急増する不正決済！実施すべき最適な対策とは？

3行でわかる本記事のサマリ

• 2023年のクレジットカード不正利用被害額は540.9億円と過去最高で、対策が急務である。
• 不正利用の高度化例として、配送先住所の変更や正規アカウントへの不正ログインが挙げられる。
• ガイドライン5.0では「線の考え方」を導入し、決済前後の監視やアカウント乗っ取り防止が重要とされている。

はじめに

日本クレジット協会によると、2023年のクレジットカードの不正利用被害額が、過去最高の540.9億円となりました。1)
前年2022年と比較すると104億円の増加となり、不正利用防止の対策が急がれています。本ブログでは、高度化する不正決済に対してどのような対策を実施する必要があるのかを、「クレジットカード・セキュリティガイドライン 【5.0 版】改訂」で推奨される「線の考え方」に基づいた不正利用対策に触れながら解説します。

1) 出典：日本クレジットカード協会「クレジットカード不正利用被害の発生状況」

目次

1. 高度化する不正決済
2. 線の考え方に基づいた不正利用対策
3. 有効な対策について
4. まとめ

1. 高度化する不正決済

冒頭で記載した通り、2023年のクレジットカード不正利用被害額は初めて500億円を超え、前年度比104億円増加となり大きな問題となっています。
この背景には、コロナ禍で増加したECサイト利用者に加え、攻撃者による不正決済の高度化が影響していると考えられます。以下に高度化の事例をご紹介します。

高度化の例①購入後に配送先住所の変更が行われる

不正に入手したクレジットカードで決済を行い、購入完了後に配送先住所を変更する手法です。

不正注文のシナリオは以下の通りです。
①    注文時は不正検知システムに情報のない「住所A」として注文
②    注文後に配送先住所を「住所B（不正決済でよく利用される住所）」へ変更

一見シンプルなように見えますが、なぜ不正注文が成立してしまうのでしょうか。
不正検知システムの多くは、注文時点で不正かどうかの判定が行われます。
上記の場合、システム側では「住所Bは不正である」という情報を持っています。
しかし、注文時の配送先住所「住所A」に関しては不正という情報がないため、「正常な注文」として決済が成功します。
攻撃者は決済が成功した後、配送先住所の変更依頼を行うことで不正検知システムを潜り抜け、商品は攻撃者が指定した「住所B」へ出荷されてしまいます。
本事例のように、注文時点など"一部処理に限定して"対策した場合、攻撃者に回避される可能性があります。

高度化の例②正規アカウントへ不正ログインし注文を行う

正規アカウントへ不正ログインし、注文が行われる手法です。

昨今、不正決済を目的とした不正ログインが行われるケースが確認されています。
既存の手法では、攻撃者は自身で作成したアカウントを利用して不正決済を働いていました。しかし、不正検知システムの導入により、「過去に不正決済を働いている」等の特徴から「不正なアカウント」と判定され、攻撃者は自身で作成したアカウントで不正を働くことが難しくなっています。

正規ユーザーのアカウントに注目すると、何度も購入が成功している実績から不正検知システムでは「正常なアカウント」と判定され、不正検知のハードルが低くなる場合があります。そこで、攻撃者は「ダークウェブやフィッシングサイトで流出した正規アカウントの情報」を利用し、正規ユーザーになりすまして不正決済を行うケースが確認されています。
また、本事例のように「不正に流出した正規アカウント情報」が用いられるケースでは、カード情報の登録が必要ない EC サイトも被害に遭う点も注意が必要です。

2.線の考え方に基づいた不正利用対策

上述した高度化する不正決済に対応すべく、2024年3月に「クレジットカード・セキュリティガイドライン【5.0版】」が公表されました。ガイドラインでは、下記の具体的な4つの方策が示されています。

本ガイドラインでは、早期のEMV 3-Dセキュア（以下EMV3DS）の導入に加え、新たに決済前後も考慮した対策についても言及されています。この背景には、不正決済が巧妙化しており、複数の対策（本人認証やセキュリティコードなど）を講じても、十分な抑止効果が得られないケースが報告されているためです。2)出典：クレジット取引セキュリティ対策協議会 「クレジットカード・セキュリティガイドライン5.0」

特に、加盟店の業種や業態、取扱商品、不正利用の実態によって、効果的な不正対策が異なることが一つの要因となっています。
そのため、決済前後も含めた不正利用対策全体の考え方として「線の考え方」が示されています。「線の考え方」とは、決済に関わる各場面で適切な対策を講じ、全体を通して不正を防ぐことを目指すものです。
具体的には、不正ログイン対策でのアカウント乗っ取り被害の防止や、決済プロセスの前後での顧客行動や取引パターンの監視、決済後の挙動の監視などが挙げられます。それぞれの場面をつなげた点ではなく、線として考える対策を講じることでより実効的な不正対策が実現できます。

※クレジットカード・セキュリティガイドライン 【5.0 版】より引用

3. 有効な対策について

不正決済の現状と巧妙化する手法と対策方針をうけて、どのような対策が有効といえるでしょうか。

「線の考え方」に基づき不正ログイン対策や決済前後の対策を検討する際、多くの場合は、不正検知システムの導入が有効策となります。
不正検知システムには、大きく2つの種類に大別することができます。
①    ルールベースでの検知システム
②    機械学習を用いた検知システム

それぞれの特徴は以下の通りです。

ルールベースの場合、導入初期から自社で定めたルールで検知することが可能です。しかし、カード決済時点など「特定処理での検知」となり、検知精度やルールチューニングの工数など、運用面での懸念点があります。

機械学習の場合、一定期間の学習時間が必要になりますが、サイト全体を通した挙動を監視することができ、ルールチューニングも不要のため、運用工数の削減にもつながります。

なお、機械学習のソリューションでは、参照するデータの絶対量が重要です。

弊社取扱製品のSiftは、機械学習を用いた不正決済対策ソリューションで、グローバル34,000社から抽出される情報と、サービス（顧客）ごとに学習した内容を組み合わせてリスク判定を行うことで、サービスごとに適した高精度な判定が可能です。加えて、運用面の課題に上がるルールチューニングが不要のため、セキュリティの向上と運用負荷の低減を両立できます。アカウント乗っ取り、不正ログイン、クレジットカードの不正利用など、ECサイト上のカスタマージャーニー全体を通してリアルタイムに不正を検知します。詳細はこちらよりご確認ください。

4. まとめ

本記事では、巧妙化する不正決済の現状と対応方針、並びに有効な対策について解説しました。攻撃者の手法の中には既存の不正検知システムを回避する動きも確認されており、決済時点以外に目を向けた「線の対策」が重要です。

また、線の対策を実施する上では、「どんなツールを用いて実現するのか」ということも検討が必要です。検知精度はもちろんのこと、運用工数やお客様システムに合わせたカスタマイズ性、アカウント乗っ取り対策など、機能の拡張性なども視野に入れた検討が必要となります。

不正検知システムの導入をお考えの方や、既存のシステムで課題感などを抱えている場合は是非弊社までご相談ください。