対応または未設定のため、みなし認証で通過してしまうケースもあるという。
「EMV 3-Dセキュア」ではチャレンジフロー時に生体認証やワンタイムパスワードなどを求めるため、認証が突破されにくいと言われていたが、実際はまだまだ固定パスワードの利用が少なからずある。固定パスワードはクレジットカード番号、有効期限、セキュリティコードと一緒にセットで詐取されているケースが多いため、不正者は認証を簡単に突破できてしまう。また、ワンタイムパスワードであっても、突破する手法も出てきており、動的認証にも穴はある。
転売されやすい商材を扱う売上規模数百億円のあるEC事業者では、「EMV 3-Dセキュア」を導入していたにもかかわらず月間平均200万円超の不正が起こっていた。「EMV 3-Dセキュア」も完全に不正をシャットアウトできるわけではない。(関氏)
オーソリ承認率の低下にも注意が必要
不正利用対策が正規ユーザーの利用阻害につながり、売上機会の損失やユーザー体験の悪化を招くという事態は、EC事業者としては避けたい。また、「EMV 3-Dセキュア」をすり抜けて発生してしまう不正についても対策が必要だ。チャージバックのような実質的な損害がなくとも、不正利用の削減は、企業の社会的責任やコンプライアンス、企業やブランドイメージ悪化の抑止などの観点で必要なのはもちろんのこと、正規ユーザーの利用阻害の抑止のためにも重要だ。
不正利用が多く起こっているECサイトでは、カード会社によるオーソリ(クレジットカード会社に利用者の与信情報を照会し、決済可能かどうかを確認する手続き)の承認率が下がってしまう。不正が多発しているECサイトでは基準が厳しくなる。不正利用被害が多発していたあるEC事業者では、オーソリの承認率が60%台だったという事例もある。不正対策をしているEC事業者であればオーソリの承認率は9割ほど。(関氏)
また、関氏は次のように強調した。
EC事業者の皆さまが広告やSNSで集客し、サイト内の機能強化で接客をスムーズにするなど、コストとリソースをかけたさまざまな施策でユーザーをコンバージョンまで誘導しても、コンバージョンの一歩手前の決済の段階で、ユーザーの離脱やユーザー体験の悪化が発生してしまうのは本当にもったいないこと。正しく不正利用対策を行うことで、こういった状況は確実に改善できる。不正利用対策は守りではなく、コンバージョン、売上をアップさせるための攻めの施策と言える。(関氏)
不正検知サービスの設定は決済前が効果的
こうした状況でEC事業者はどのような不正利用対策をすべきか。正しい不正利用対策とは何か。まず、関氏は「『EMV 3-Dセキュア』導入と外部の不正検知サービスを併用すべき。不正検知を仕込む位置は決済の前が効果的」だと話す。「クレジットカード・セキュリティガイドライン」で義務化された「EMV 3-Dセキュア」の導入は言わずもがなだが、防ぎきれない部分を外部の不正検知サービスを併用することでカバーするということだ。
不正検知サービスは、利用企業が多ければ多いほど蓄積されるデータ量が増え、ネットワーク効果が出やすい。不正のデータが蓄積されていたり、すでに学習された検知ロジックがあったりするため、自社で不正検知システムを開発するより優位ということだ。そして不正検知を仕込むタイミングは決済の前が効果的だという。
決済の前に不正検知を行い、ハイリスクな取引を決済前にブロックすることはオーソリ承認率に非常に効果的。また不正検知の精度の観点で、オーソリの結果を不正検知サービス側にフィードバックできると望ましい。システムの仕様上、決済前に入れ込めないケースもあるが、決済後に不正検知を仕込んでももちろん一定の不正削減効果はある。(関氏)
運用型×AIベースの不正検知サービスを
では、どのような不正検知サービスの導入が望ましいのか。関氏は「自社の状況やサービスの特性を理解したうえで選定することが必要」と前置きし、「運用型でAIベースの不正検知サービスが望ましいのではないか」と語る。
不正検知サービスの分類は、大きく2つの軸に分けられる。1つは処理の仕組みが「全自動型」か「運用型」か。もう1つは検知の仕組みが「AIによる機械学習モデルベース」か「ルールベース」かだ。「全自動型」の仕組みは基本的にOK/NG判定のみを出すもので、取引の目視チェックやモデル・ルールのチューニングが不要だ。ただ、不正検知サービスが100%正確な判定を出すのは現実的に難しいなかで、OKかNGかの2択で判定している点に注意する必要があるという。
