膨大なデータを元に不正検知。巧妙化する不正注文から自社を守る
EC事業者を狙う不正注文の手法は多様化・巧妙化している。不正注文はECの収益圧迫要因になっており、その対策は喫緊の課題だ。不正注文からECサイトを守るためにEC事業者が知っておくべきポイントと、収益改善を実現する不正注文対策ソリューションについて、オンライン取引のセキュリティー対策に精通したサイバーソースの田所 和明 部長が解説した。 写真◎Lab
セミナーのポイント
- オンライン不正取引は対岸の火事ではない
- 不正の手口は進化・多様化している
- 不正対策ツールには「データ参照量」「業務効率化」「柔軟性・拡張性」が必要
オンライン不正取引は対岸の火事ではない
サイバーソースはVisaのグループ会社で、カリフォルニア州に本社を置き、オンライン決済代行事業で世界40万社のユーザーを抱えている。日本ではオンライン決済代行以外に、不正取引を抑止するニーズに注目し、決済代行のオプションであった世界最大の不正検索エンジン「Decision Manager」を独立したサービスとして提供している。
田所氏はクレジットカードの不正利用に関する世界の状況を解説した。近年、偽造カード対策として「EMVチップ」を使用したICカードの採用が広がったことにより、対面販売におけるカードの不正利用は大幅に抑えられるようになってきている。日本と米国では2015年10月、カードの不正利用が発生した場合、従来はカード会社が負っていた責任を、EMV未対応の磁気端末を使用した加盟店サイドに移行する「EMVライアビリティ・シフト」が発効された。これにより日本でもEMV対応端末の導入が進むと期待されている。
ただ、EMV化は対面取引におけるカードの不正利用の抑止に効果がある反面、オンライン取引を中心とする非対面取引には効果が薄い。
2000年代前半にカード偽造による不正利用の被害が急増したが、英国ではEMV化を進めたことで対面取引の被害を大幅に減らしたものの、非対面取引での被害の比率は2002年から2012年までの10年間で2倍以上になり、偽造以外の不正も増大したことで2014年には非対面の不正が前年比60%増加という数字になっている (Visa TC40 Fraud Reportingより)。日本においても今後、オンライン取引におけるカードの不正利用の被害が急増する可能性がある。
不正の手口は進化・多様化している
カード不正の種類には、「アフィリエイト不正」「転送サービス」「身内カード利用」「トライアンギュレーション」「フィッシング」「アカウント乗っ取り」などがあり、毎年のように新しい手法が登場する。
最近登場した「ボットネット(Botnet)」は、最初にウイルス感染などの方法で第三者の端末の権限を乗っ取り、ECサイトで商品を購入する。攻撃者は商品を受け取り、転売して現金化するという方法だ。
「トライアンギュレーション」は、偽のECサイトで格安の商品を販売し、その商品を購入した消費者のカード情報を取得する。その消費者には攻撃者が別の不正カードで購入した高額の同じ商品を届ける。次の被害者の購入には、最初の被害者のカードを使う。後はその繰り返しだ。最初の被害者には後日、自分が買った価格より、はるかに高額な請求が寄せられる。
当然、被害者は支払いを拒否するため、ショップ側はカード会社に売り上げを返済することになる。ショップは支払いを拒否した被害者の前の被害者に返品要求をすることになるが、回収には手間をかけさせられるだろう。
これらの不正注文を見破ることはできないのだろうか。
サイバーソースがチャージバックになった注文について特定の傾向が見られなかったか調査したところ、「平均注文額より高い金額の注文だった」が42.9%、「短時間のうちに複数回購入があった」が21.4%あるが、「特段怪しい点はなかった」も35.7%あり、なかなか注文時に不正を見破るのは困難だ。しかも攻撃手法は年々様化しているため、不正注文を看破する難しさも増大している。
米国でEC事業者が行っている再審査コストの内訳は、52%が「スタッフによる手作業の再審査」、29%が「サードパーティーのソリューションを利用」、19%が「自社のツールやシステムを利用」となっている。自動化は思ったより進んでおらず、検知しきれていない現状があると思われる。
不正対策ツールには「データ参照量」「業務効率化」「柔軟性・拡張性」が必要
サイバーソースが提供している不正抑止ソリューション「Decision Manager」は、高い検知精度で不正パターンを可視化する。
「Decision Manager」は、全世界で利用されているVisaの年間600億のトランザクションとサイバーソースの顧客40万社で流れている取引情報から、260のリアルタイム検知項目に基づき、ピックアップした不正情報とVTA(加盟店リスクスコア)を組み合わせ検知のためのデータとして提供している(田所氏)
「Decision Manager」は膨大なデータを参照して不正注文を検知する。攻撃者が手持ちの住所、氏名、カード番号を組み合わせて注文に使用し、チェックを逃れようとしても見破ることが可能だ。
こうした膨大なデータをもとに不正検知を行えることはDecision Managerの大きなアドバンテージだ(田所氏)
一般的に不正注文を見抜く鍵となる情報には「購買行動」「住所情報」「端末情報」「独自のデータベース」などがある。
加盟店は過去にどんな形で狙われたかという情報などを元に、これらの検知項目からチェックリストを作り、そのチェックを自動化していく必要がある。自動でチェックした上で、本当に怪しいものは目視で確認していく。こうした業務効率化によって本業であるECに専念していかないと、不正対策を継続できない。
そして、常に変化する攻撃手法に応じた対策を立てる必要があるため、柔軟性や拡張性に優れたソリューションやツールが望ましい。先に挙げたボットネットのように、システムからのアタックの場合、滞在時間が短い注文をチェックするのも有効だ。
田所氏は東南アジアで旅行やマーケットプレイス、ECサイトを運営するあるサイトの事例を挙げた。同サイトはDecision Manager導入2か月で地域の不正情報に関するノウハウを獲得し、単なる疑わしさだけでなくハイリスクな不正注文も把握できるようになった。これにより、危険な不正取引をスクリーニングするアプローチで、チャージバックを全収益の1%以下に減少させ、年間収益の2%〜3%にあたるコスト削減効果を上げることができた。
今後、日本国内でも爆発的な増加が懸念されるオンラインの不正取引に対して、対策ソリューションやツールを選択するのであれば、「データ参照量」「業務効率化」「柔軟性・拡張性」の3つのポイントをクリアできるものを選びたい。
関連リンク: