近年、国内でも大きな問題となっているクレジットカードの不正利用。日本クレジット協会の統計によると、その被害額は2023年、前年比23.9%増の541億円にまで達した。深刻化する不正利用に対して、事業者はどのように対策を進めるべきなのだろうか。国内で10年にわたりオンライン不正対策支援事業を展開している株式会社スクデットの関隆進氏に聞いた。
Speaker
株式会社スクデット 取締役
関 隆進
ネット金融コングロマリットグループ内のクレジットカード事業会社、EC向けマーケティングSaaS事業会社を経て、2019年より株式会社スクデット取締役。同社にて、経営・事業運営に従事するとともに、不正対策のスペシャリストとして顧客に不正対策の支援を行う。
「EMV 3-Dセキュアの導入」だけで大丈夫?
クレジットカードの不正利用は昔から問題視されていたが、かつて多かった「偽造カード」に代わり、近年は「番号盗用」による不正が増えている。つまり、カードを偽造してリアルの店舗で利用する不正ではなく、カード情報を盗みダークウェブ上で売買したうえで他人のカード情報をオンラインで利用する不正が増えていると関氏は言う。不正の技術は年々向上し、手口も多様化していることから、被害に歯止めがきかないのが現状だ。
そんな現状に国も危機を感じている。クレジットカード取引の関係事業者が実施すべきセキュリティ対策を「クレジットカード・セキュリティガイドライン」として制定しているが、2020 年 3 月の制定以降、既に4回改訂され、5版までが公開された。そのガイドラインの中で、2025年3月末までには、EC事業者に対して「EMV 3-Dセキュア」というセキュリティシステムの導入を義務化するなど、本腰を入れて不正防止に取り組んでいるようだ。
国内発行クレジットカードにおける年間不正利用被害額推移(経済産業省「クレジットカードのセキュリティ対策について (経済産業省の取組)」をもとにデジタルガレージ作成)
EMV 3-Dセキュアとはカード発行会社による本人認証のシステムで、ECで買い物をする際などにパスワードを入力させる仕組みのこと。しかし、それらの取り組みだけでは、対策は十分ではないと関氏は続けた。「ガイドラインで導入義務化が明記されているEMV 3-Dセキュアは、最低限の不正利用対策になります。一定の効果は見込めるものの、それを実施しただけでは安心とは言い切れません。犯罪組織の技術も日々進歩しているため、EMV 3-Dセキュアだけでは対策しきれないでしょう」
もしもEC事業者がカードの不正利用を放置してしまうと、EMV 3-Dセキュアを通過している取引であればその被害はEC事業者の負担にならないものの、カードのオーソリ承認率が低下し正規ユーザーまでもがカードを利用できなくなってしまったり、自社の商品が通常より安く転売されてしまったりするなど、自社のブランドに傷がついてしまうこともある。「あのサイトで私のカードが不正利用された、あのサイトは不正利用対策をしていない」という評判が流れれば、他のユーザーも寄り付かなくなってしまうリスクもあるだろう。
そのような事態を避けるためにも、より安全性を高めるために導入してほしいというのが「不正検知サービス」だ。「従来の不正検知サービスは、購入時点の情報をもとに、あらかじめ定めていたルールに則ってリスク判定を行う。いきなり海外から決済したり、短時間で複数の決済が行われるなど、不正の可能性が高い属性や行動を検知して教えてくれるのです。これでも適時適切にルールをチューニングしていけば効果は期待できますが、近年は不正技術も進化しており、それらのシステムを欺くようなツールも出回っています。例えば、自身の位置情報を偽装して、不正を悟られないようにするといった風にです」
不正利用対策の切り札として注目を集める「AI不正検知」
そのような新手の不正にも対応できるのがAIを活用した検知サービスだ。これまで購入時点の情報のみを活用して不正を検知していたのに対し、サイトを訪れてから決済を完了するまでの全ての行動データを収集して解析することで、不正を検知するという。
「アカウント登録時やログイン時の情報まで吟味して不正を検知できればより精度が高まる一方で、大量にデータを使うと人の手だけでは分析できなくなってしまいます。そこでAIを活用することで、大量のデータを分析しながら不正の傾向を見破ることができるのです。
海外では新たに登場する不正検知サービスはほとんどがAIを活用したもので、不正検知サービスの業界でもAIが注目を集めています。大手のECモールの中には、自社で不正検知のためのAIの開発を進めているところもあり、将来的にEC業界のスタンダードになることは間違いないでしょう」
