こんにちは。システム部の山城です。今回は弊社が今年に入ってから強化しているクレジットカードの不正利用対策についてご紹介します。
これまでほぼ毎月0円、多くても10万円未満だったクレジットカードの不正利用による被害が、2022年12月に約45.1万円の被害となったことを受け、2023年から本格的に不正利用防止施策を強化しました。前編からの続きです。
【開発ブログ】クレジットカードの不正利用に打ち勝つために!!<前編>最初に検討したのは3Dセキュア
まずは3Dセキュアver2.0の導入を検討しました。以下は当時の私の理解です。
- これまでの3Dセキュア ver1.0は問答無用にIDとパスワードを入力するものだったが、ver2.0はリスクの高いユーザーのみ画面が表示される。その割合は2割が目安。
- リスクは、「氏名」、「e メールアドレス」、「電話番号」、「配送先住所」、「 IP アドレス」、「デバイス情報」、等の情報を決済時に送ることにより判断される。
- リスクの高いカード利用のロジックは非公開だが、いつもとIPが違う、デバイスが違う、時間帯が違うなどを総合的に見て判断している模様。
- 3Dセキュアを導入していれば、アイパス画面が表示されず、仮に不正利用だったとしてもチャージバックされることはなくカード会社負担。
ざっくりと、開発見積もりをしたところ、食文化的には2ヵ月程度の中重案件となりました。初期コストはそれなりにかかるものの、その後の月額費用は無料なのでコストは許容範囲内でした。一方で懸念となったのはかご落ちでした。セキュリティを重視するあまり、売上がガクンと下がるのは避けたいところ。アイパスを入力する画面は食文化でデザインできるので外部サイトに飛んでいきなり印象が違うページが表示される感はなさそうですが、ステップが増えることでどれだけ影響が出るのだろうか、と。
そして、当時2.0が発表されたばかりだったので、もう少しカード会社の対応や各社ECの様子見をしようとなり、いったん対応は保留になりました。経産省からは「原則、全てのEC加盟店は、2025年3月末までにEMV3-Dセキュアの導入を求める。」という発表もあったので、その動きには注視します。
クレカの不正検知システムのソリューションベンダーに話を聞いてみた
クレカの不正検知システムのソリューションを持つ会社にも話を聞いてみました。ただ、正直最初から他社のソリューションの採用はないかなと思っていました。というのも、被害金額がそこまで大きくないので、どうしても月額x円の契約に合わないのではということが予想できていました。また、弊社はシステム内製が基本なので外部のサービスの利用には慎重です。もちろん自社内制できないことも多いのでゼロではないですが。
数社話を聞き、各社多少の違いはあるけれど、だいたいこんな感じと理解しました。
- 決済時に、クレカ情報、Eメール、IPアドレスなどを送ってリスクを判断。(3Dセキュアと同じ)
- 過去に不正使用された住所やカード情報、メールアドレスなどをブラックリストとして管理し照合するのが基本の仕組み。
- これに加えて、収集したデータを元に傾向を探って数値化して、AIで不正を予測し検知。(ここが各社力を入れており押しポイントな様子!)
