豊洲市場ドットコムのウラガワ。 
こんにちは。システム部の山城です。昨年末に、弊社が強化しているクレジットカードの不正利用対策についてのコラムを書きました。そして、毎年不正利用が多い12月を終え、結果が出てきましたのでご紹介します。果たして、対策の効果はあったのか否か!?
過去記事はこちら↓↓
【開発ブログ】クレジットカードの不正利用に打ち勝つために!!<後編>
【開発ブログ】クレジットカードの不正利用に打ち勝つために!!<前編>
年末の大繁忙期は不正注文被害が多くなる傾向に
食品業界にとって、12月は1年間の中で一番の超繁忙期です。おそらく、ネット通販だけでなくリアル店舗も含め、食品を扱うどのお店もそうだと思います。というのも、年末年始に家族が集まるイベントに備え、蟹だの鮪だの肉だのお節だのを購入しておくのが、日本の風習です。しかも、1年の終わり、自分へのご褒美のために、ちょっといいものを、という気持ちが加速し、お財布は緩みます。さらに、12月はボーナスがある会社も多いでしょう。弊社の場合、ありがたいことに、例年、12月は通常月のおよそ約3倍のご注文をいただきます。
となると、紛れてしまうのが不正注文です。実際、前編でもご紹介しましたが、通常不正注文が多くても10万程度だったものが、2022年12月(黄色い枠線)に40万近く、約4倍になってしまいました。
そのため、不正注文の傾向を分析し、注文のアラートが出るようにしたり、IPアドレスの監視、Google reCAPTCHAの導入、大量のオーソリアタックの検知などの仕組みを入れたのが2023年に実施した対策です。
その際設定した目標が、1年後の12月に10万に抑えるということ。この金額に設定した理由は、外部の不正検知ツールを利用すると、簡易のもので10万、ちゃんとしたものでも15万~だったので、内製でやるならそこまではいったん許容範囲としました。
12月の結果は・・・
12月までの結果をまとめました。青線が不正注文の額、赤線が不正注文に気づかず弊社が被ることになった被害額になります。12月には23件、¥1,001,742 の不正注文があり、そのうち3件 ¥63,400 が気づかず発生してしまい、 20件¥938,342 は事前に気づけ、キャンセルすることができました。つまり、月10万という目標は達成しました!よかったです!
しかし、11月は13万と目標の10万を超えてしまったのに加え、以下5つほど課題が残りました。
課題1:Google reCAPTCHAの誤算
Google reCAPTCHAとはWebサイトへのスパム攻撃を防ぐためGoogleが提供しているサービスで、「私はロボットではありません」とチェックするヤツや、信号機や自動車を選択するヤツや、歪んで読みにくい英数字を入力するヤツがあり、おそらく皆さんどこかではお目にかかったことがある、間違えるとイラっとしてしまうアレです。
弊社では、2023年8月に大量会員登録されるアタックを受けてから、会員登録機能にGoogle reCAPTCHA v3を入れています。Google reCAPTCHA v3は上記のようにユーザーが操作することなく、Googleが自動的にbotかどうかを判断してくれます。そして、エラーになったらシステム管理者にメールを送り、設定した閾値の妥当性を確認できるようにしています。
これが11月中旬まで1日数件bot判定され、大量会員登録されるアタックの抑止もできていました。また、不正と思われる会員登録をある程度はじくことができていました。ですが、12月に入り、これがエラーになりまくるという現象が発生しました。その数2週間で約500件。しかも、内容を確認してみると怪しい登録情報ではなさそうなのです。1日の会員者の登録数が多い時期なのは間違いないのですが、問題ないお客様が会員登録できないという、あってはいけない事態に陥ってしまいました。また、再登録で登録できた会員もおり、会員登録数からすると全体の1%未満ではあるので気にしなくてもいい値ではあるものの、来年の課題です。Google reCAPTCHA v3の精度があがることに期待です。
課題2:過去と同じ手口でやられてしまったという悔しい失敗
2021年12月から2022年4月まで豊洲市場ドットコムを鴨にしていたと思われる詐欺師軍団?個人の方?がいました。同じ登録情報かつ送り先で、何度も不正注文を入れられ、気づかずに商品を発送してしまっていました。その名前で登録があったら気づけるようにアラートを出していたのですが、しばらく見ないなと思っていたら、2023年11月にまたもや同じ手口でやられてしまいました。11月が飛びぬけてしまった理由はそれです。送り先住所は同じでしたが、登録名が少しだけ変えて登録されており、アラートはならず気づけずでした。金額で言うと3万程度ですが、悔しくやるせない気持ちは大きいです。アラート機能は強化しその後は不正に気付けるようになっています。
課題3:まさかのAmazonPay支払い
これまでAmazonPay支払いは不正注文がありませんでした。なので、AmazonPay支払いはアカウントが作られている=審査されているとみなして注文は通していました。しかし、2023年12月に3件ほど不正注文があり、¥39,150の被害に。スクリプトでひかっかり怪しいと思いながらも、繁忙期もあり対応が後手後手になったというのもありますが、クレカはカード会社に問い合わせして本人確認ができるものの、AmazonPayでは本人確認ができない不便さもありました。ここの運用は年明けすぐに組み立て、その後数件の不正注文に対応できるようになっています。
課題4:Gmail、、、登録数が多い問題
怪しいメールドメインを日々のスクリプトでチェックしています。ただ、Gmailは不正注文も多いものの、総登録数が多いので1件1件見ていくのは正直厳しく、特に繁忙期はやれていませんでした。ここに関しては今後の課題です。
課題5:運用の負荷
怪しいことに気づけていても、本人確認をしている間に出荷され間に合わなかったパターンや、本人確認をするのを忘れてしまったパターンが少数ですがありました。人が介入する以上はここは避けられないのかもしれません。そうするとさらなるシステム化の検討が必要かもしれません。
今後に向けて
月の目標を10万は達成したので、次の12月は5万を目指し、今回出た課題解決に取り組んでいきます。そして当サイトだけでなく世の中からクレカ被害がなくなる未来に貢献したいと思います。
