事業者が知っておくべき「決済の不正利用の検知と対策」

デジタル革命によって、ビジネス取引は変化し、成長とグローバル展開のための新たな価値やビジネスチャンスがもたらされています。その一方で、組織はますます決済の不正利用のリスクにさらされています。日本クレジットカード協会が行った調査によると、2023年のクレジットカード不正利用被害額は過去最悪の540.9億円にも上り、2022年よりも104億円増加しています。

不正行為者は多種多様な手口で決済システムの脆弱性につけ込もうとするため、決済の不正利用はさまざまな形で行われます。進化する脅威に先手を打って対応するためにも、事業者自身が決済の不正利用の防止と検知に関する知識を深めることが重要です。本記事では、不正利用の手口、決済の不正利用に対する効果的な対処法や、取引の安全性を確保するために役立つ戦略などをご紹介します。

決済の不正利用の種類

「フィッシング」

不正行為者が詐欺的なメールやテキストメッセージ、ウェブサイトを使用して個人を騙し、ログイン認証情報やクレジットカード番号、個人データなどの機密情報を搾取するものです。その後、不正行為者はこれらの情報を使って、不正取引など金融詐欺を実行します。

対処法

• メール送信者の確認徹底など、フィッシングメールを見分け、安全な閲覧の仕方を実践する
• ファイアウォールや侵入検知システム、ネットワークセグメンテーションを導入して社内システムを保護するとともに、ソフトウェアとシステムを最新の状態に保つ
• ログやネットワークトラフィック、システムデータを分析して、フィッシング攻撃や他の不審な行動の可能性がある挙動を検知し、対応する

「スキミング」

クレジットカードやデビットカードの情報を抜き取るために用いる手口です。不正行為者はATMやPOS端末に「スキマー」という小型の装置を取り付けます。カードを読み込むと、スキマーがカード情報を収集し、不正行為者がその情報を使って偽造カードを作成したり、不正な取引を実行したりします。

対処法

• POS端末やATMを定期的に点検して、改ざんの痕跡や、不正な機器であることを示す点などがないか確認する
• セキュリティシールやセキュリティロックなど、不正開封防止用のセキュリティ対策を導入する
• スキミングの影響を受けにくいチップとPINまたは非接触型決済技術にアップグレードする

「なりすまし犯罪」

マイナンバーカード、銀行口座情報、クレジットカード番号など、他人の個人情報を不正に入手・使用して、本人になりすまします。あるいは、不正な購入や新規口座開設といった形の不正行為を実行することもあります。

対処法

• 暗号化、安全な保管、アクセス制御など、強固なデータセキュリティ対策を実施する
• 異常な行動や不審な行動がないか、取引とアカウント活動を監視する
• オンラインアカウントとオンライン取引には多要素認証を使用する

「不正チャージバック」

「フレンドリー詐欺」とも呼ばれるもので、顧客が本人のクレジットカードを使用して購入した後、商品を受け取っていない、あるいは取引を承認していないと主張して、カード発行会社に対し、その請求について虚偽の不審請求の申請をすることを指します。不正行為者の目的は、商品やサービスを保持したまま返金を得ることです。

対処法

• 取引時に顧客の身元と請求先情報を確認する
• 不正検知ツールを導入し、不審な取引にはフラグを立ててレビューできるようにする
• チャージバックの傾向を監視し、その傾向に合わせて戦略を適応させる

「非対面カードによる不正利用」

オンラインや電話での購入など、現物のカードの提示が求められない場合に行われる不正取引を指します。不正行為者は盗み出したクレジットカード情報を使って不正な購入を行いますが、カードの認証ができないため、検知も防止も困難な場合があります。

対処法

• オンライン取引には住所確認サービス（AVS）とカード検証値（CVV）チェックを利用する
• 機械学習アルゴリズムなどの不正検知ツールを導入して、不審な取引をリアルタイムで特定し、フラグを立てる
• PCIデータセキュリティ基準（PCI DSS）に従い、機密性の高いカード保有者データを保護する

