吉野 巨人 2020/11/18 9:30
[Sponsored]

「クレジットカードの不正利用」によって損害を被る企業が増えている――。右肩あがりで増えているクレジットカード決済の不正利用被害。チャージバックによるクレジットカード会社への返金、商品未返送による損失は、会社経営、ECサイト運営に少なからずダメージとなる。対策を施さずに放置すると、被害額が大きく膨れあがっていく可能性もゼロではない。虎視眈々(たんたん)とECサイトを狙う悪意の第三者の攻撃に対し、EC事業者はどう対峙(たいじ)すればいいのか。その解決策を探る。写真:吉田浩章

非対面取引での不正利用が増加している

日本クレジット協会が発表した年次調査資料によると、2019年におけるクレジットカードの不正利用による被害金額は273億8000万円。その内訳を見ると、対面販売が主となる偽造カード被害額が17億8000万円、ECなど非対面取引が主となる番号盗用被害額が222億9000万円、その他不正利用被害額が33億1000万円。顕著なのが、ECサイトを中心とした非対面取引におけるクレジットカードの不正利用が拡大している点だ。

クレジットカードの不正利用による被害金額の推移
偽造カード 被害額 番号盗用被害額 その他不正利用被害額
クレジットカードの不正利用による被害金額の推移
出所:日本クレジット協会「クレジットカード不正利用被害の発生状況」(2020年9月発表)
※不正利用被害額は国内発行クレジットカードでの不正利用分で、カード会社が把握している分を集計(海外カード分は含まれない)。2013年調査までは「その他」に「番号盗用」を含む

2017年以降、オンラインでの不正利用が一気に増えた。攻撃の傾向としては、転売しやすい商材を扱っているECサイトや宿泊予約サイトなどに集中しています

こう話すのは決済代行サービスを手がけるSBペイメントサービスの霜鳥宏和氏(企画推進本部 事業企画室 室長)。2016年は88億9000万円だった番号盗用による被害額は翌年(2017年)、176億7000万円に急増。以降も右肩上がりで被害額が増えている。

背景にあるのはダークウェブでのクレジットカード番号売買の増加、フィッシングの巧妙化・組織化があげられる。こうした悪意の第三者に狙われやすいのが、霜鳥氏が前述した「転売しやすい商材」を扱っているECサイトだ。

デジタルコンテンツ(オンラインゲームを含む)、家電、電子マネー、チケット、宿泊予約サービスなどが代表例にあげられ、近年は化粧品、健康食品も多い

通販・EC業界では、盗用したクレジットカード番号を使用し、人気商品を大量に幾度も購入。それをCtoCサイトで転売されているといった問題が徐々に顕在化している。

こうしたクレジットカードの不正利用によって発生するチャージバック。EC事業者にとって大きな痛手となるが、不正注文へのセキュリティ対策は進んでいるとは言いがたい。それはなぜか? 霜鳥氏はこう推測する。

「3Dセキュア」などの対策は効果的だが、それを施したときの売上機会の損失を考えると、現状は許容できる不正利用被害にとどまっているのではないでしょうか。そのため多くのEC事業者が、オンラインでのクレジットカード決済の不正利用を許容してしまっているのが現状です。物販もデジタルコンテンツも同様です。不正利用対策などのコスト、それによって被る機会損失を考えた場合、対策を打ちにくいのが現状なのです

SBペイメントサービス 企画推進本部 事業企画室 室長 霜鳥宏和氏
SBペイメントサービス 企画推進本部 事業企画室 室長 霜鳥宏和氏
(取材はZOOMで実施。撮影はソーシャルディスタンシングを考慮し、SBペイメントサービスの東京・中央区のオフィスで行った)

対策を講じず不正利用を放置し続けると加盟店契約解除となるケースもある

急増するECサイトでのクレジットカード決済の不正利用に対して行政が腰を上げた。改正割賦販売法(2018年6月1日付で施行)により、ECサイトのリスクや被害発生状況に応じて「多面的・重層的な対策」の導入をEC事業者に義務付けたのだ。

非対面取引のEC事業者に対し、リスクや被害発生状況に応じた対策の導入を求めた改正割賦販売法。義務付けた「多面的・重層的な対策」とは、「本人認証」「券面認証(セキュリティコード)」「属性・行動分析(不正検知システム)」「配送先情報」の4方策を指している。

デジタルコンテンツ(オンラインゲームを含む)、家電、電子マネー、チケット、宿泊予約サービスといった高リスク商材を扱うEC事業者では4方策(「本人認証」「券面認証(セキュリティコード)」「属性・行動分析(不正検知システム)」「配送先情報」)のうち1つ以上を、不正利用被害が多発し「不正顕在化加盟店」と認識されたEC事業者は2つ以上を導入するようにガイドラインで求めている。「多面的・重層的な対策」の導入をEC事業者へ義務付けたのだ。

ただし義務化が明文化されたものの、割販販売法として違反企業への罰則規定はない。一方で、ECサイトのリスクや被害が発生しているにも関わらず対策を講じず状況を放置すれば、最悪のケースではクレジットカード取引の停止や加盟店契約を解除されるケースもあるのだ。

ここで、クレジットカード決済に関わる関係性や仕組みを踏まえながら、説明を補足していく。

アクワイアラは、VisaやMastercardといった国際ブランドからライセンスを取得し、加盟店の開拓や審査・管理を行っており加盟店(EC事業者など)とクレジットカード会社(イシュアと呼ばれ、国際ブランドと消費者を取り次ぐ役割)や国際ブランドの間に入り、クレジットカード決済での売り上げをスムーズに加盟店へ入金する役割を担っている。また決済代行会社はアクワイアラと包括代理契約を結ぶことで、アクワイアラが行っている加盟店の審査や契約手続き、売上入金管理などを代行する役割を担っている。

クレジットカード決済に関わる事業者との関係性について
クレジットカード決済に関わる事業者との関係性について(SBペイメントサービスのHPより)

国際ブランドでは独自に定めるブランドリスクプログラムがあり、VisaやMastercardなどブランドごとに「チャージバック」「不正取引」について規定。チャージバック件数と不正取引金額を監視している。

たとえば、あるEC事業者で不正取引が一定以上発生した場合、国際ブランドはアクワイアラに調査と対応を求めることになる。Visaでは、「イシュアとアクワイアラ間で発生する取引に係わる諸問題の解決のため、当事者間での協議に加えて、頻発するパターンを効率的に処理するためにチャージバック制度を導入。ルール違反が報告された場合には、改善を要求するコンプライアンス制度を運用している」(経産省公表資料より )

また、国際ブランドは決済代行会社と契約するアクワイアラに資格要件と管理義務を定義しており、さまざまな関係者がEC事業者を管理・監督している。こうしたことを踏まえ、霜鳥氏は次のようにEC事業者へアドバイスする。

まず対策をする前に、多面的・重層的な対策など割賦販売法がEC事業者に対して義務付けるセキュリティ対策(「クレジットカード・セキュリティガイドライン」)や国際ブランドが定めるブランドリスクプログラムを把握、理解していただきたいです。

SBペイメントサービス 企画推進本部 事業企画室 室長 霜鳥宏和氏
クレジットカード決済の不正利用対策は何からすればいい? 霜鳥氏は「クレジットカード・セキュリティガイドラインと国際ブランドのブランドリスクプログラムの把握、理解から」と説明する

EC事業者が採用すべき対策は

アクワイアラの判断になりますが、月50万円以上の不正利用金額が発生し、それが3か月続くと、リスクが顕在化しているEC事業者として「不正顕在化加盟店」と認識されます。不正利用被害が減少せず、引き続き「不正顕在化加盟店」と認識される場合は、追加的な対策をしなくてはいけなくなるでしょう。

霜鳥氏がここで言う対策とは、「多面的・重層的な対策」の4方策だ。

①本人認証

(a)3-D セキュア

  • 国際ブランドが推奨する利用者がカード会員本人であることを確認する仕組み
  • カード会員のみが知るパスワード等(静的・動的)やその他の情報(デバイス情報等)を用いて本人認証を行う
  • 比較的容易に導入が可能