「運用型」は人による判断がすぐにフィードバックでき、検知精度の維持向上に役立つ。また、自社で保有する不正に関する情報や知見を活かせるといった特長がある。
不正検知サービス、つまりシステムが、OKかNGか100%正確な判定を出すのは現実的に難しいということを前提に、ほんの少しの手間をかけて、システムでは白黒はっきりつかない部分を人による判断で補う。それにより不正検知の精度を維持・向上させていきましょうというのが「運用型」の考え方。不正を逃さないこと、正規利用を止めないことを重要だと考えるならば「運用型」がベストな選択。
とはいえ、目視でチェックしなければならないボリュームが多いと運用が大変になってしまうので、それが最小限になるような精度の高い不正検知サービスを選ぶことが重要。(関氏)
検知の仕組みがルールベースの場合、人的に組まれた不正検知ルールにそって検証を行う。AIベースの場合はユーザーがサイトを訪れてから購入を完了するまでの動きなど、大量のデータから不正のパターンを見つけ出す機械学習モデルを採用している。AIベースは機会学習を進めるために一定のデータ量が必要となることから、一定以上の規模があるEC事業者が適しているという。
AIベース×運用型の不正検知「Sift」導入の成功事例
スクデットが提供する「Sift」は運用型×AIベースの不正検知サービスだ。
「Sift」導入の成功事例として、不正利用削減とオーソリ承認率を大きく改善したケースがある。すでに「EMV 3-Dセキュア」を導入しながらも月間200万円の不正被害が発生し、オーソリ承認率が60%台となっていた企業では、「Sift」導入後に不正被害が大きく低減。オーソリ承認率は90%台まで回復した。
「EMV3-Dセキュア」の投げ分けでカゴ落ち対策
前述のカゴ落ち対策という観点でも、押さえておきたい不正検知サービス利用のポイントがある。不正検知サービスによるリスク判定に応じて、「EMV3-Dセキュア」への投げ分けを行うことで、カゴ落ちの削減につながるという点だ。
不正検知サービスでリスクを判定し、ハイリスクなものはその段階で注文をブロックし、ミドルリスクのものは「EMV 3-Dセキュア」を通し、ローリスクなものは「EMV 3-Dセキュア」を通さない。これにより「EMV3-Dセキュア」を通す注文を減らし、結果的にカゴ落ちも減らせるというわけだ。
ただし、この投げ分けをするための細かいルールが規定されているので、EC事業者は、PSPやアクワイアラに確認のうえ実施する必要がある。
「線の考え方」に基づいた不正対策を
不正利用対策のポイントとして、関氏が最後に伝えたのは「線の考え方」だ。「EMV3-Dセキュア」の導入義務化が規定された「クレジットカード・セキュリティガイドライン」では、「カード決済の場面(決済前・決済時・決済後)を考慮して、それぞれの場面ごとに対策を導入するという、点ではなく線として考える指針の策定が求められる」と明記されている。
「EMV3-Dセキュア」は決済時の対策になるが、それだけでは十分な対策とは言えない。点ではなく、線の考え方に基づき、不正検知サービスのような「EMV3-Dセキュア」以外の決済時の対策や、決済前、決済後の対策についても求められているのだ。EC事業者にとって、いくつもの対策を行うのはコストもリソースもかかってしまうが、効率的に行う方法があると関氏は言う。
不正の入口となる決済前の不正な会員登録やログインを防止する対策は、今後特に重要になってくる。そのような決済前、決済時、決済後の対策がワンプラットフォームで可能な不正検知サービスがある。弊社が提供する「Sift」もそのようなサービス。ワンプラットフォームで線の対策が可能なので、コスト面、リソース面で効率的に対策ができ、不正削減の効果も高くなる。(関氏)
最後に、関氏はこう締めくくった。
本日ご説明した正しい不正利用対策、不正検知サービス利用のポイントを踏まえて、EC事業者のみなさまには不正対策に取り組んでいただきたい。不正利用対策を正しく行うことができれば、不正利用が削減できることはもちろん、正規ユーザーの利用阻害も削減でき、売上のアップにもつなげることができる。(関氏)
