オンライン決済の不正利用とは何か、どう防ぐか

オンライン決済の不正利用とは、決済手段の正当な所有者でない人物が、不正利用を目的に決済を実行することです。

企業にとっての主な課題は、さまざまな不正手口を常に把握し、それらを速やかに特定することです。効果的なリスク戦略を検討する前に、どのような種類の不正利用が存在し、それらがビジネスにどのような影響を与えるかを理解することが重要です。

クレジットカードの不正利用

クレジットカードの不正利用は、個人情報盗用の一種で、盗んだカード情報を不正に利用することです。その目的は、口座に支払いを請求したり、口座からお金を抜き取ったりすることで、2022年上半期には、すでに240万件のなりすまし被害が発生しています。

クレジットカードの不正利用を検知・防止する方法：

• 取引時にはセキュリティコードチェックを行い、カードが存在することを確認する。

• 同じ商品を複数回購入する、同じEメールアドレスで複数回購入する、同じ住所に異なる支払方法で注文する、といった疑わしい行動を警告する行動分析テクノロジーを適用する。

盗用カードの有効性確認

盗用カードの有効性確認とは、盗まれたカードが有効かどうかを「テスト」することです。もし有効であれば、ダークウェブで、テストされていないカードよりもはるかに高値で売買されます。

盗用カードの有効性を確認する一般的な方法は、無料トライアル付きのサブスクリプション・サービスに登録する際にカード情報を入力することです。サブスクリプション事業者は、カードが有効かどうかを確認するために、実際の金額を請求する前に0円/1円オーソリを実行します。

盗用カードの有効性確認を検知・防止する方法：

• 行動分析テクノロジーを適用して、不正な決済の試行を特定する。

• 買い物客の行動を把握し、ベロシティ（速度）リスクチェックやその他のビジネスルールを使用して、不審な取引をブロックする。

• 注文にかかった時間を確認する。ボットやスクリプトを使用した不正利用が増加しているため、短時間に実行された過剰な取引を検出することで、不正利用を特定することができる。

アカウントの乗っ取り

アカウントの乗っ取りとは、買い物客のアカウントにアクセスし、アカウントの詳細を変更する個人情報盗用の一種です。乗っ取りを行おうとする者は、買い物客が支払い情報を保存したアカウントを持っているウェブサイトを利用するか、合法に見せかけたウェブサイトを作成し、無防備な買い物客の認証情報を盗み出します。

アカウントの乗っ取りを検知・防止する方法：

• タイムラインを可視化し、本物の買い物客の通常の行動と、アカウントが乗っ取られた後の行動の違いを把握する。

• 例えば配送先の住所など、アカウント情報が変更されたら、認証を求める。

本人による不正利用

本人による不正利用とは、Eコマースサイトで商品を購入し、すでに商品を受け取っているにもかかわらず、チャージバックを実行することです。

本人による不正利用を検知・防止する方法：

• 異なるカードやIDで複数のサービス関連のトラブルを起こしている買い物客など、一連のパターンをリスクシステムが認識できるようにする。

• ブロックリストを使って、そのような悪質な買い物客が戻ってこないようにする。

返金詐欺

返金詐欺とは、企業に返金を要求してお金を稼ぐことです。この手口はますます一般的になってきており、検知するのは非常に困難です。

小売業界ではこのほか、偽造品やペットボトルの水など、注文した商品とは異なる商品を返品する悪質な行為も確認されています。

返金詐欺を検知・防止する方法：

• リスクシステムにユニファイドコマース機能を搭載し、買い物客のライフサイクルを完全に把握することで、過去の注文を閲覧して詐欺を特定できるようにする。

• 独自の属性を組み合わせてカスタム・リスクルールを活用することで、このようなシナリオの発生を軽減し、その詳細を悪用する特異な買い物客を特定することができる。

ギフトカード詐欺

ギフトカード詐欺は追跡が難しく、デビットカードやクレジットカードほど厳しく規制されていないため、オンライン決済の不正利用の一般的な手口となっています。ギフトカード詐欺の例としては、不正利用犯が盗んだカード情報を使ってオンラインで商品を購入し、それを返品してギフトカードで払い戻しを請求するケースが挙げられます。

