.001.png&w=3840&q=90)
概要
オンラインサービスの運営において、クレジットカードの不正利用は避けられないリスクの一つです。不正利用が発生すると、ビジネスに多大な損害が生じるだけでなく、ユーザーからの信頼も損なわれる可能性があります。本記事では、クレジットカード不正利用の代表的な手口、実際に起きた事例、そして具体的なリスク対策方法について解説します。
目次
- 概要
- 目次
- 目的
- 対象読者
- PR
- 本文
- クレジットカード不正利用とは?
- クレジットカード不正利用の具体事例
- 出品されている商品・サービスを購入
- 架空の商品の出品、および購入
- クレジットカード不正利用によるビジネス上のリスク
- チャージバックの発生
- 事務負担の増加
- 決済承認率の低下
- CS(カスタマーサポート)負担の増加
- サービス監視コストの増加
- 不正利用対策で行ったこと
- 複数アカウント対策
- 3Dセキュアの導入
- 不正検知システムの導入
- 独自のチューニング
- まとめ
- PR
目的
筆者はCtoCのマーケットプレイスの開発・運用経験があり、実際にクレジットカードの不正利用にも遭遇し、対策を行った経験があります。本記事は以下を目的としています。
筆者が体験した具体例をもとに、
- クレジットカードの不正利用の手口について知る
- クレジットカードの不正利用の対策について知る
対象読者
Eコマースなど、クレジットカード決済に関わるオンラインサービスの事業責任者。
PR
UZUMAKIではアジャイル開発で新規事業の開発から、大規模Webアプリケーションのアーキテクチャ更新などの開発をしています。
お問い合わせはUZUMAKIのHPのお問合せフォームから
本文
クレジットカード不正利用とは?
クレジットカード不正利用とは、第三者がカード所有者の同意なくカード情報を使用し、不正に商品やサービスを購入したり現金を引き出したりする行為を指します。
主な手口としては、カード情報の盗用、フィッシング詐欺、カードの偽造、盗難カードの利用などがあります。近年では、オンライン決済の増加に伴い、不正利用の手口がますます高度化・巧妙化しています。
特に新規の事業において、事業の成長を優先しているフェーズではクレジットカードの不正利用対策が不十分な場合が多く、気がついたら自社のサービスがクレジットカード不正利用のターゲットになっていた。。。ということが起こり得ます。
クレジットカード不正利用の具体事例
以前に私が関わったマーケットプレイス型サービスにおいて起きたクレジットカードの不正利用に関して事例を紹介します。
該当のサービスは、事業の成長フェーズであり、ユーザーの利便性を優先していてクレジットカード不正利用対策を何も行っていませんでした。しかし、ある日突然、以下のようなクレジットカード不正利用の被害を受け始めました。
出品されている商品・サービスを購入
正規ユーザーが出品した商品・サービスを、悪意のあるユーザーが不正に入手したクレジットカードで決済して購入する手口です。クレジットカード不正利用で購入された商品・サービスは転売され、購入者側が利益を得ます。
架空の商品の出品、および購入
悪意のあるユーザーが実際には存在しない架空の商品・サービスを大量に出品し、複数アカウントを使って不正に入手したクレジットカードで決済して、売上代金を得るという手口です。
マーケットプレイス型のサービスはユーザー間で取引が進むため、特に悪用されやすい構造になっています。
クレジットカード不正利用によるビジネス上のリスク
クレジットカード不正利用により、以下のような様々なビジネス上のリスクが発生します。
チャージバックの発生
不正利用が発覚すると、不正に決済された購入代金を加盟店が返金する義務(チャージバック)が発生します。つまり、取引を仲介しているサービス運営会社が多額の損害を被ることになります。
事務負担の増加
不正な決済に関する調査依頼がクレジットカード会社から届きます。これは必ず協力する必要があり、該当の決済に関連した情報を指定されたフォーマットで提供する必要があります。この事務作業に対して社内リソースを割く必要があります。
決済承認率の低下
サービスの決済で不正利用が多発すると、カード会社からの信頼が低下することで、決済の承認率も低下します。つまり、不正利用を行っていない正規のユーザーの決済が拒否され、カゴ落ち(購入意思のあるユーザーが購入手続きの途中で離脱すること)が増えることで売上への影響があります。