AIを用いた不正検知サービス「Sift」では、サイト内でのユーザーの行動全体をデータとして収集し、AIが解析。リスクのスコアリングをしてくれる(画像:スクデット社提供をもとにデジタルガレージにて作成)
AIという言葉に惹かれてサービスに興味を持つ事業者がいる一方で、「うちの業界は狙われにくい」と考えている事業者もいるという。しかし、技術の発展によって、これまで被害に遭わなかった業界が狙われるケースも増えているようだ。
例えば、これまで国内の公共料金の支払や寄付を集めるサイト等では、不正が発生することはほとんどなかった。しかし最近では、プログラムやソフトウエアなどでクレジットカード番号を自動的に計算し、生成された番号が有効であるかを特定する「クレジットマスター攻撃」の標的になることもあるという。
「クレジットカードの番号というのは規則性があるため、機械的にカード番号を生成し、セキュリティコードや有効期限と組み合わせて大量アタックを仕掛けることで、有効なカード番号を割り出せることがあります。この手法は短期間に集中して大量アクセスをするので、不正対策をしているサイトでは検知され、ブロックされるため、これまで不正利用被害がなく、不正対策をしていないサイトで利用されるケースが増えてきました。
もはやカードの不正利用に安全圏はありません。これまで被害に遭わなかった業界も、新たな技術や新たな手法の誕生によって、突然狙われるケースも少なくないでしょう。オンラインで決済を行う事業においては、例外なく不正利用の対策をしてほしいと思います」
ツールだけに頼らない。最後の判断は「人間の経験知」
カードの不正利用が増えているのは日本だけではない。むしろ、日本に先駆けてEC市場が拡大している海外では、日本よりも早くカードの不正利用が問題視されてきた。不正利用が多いということは、必然的に、それを対策するための検知サービスも数多くある。国内ではそこまで数は多くない不正検知サービスも、世界を見渡すと多様なサービスが存在している。大きく分類すると、検知手法という軸ではルールベースとAI(機械学習モデル)ベースに、導入後のオペレーションという軸では運用型と全自動型に分けられる。
運用型は、AIベースであっても、不正の状況や事業者が持つ不正傾向の情報をもとにルールを追加実装したり、システムが判断しきれない一部のグレー取引には人のが判断を加えたりしていく必要があり、それによって検知精度を維持・向上させていく仕組みとなっている。AIベースの全自動型のサービスは、不正かどうかの判断を全ての取引に対して自動判定してくれる仕組みだ。つまり、運用の負担をなくすことができるのだが、関氏はそのデメリットも語った。
「全自動型のサービスはたしかに人の手がかからないため、運用の負担は減らせますが正規のユーザーを不正と誤判定するリスクも孕んでいます。本来なら人の判断が必要なグレーなケースを、AIがOK/NGの二択で判断を下しているため、正規ユーザーを不正と判断する可能性が比較的高くなります。もしも正規のユーザーが不正と判断されて買い物ができなければ、ユーザーエクスペリエンスを著しく落とし、ブランドに対する評価を大きく毀損することになるでしょう。特に日本のEC事業者はブランドの毀損を嫌がる傾向が強いため、私たちは全自動型のサービスを取り扱ってはいません」
現在は、海外の不正検知サービスを国内で展開しているスクデット社。国内大手PSPとシステム標準連携がされているルールベースの不正検知サービスである「ReD Shield」は国内でも多くの企業が導入しており、最新のAIを活用した不正検知サービス「Sift」も徐々に顧客が増えているという。いずれも自社製品ではなく、海外の製品を国内で代理販売する同社。業界内での差別化をどのように図っているのか聞くと「10年以上の実績と、そこから得たノウハウ」という答えが返ってきた。
ツールは所詮ツール。どんなに精度が高く、多様なデータを取ってきても、パフォーマンスを最大化できるかどうかは、人間次第だ。逆に言えば、どんなに高品質なツールを導入しても、それを使いこなせなければ成果は出ない。海外の高性能なツールを利用する同社も、決してツールの性能に依存することはなく、メンバーの専門知識こそ差別化要因だと言う。
「従来のルールベースのサービスはもちろん、AIを使った検知サービスもルール設定を併用して行います。また、お客様と一緒に、一部のグレーな取引の目視チェックを行うこともあります。こういった運用こそが不正検知の要であり、私たちの専門性が活きる部分でもあります。不正検知サービスは一度導入して終わりではなく、運用しながら改善が必要なため手間がかかるもの。私たちは、そういった部分を代行することで、クライアントの手間を最低限に抑えています。事業者の方々にはできる限り不正利用を心配することなく、事業の成長に集中してもらいたいですね」