(b)認証アシスト

  • 取引時の属性情報とカード会社の登録属性情報を照合し本人を確認
  • カード会員のパスワード失念等の懸念がない

②券面認証(セキュリティコード)
  • カード券面の「セキュリティコード(数字 3~4 桁)」を入力し、カードが真正であることを確認
  • カード会員の対応が容易
  • 加盟店の対応も比較的容易
  • カード券面への印字はイシュアー側でほぼ 100%対応済み
  • 機械的にカード番号を生成して攻撃する手口に有効

③属性・行動分析(不正検知システム)
  • 過去の取引情報等に基づくリスク評価によって不正取引を判定
  • 抑止効果維持には継続的なルールのチューニングが必要で、カ ード会社との継続的な情報連携が重要
  • カード会員の負担なし
  • 発生状況に合わせたルール設定可能
  • 加盟店が収集した利用者のデバイス情報を活用できる
  • 個々の取引を人的対応によって判定するのではなく、上記の条件設定による自動判定が行われることが重要で、更に、即時判定機能を導入すれば、短時間に連続した不正判定が行われる場合でも即時に検知・拒否することが可能

④配送先情報
  • 不正配送先情報の蓄積によって商品等の配送を事前に停止
  • カード会員の負担なし
  • 多数の取引と一定以上の不正利用被害がある加盟店においては自社構築で一定の効果(上記以外の加盟店は外部サービス利用でないと期待する効果が得られない)
クレジットカード・セキュリティガイドライン」などで求められている4方策


本人認証

クレジットカード番号と有効期限以外の、登録している生年月日などの個人属性データを認証に使う「認証アシスト」、そして「3Dセキュア」がある。「3Dセキュア」は国際ブランドが推奨する本人認証サービスで、会員自身がクレジットカード会社に登録した「本人認証パスワード」を決済時に入力する仕組み。ただ、課題が多いのが実態。登録している消費者が少ない、登録していてもパスワード忘れなどにより買い物を断念するなどEC事業者にとってはかご落ちにつながるといった懸念点があり、ECサイトでの導入が進んでいないのが現状だ。

券面認証(セキュリティコード)

クレジットカードの裏面にクレジットカード番号とは別に印字している3桁または4桁の数字を決済時に入力する仕組み。多くのECサイトで不正利用の対策として導入されているが、クレジットカード番号とセットで漏洩している場合もあるため、効果は限定的である。

属性・行動分析(不正検知システム)

過去の取引情報などに基づくリスク、評価によって不正利用を判定する仕組みで「不正検知サービス」が一般的だ。実態としては、EC事業者は「不正検知サービス」を導入したい意向があるものの、「初期費用の高さ」「ランニングコストの高さ」といったコストと販売機会の損失を鑑みたとき、コスト高になってしまうため「導入はしない」と判断されるケースが多いという。コスト面の問題がクリアできても、個人情報に関わる情報取得のための承諾を得る仕組み作りといった開発面がネックとなり、導入を断念するEC事業者もいる。

配送先情報

不正配送先情報の蓄積によって商品などの配送を事前に停止する仕組み。物販のみの適用となるため、デジタルコンテンツ(オンラインゲームを含む)、電子マネー、チケット、宿泊予約サ―ビスなどは利用できない

「多面的・重層的な対策」はお金、人がかかるのが現状

未然にECサイトでのクレジットカード決済の不正利用は防ぎたいのは多くのEC事業者が思うところ。継続的な不正利用の被害に遭っているEC事業者はもちろん、まだ被害を受けたことのないEC事業者も、「多面的・重層的な対策」は、売り上げやリソース、コストに見合ったサービスがあれば積極的に導入したいであろう。

世の中にはこうした対策方法がすでに提供されている。なぜ対策が進まないのか。EC事業者などによると、「コスト面など適したサービスがない」「セキュリティ面だけに大きな投資はできない」というのが本音のよう

リソースの問題もある。「不正利用対策のためにかける人材と時間がない」「専門の部署がない」「できればコンサルタントに任せたいがその分、コストが高くなる」……。経営側からすると、こうしたことがセキュリティ対策に二の足を踏む要因となっている