ギフトカード詐欺を検知・防止する方法：

• ギフトカード詐欺に対するより強力な防御を実行するために、関連データを使用する。

• 関連データに基づいて、カスタムリスクチェックとブロックリストを組み合わせて使用することで、この種の取引を発見しやすくする。

• カスタム・リスクルールや特定の指標を使用してギフトカードの不正利用を特定し、リスクを緩和する。

ここまで、さまざまな不正利用の種類について説明してきました。しかし、不正利用からビジネスを守るためには、どのようなリスク戦略を構築すればよいのでしょうか。

多くの企業は、顧客体験よりもセキュリティを優先しています。通常の顧客の行動から逸脱したものがあれば、すぐに支払いはブロックされます。真正の利用と不正を判別することは難しく、本物の顧客が誤ってブロックされる事態もありえます。これは収益に直接影響し、顧客は購買体験に不満を抱くことになります。

Adyenは、企業の事情がそれぞれ異なること、またリスク管理は各企業独自の課題に合わせたものであるべきだということを理解しています。ここでは、不正利用の検知、防止、対策を通じて、リスクと収益の持続可能なバランスを取るためのヒントをご紹介します。

• 検知する：すべての販売チャネルにおいて、本物の顧客かどうかを判別し、不正利用を検知する。

• 防止する：リスクルールと機械学習を組み合わせることで、完全なコントロールを維持し、運用負荷を軽減する。

• 対策する：リスク設定を適応・最適化することで、承認を高め、チャージバックを削減する。

検知

不正検知テクノロジー

不正検知テクノロジーは、蓄積されたデータや、プラットフォーム全体のデータを利用して行動の異常を検知し、各決済が真正か不正かを判別します。また、不正利用の発生率が高い特定の業界や地域など、リスクの高い特定のセグメントに対して設定を行うことも可能です。

防止

スーパーバイザーと機械学習のミックス

リスクに関するスーパーバイザーの知識と機械学習を組み合わせる方法です。企業はリスクプロファイルを作成することでリスク評価の一部を自動化し、時間を節約し、かつリスク管理の労力を削減することができます。

カスタマイズ可能なリスクルール

業界やビジネスによって直面するリスクは異なります。カスタマイズ可能なリスクルールにより、企業は独自のリスクに合わせたリスクプロファイルを作成し、どの取引をブロックし、どの取引を受け入れるべきかを決定する不正利用判定プロセスのベースとして使用することができます。

本人認証

多くの詐欺師は、なりすましを利用して詐欺を行います。本物の顧客であることを確かめるために、企業は3Dセキュア2を通じて本人認証を行うことができます。

手動審査

高額取引やリスクの高い市場での取引など、不正利用のリスクが高い取引もあります。防止機能をさらに強化するため、企業はこのような取引を完了する前に手動で審査し、チャージバックを回避することができます。

対策

検証と実験

自社にとって何が最適なリスクマネジメントアプローチなのかは、検証してみなければわかりません。最適な対策を見つけるには、さまざまなリスク設定を行い、A/Bテストを実施して、どの方法が最も効果的かを確認してください。

オンラインショッピングの需要が高まり、より多くの人がオンラインショッピングを利用すればするほど、決済の不正利用も増加します。これに対応するため、企業はより安全で優れた顧客体験を提供する必要があります。

不正利用の手口は進化していますが、それに対処するための選択肢も増えています。適切なテクノロジーを活用し、効果的なリスク戦略を構築することで、企業はさまざまな不正利用から自社と顧客を守ることができます。

RevenueProtectは、オンライン決済の不正利用を検知・防止し、さらに対処するための幅広いツールを備えた当社独自のリスク管理製品です。グローバルで業界横断的なデータネットワークを活用することで、最適なリスク判断を的確に行い、最新トレンドを把握し、オンライン決済の不正利用に効果的に対処します。