不正防止計画を立てるためには

まずは不正リスク評価を行い、事業に最も関連性の高い決済の不正利用の種類を見極めることが重要です。「誰が」「どのような目的で」「どのような手口を使って」不正を実行するのかという不正シナリオの仮説を立てる方法です。そして不正リスク評価に基づき、不正が発生する可能性、不正が起こった際の金銭的損失や社会からの評判など、特に重大な脅威と脆弱性にそれぞれ優先順位を付けます。それによって、どの不正防止対策を最初に実施すべきかを判断し、対応策を組み合わせて取り入れることが可能になります。

戦略の策定ができれば、人員、予算や技術などのリソースを確保し、戦略に沿って不正防止対策を実施します。対策の有効性については、監視と評価を行うことで必要に応じて戦略を調整し、新たな脅威やビジネスニーズの変化に対処するための新しい戦略を取り入れていきます。

Eコマースの普及に伴い、さまざまなタイプの不正利用が世界中で増加しています。特にオンライン決済を導入している企業は、不正利用などで事業が停滞してしまわないよう、リスクを理解し解決策を講じておく必要があるでしょう。

Stripeは「インターネットのGDPを拡大する」という使命を掲げる中で、世界中で増加する不正利用に特化したソリューションも展開しています。不正行為は世界中で行われており、日々巧妙に、そして複雑になってきています。不正利用対策はスタートアップからエンタープライズまで企業規模を問わず重要な観点であり、世界で起きている幅広い不正行為に対する知見を元に常に更新しているStripeのソリューションを多くのユーザー企業の皆様に導入いただいています。不正利用対策を確実に行い、リスクを最小限に抑えることで、更なる成長を後押しして参ります。

Stripeが提供する、不正利用に対するソリューション

Stripe Radar
Stripe ネットワークから得た数千のシグナルを使って、機械学習を常に進化させます。不正利用のリスクを評価するために、決済フローや取引に関する豊富なデータ、カードネットワークや銀行情報を統合することで、機械学習の精度を向上し、すべての支払いを監視し、不正利用を未然に防ぎます。Stripe Radarでは年間４億ドル相当の不正を防いでいます。全ての処理は100ミリ秒未満で行われており、それでいて99.999%以上の正常な取引を通過させることができます。

3Dセキュア2（EMVセキュア）への対応
3Dセキュア2は主要カードネットワークが設けている追加認証で、経済産業省は2025年3月を目処に3Dセキュア2の導入を義務化することを発表しました。Stripeは3Dセキュア2への対応も行っています。

Stripe Checkout
Stripe Checkoutは、コンバージョン率を最適化する構築済みの決済フォームです。機能学習を使って、不正使用を検知してくれます。

▼Stripeについて
https://stripe.com/jp

あわせて読みたい

増加するECサイトへの攻撃に対し、事業者はどのように取り組むべきか？被害にあった際の対応方法

2024.1.18

不正利用を未然に防ぐ方法（おさらい） 前回の記事「コストを掛けずに対策する方法について」で説明したECサイトへの攻撃に関して、おさらいとして主な攻撃２点を以下にまとめます。 クレジ...

顧客情報を守れ！ECサイトのセキュリティ対策とは？

2023.11.27

私たちが日常的に利用するネットショッピング。 いつでもどこでもお買い物をスムーズに行える一方で、背後ではサイバー攻撃との戦いが絶えません。 攻撃者たちは、顧客の個人情報やクレジット...

EMV 3Dセキュア（3Dセキュア2.0）とは？補償対象外となる1.0とのと違いや移行を推奨する理由を解説

2022.11.7

EMV 3Dセキュア（3Dセキュア2.0）とは？ 3Dセキュアは、より安全にインターネット上でクレジットカード決済を行うために用いられる本人認証サービスです。旧式の3Dセキュア1....