- 初期費用と月額がかかり、サイトドメイン単位の課金、かつ、チェック件数などにより月額費用が変動することが多い。
各社とも、被害額を減らすのはもちろんですが、人がやっていたことをシステムで実施することによる業務効率化やサイトの安全性や信頼性確保、不正する側への抑止になることのメリットが大きいことの方を売りにしていると感じました。そりゃそうですよね、どんなに優秀なシステムを作っても、不正利用する側はそれを突破する方法を考えて挑んでくるのですから、被害額を0にするのは実質無理なのでしょう。
また、とあるベンダーのプレゼンの中で月額600万程度のチャージバックがあった会社の改善例があがりましたが、弊社とは被害規模約2桁違うなと実感したのを覚えています。
そしてやはり月額費用が見合わず、社内提案に出すこともなく検討終了。ただ、情報はしっかり得られたのでそれ自体は有益でした。
とりあえず会員情報と注文情報をじっくり眺める日々
並行して、不正注文の傾向分析を始めました。以下はその傾向一部です。なお、全てを詳細に公開してしまうとその裏をかかれ、せっかく貯めたノウハウが無意味になってしまうのでかなり触りだけです。ご理解ください。
明らかに会員氏名がおかしいものはやっぱり怪しい注文が多いです。氏名が”様名様名”とか”名前”とか。さすがにそれは注文確認時に気づけます。それで騙せると思っているのか!?と問いたいです。ほかにも名前が会員登録されている氏名のふりがながおかしいものはかなり怪しいです。例えば津田さんは”つだ”ではなく”しんでん”、小川は”おがわ”ではなく”しょうせん”など。音読み優先プログラム(そんなのあるのか!?)で変換されているのかもしれません。でも難しいのは、本当に「そうなの?あってる?」という難しい読み方の苗字が日本にはたくさんあり、どれも疑わしく見えてくるということです。。。また、会員名とカード名が違うのも怪しい類なのですが、割と問題ない場合もありこれだけでは決め手にはなりません。
不正利用されやすいEメールアドレスドメインを絞り込みました。ここにも類似の記事がありますが、弊社のデータと遠からずです。ただ、Gmailやhotmailは全体数がとても多いのでそれがわかったところで1個1個チェックするのは現実的ではないという問題もあります。また、@docomo.ne.jpや@ezweb.ne.jpなどキャリア系は本体契約しないと取得できないから安全とか、フリーメール系でも二段階認証が必須なものより簡単に取得できるものの方が怪しい率が高い、とかは容易に想像つきます。もちろんアカウント自体を乗っ取られる可能性もあるので100%ではないですが。他にも、Eメールアドレスに使用するローカル部(ユーザー名?)にも一定の傾向を出すことができました。
不正利用を試みる側も効率的に不正注文を入れたいでしょうから、それ用のプログラムを作るのでしょう。そのため、Amazonなどのホスティングサーバー経由のアクセスは怪しいものが多いです。ただ、企業経由などホスティングサーバー経由の問題ないアクセスもそれなりにあるので、決め手とはなりません。また、海外からのアクセスも要注意です。というのも弊社は海外発送を承っていないからです。ただこれも、海外在住の方が日本の方に贈答するとか海外出張中に注文するとかが一定数あるので、これだけでは決め手とはなりません。実際、国内の有名なプロバイダー経由の不正注文もかなり多いです。
これは傾向分析せずにもわかっていたことですが、賞味期限が短い生鮮品や保管管理が難しい冷蔵・冷凍品よりは賞味期限が長い常温品や酒類や米、サプリメント、賞味期限がない食器や調理器具が圧倒的に狙われやすいです。転売しやすいからですね。ただこれも必ずそうなわけではなく、先月まさに即日出荷の松茸がやられてしまったばかりです。。。
例えば、近江牛のA5ランクを1.5キロを冷蔵便で頼んでいるのに日付指定していない、とか、夏なのにお歳暮熨斗指定、とかです。ケースは色々ですが、通常の注文と買われ方が違うものはアウトなことが多いです。そういう注文の送り先を調べてみたら過去に不正注文の送り先として使われていたり、レオパレス宛てだったりします。ここの微妙な違和感は将来的にはAIという可能性はあるかもしませんが、現時点ではシステム化できないのでサイトのお客様を理解し、注文一つ一つと向き合って知見をためていかないといけない領域なのかなと感じています。
分析結果を運用にのせた結果・・・
注文を見て出てきた傾向を、スクリプト化したり購入されたらアラートが出るようにすることで、工数をかけずに不正注文の確認をする運用を取り入れています。また、なんとなくの違和感については、注文確認をするカスタマーサポート部門だけでなくマーケティング部門も、日々の売上状況を見る中で、その違和感に気づけるよう社員教育をしています。イメージ的には8割はシステム化し、2割は人による確認を行っています。もう少しシステム化の割合は増やしていきたいと考えており、ここは今後の課題です。また、この傾向もどんどん変わっていくでしょうから、常に進化させていかなければいけません。他にも、IPアドレスの監視、Google reCAPTCHAの導入、大量のオーソリアタックの検知などの仕組みも追加し、不正注文、不正アクセスに気づけるように日々対策を強化しています。結果、施策から約1年、今のところ月10万以内の被害に抑えることに成功しています。これから鬼門の12月の繁忙期突入!これまでの対策が効くか効かないか、結果は年明けにご報告します。
※ 今回、この記事を書くことにより、不正注文の抑止になればと思い、ブログ化することにしました。