CS(カスタマーサポート)負担の増加
決済承認率の低下により、正規ユーザーからカード決済が通らないという問い合わせが増えます。また、クレジットカードを不正利用されたカード所有者から、身に覚えのない請求に対してサービス運営への問い合わせが増えます。これにより、CSの負担も大きくなります。
サービス監視コストの増加
特にマーケットプレイス型のサービスではユーザー間で取引が進むため、放っておくだけでもクレジットカードの不正利用が発生してしまいます。 発生した取引ごとにサービス運営会社がチェックを行い、不正利用しているかの判断して取引を中断させる必要があります。
不正利用対策で行ったこと
複数アカウント対策
不正利用をはたらくユーザーは、不正利用のためにアカウントを複数作成する傾向にありました。
そのため、以下のような複数アカウントの作成を防止する対策を取りました。
- SMS認証
- メールアドレス認証
- 使い捨てメールアドレスの使用禁止
- 同一IPアドレスのユーザー検知
- eKYC
3Dセキュアの導入
カード決済時に3Dセキュア(以下、3DS)を実施することでライアビリティシフト(債務責任の移行)が適用され、チャージバックを回避することができました。しかし、3DSを実施しただけで不正利用がなくなるわけではありませんでした。
3DSはリスクベース認証方式(利用者のカード利用履歴や使用デバイスなどからリスクを判定する方式)であり、認証時のリスクに応じて2つの認証フローが選択されます。認証フローにはチャレンジフロー(不正利用の可能性が高いと判断された場合に本人認証が実施される)とフリクションレスフロー(不正利用の可能性が低いと判断された場合は本人認証がスキップされる)があります。前者のチャレンジフローはワンタイムパスワードなどの本人認証が必要となるため、本人以外の利用者の認証防止に効果的です。一方、後者のフリクションレスフローはワンタイムパスワードなどの本人認証がスキップされるので、この認証フローが悪用されるケースがありました。
具体的には、悪意のあるユーザーが不正に入手した複数のクレジットカードを1枚ずつ決済を試していき、フリクションレスフローが選択されるカードが見つかるまで決済を繰り返す行為が散見されました。このような手口が多発すると決済承認率に影響が出ると考えられるので追加の対策を行いました。
不正検知システムの導入
決済承認率への影響を防ぐために、3DSに加えて不正検知システムを導入しました。
不正検知システムは、主に蓄積された過去の不正利用ユーザーの情報をもとに不正利用を検知する仕組みです。3DSよりも判定に用いる情報が多いため、不正利用リスクを洗い出す精度が高まります。
不正検知システムの代表的なものを紹介します。
- O-Plux(https://frauddetection.cacco.co.jp/o-plux/)
- ASUKA(https://akuru-inc.com/service/asuka/)
- Sift(https://sift.scudetto.com/)
- CAFIS Brain(https://www.nttdata.com/jp/ja/lineup/cafis_brain/)
- Stripe Radar(https://stripe.com/jp/radar)
独自のチューニング
不正検知システムに加えてサービス特有のリスク条件を使って取引を一時保留にする機能を実装しました。 例えば、3DSにより何度も決済に失敗している商品や購入者をリスクの高い取引と判断して、購入された後に取引を一度保留させ、運営によるチェックを行う仕組みを構築しました。
まとめ
クレジットカード不正利用は、オンラインサービスを運営する上で大きなリスクです。 事業内容や成長フェーズによって適切な対策を講じることで、不正利用による被害を最小限に抑える事が可能です。本記事が少しでも皆様の事業のお役に立てれば幸いです。
PR
XではUZUMAKIの新しい働き方や日常の様子を紹介!ぜひフォローをお願いします!
noteではUZUMAKIのメンバー・クライアントインタビュー、福利厚生を紹介!
UZUMAKIではRailsエンジニアを絶賛募集中です。
↓の記事を読んでご興味を持っていただいた方は、ぜひ応募よろしくお願いします!
是非応募宜しくおねがいします!