EC事業者の課題を解決する不正利用対策とは

こうした問題を解決するため、SBペイメントサービスが「AI不正検知」をリリースした。AI不正検知は、「多面的・重層的な対策」の4方策のうちの「属性・行動分析(不正検知システム)」に属する不正検知サービスで、「導入のしやすさが大きな特徴」(霜鳥氏)と言う(※「属性・行動分析」に対応するためには、有償プランでの利用が必要)。

一般的に不正検知サービスの多くは、初期費用や月額固定費に加え、決済あたりの手数料が発生する。加えて、コンサルタントが不正検知したデータから、定期的に改善提案を行うケースが多い。

SBペイメントサービスのAI不正検知は、月額固定費のみ。コンサルタントを置かず、EC事業者で検知ルールを設定できるなどして自社で管理・運用できるように設計している

また、メイン事業の決済代行事業を通じて取得したデータを元に不正利用を検出するのも特徴幅広い決済行動のデータから不正利用を検知することができる。また、画面リンク型であればSBペイメントサービスが提供する決済画面を利用するだけで特に事業者側での構築の必要はない。API型であっても専用JavaScriptをEC事業者の決済画面に設置するだけなので、開発コスト・手間を軽減できることも特徴となる。

AI(人工知能)を活用していることもメリットが大きい。過去の不正利用のパターンを機械学習し、消費者がクレジットカード決済を行うタイミングで決済の不正利用のリスクをスコアとして算出。EC事業者はリアルタイムでスコアを把握することにより、不正利用の早期発見ができるようになる。

決済情報で不正利用を検知、それを機械学習させることによって、人間で判定できない特徴を検知できる仕組みになっています。加えて、導入されたEC事業者さま独自の判定ルールを作れるようにしています。(霜鳥氏)

与信取得前に決済ごとのスコアリングとルール判定を実施、専用の管理画面にてスコアとルール判定の結果を確認できる
与信取得前に決済ごとのスコアリングとルール判定を実施、専用の管理画面にてスコアとルール判定の結果を確認できる

「3Dセキュア」の組み合わせでUXを損なわずに不正利用を未然に防止

「3Dセキュア」を有効活用する手法として、SBペイメントサービスのAI不正検知は大きな役割を担うことができるという。

すべての消費者に表示される「3Dセキュア」認証を、「疑わしい決済」のみ追加認証する方法を採用することが可能。「本人認証」と「属性・行動分析(不正検知システム)」をカバーし、「疑わしい決済」はAI不正検知で事前に検知する仕組みとなる。

正当な消費者には「3Dセキュア」認証を要求しないため、正当な消費者のUXは損なわずに、不正利用を未然に防ぐことができるようになる

SBペイメントサービスのAI不正検知は、EC事業者の決済情報をベースにスコアリングするのが特徴。そのため、利用にはSBペイメントサービスの決済代行サービスを導入する必要がある(※「AI不正検知」はクレジットカード決済での注文で利用可能。その他の決済手段での注文では利用できない)。

まずは可視化をしていただきたいという想いから、無料で利用を開始できるフリープランを用意しており、決済情報からリアルタイムにスコアを返却し、専用の管理画面で決済ごとに確認することが可能です。(霜鳥氏)

有料となるスタンダードプランでは、事業者がスコアリング後の当該取引の提供可否や取扱を設定できるルール判定の機能を提供(SBペイメントサービスの推奨ルールを利用可能)。またさらに上位となるアドバンスドプランでは、スタンダードプランの内容に加え、事業者独自のルールを作成・設定することができる。ルール判定の設定においては、本人認証サービス「3Dセキュア」の認証を追加できる機能も利用可能となる。

専用の管理画面のイメージ
専用の管理画面のイメージ

SBペイメントサービスでは無料で疑わしい決済の有無が可視化できる環境を用意することで、まずは「クレジットカード決済の不正利用問題の啓発をしていきたい」(霜鳥氏)と説明している。

-->
[Sponsored]
この記事が役に立ったらシェア!

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
ecbeing.
[スポンサー]