見出し画像

1番効果的な不正検知とは?4つのタイプにわけて徹底解説

「不正検知」と聞いて、すぐにどんな場面で使われるかをイメージできる方は少ないと思います。「不正検知」とはECサイト(ネットショップ)・宿泊予約サイト等で、商品またはサービス提供を受けたにも関わらず、お金を払わない人または支払いが遅延してしまう人を「見抜く・怪しい行動を検知する」ためのサービスです。不正検知を利用するのはECサイト・店側になるので、購入者側はほとんど意識することはありません。ECサイト側が、正規の注文なのか、不正注文なのかを見極めるツールが「不正検知」です。

当ブログ記事がおすすめの方は

・EC運営に携わる方で不正注文に困っている
・不正検知の導入を考えているが 何をベースに考えるべきか困っている

になります。


ECサイト向けの不正検知とは

手に持つスマホとネットワーク

「不正検知」とは名前の通り不正を見抜くためのシステムです。ECサイトやオンライン決済など、オンラインでクレジットカード決済をする際に、第三者による悪用・不正利用を防止する仕組みです。
2000年にVISAが3Dセキュア1.0を発表し、これが大々的に提供された最初の不正検知となりました。

3Dセキュア1.0とは
クレジットカード情報(カード番号・有効期限など)と、クレジットカード会社に事前登録した本人しか分からないパスワードの入力を組み合わせて行う本人認証サービス。
「VISA」「MasterCard」「JCB」「AMEX」の国際ブランド各社が採用しており、世界標準の本人認証方法となっている。

現在(2021年)の日本では「3Dセキュア」と「不正検知」は別モノとして扱われているので「3Dセキュア=不正検知」ということに違和感を覚える方も多いと思います。その違和感を解消するために3Dセキュアと不正検知の歴史を振り返ります。


3Dセキュア1.0の課題

2000年に提供が開始されましたが、日本ではあまり普及しませんでした。カゴ落ち・売上低減が懸念されたためです。3Dセキュアバージョン1では、クレジットカード会社に事前登録した、本人しか知り得ないパスワードの入力が必要です。パスワードを忘れた方や、そもそもパスワードを事前登録をしていない方も多く、「面倒くさいからもういいや!」と商品購入自体を諦めてしまうという懸念がありました。

失敗して頭を抱える女性

そうした状況を受けて、2000年代中頃からカードブランド以外の企業が開発・提供しはじめたサービスが日本では「不正検知」として広く認知されるようになりました。今回はこの不正検知の進化を世代別に4タイプにわけて解説します。

不正検知サービス発売当初
提供当初は、不正注文者の情報(ブラックリスト)のみが売買されていました。各ECサイトがそのデータを購入し、自社でブラックリストと情報照会・審査するという運用方法。現在ではほとんどのサービスがクラウドサービスになっており、データのアップデート・審査を店側で行う必要はありません。自動で審査され、不正注文は決済しないという仕組みが主流です。


■第一世代(ブラックデータ突合型)

チェックリストにレ点をつける手

ブラックデータというのは「過去に不正注文をした人に関する情報」のこと。住所・電話番号・メールアドレスなどの情報をまとめたブラックリストです。ブラックデータと購入者情報を突合・情報照会し、該当するか否かで判定します。ブラックデータの情報量が多いほど効果を発揮しやすくなりますが、不正注文者もアップデートするのですり抜けられてしまう。メールアドレスは一人で何個も量産できますし、一定期間を過ぎたブラックデータは、すでに使われなくなった情報が含まれるため、量に加えて情報鮮度も重要になってきます。

現在、不正注文・不正購入は組織ぐるみのビジネスとして行われていることが多く、情報更新サイクルが非常に早くなっています。よってブラックデータと突合・情報照会するだけの不正検知は避けるのが賢明です。


■第二世代(しきい値設定型)

書類に書き加えるビジネスウーマンの腕

ブラックデータとの突合・情報照会に加えて、しきい値を設けて、審査対象を絞る機能がついたのが第二世代の不正検知です。

しきい値を設けた審査とは
「3万円以上の注文が入ったら審査する」
「プレミアム商品の注文が入ったら審査する」
「発送先がABC町だったら審査する」
「初購入の注文が入ったら審査する」
など、ルールに基づいて審査することができる機能。

しきい値を設定することで、無駄な審査をしない = 審査費用を抑える = 固定客に不快感を与えないなど、様々なメリットがあります。

ただし最も重要な「ブラックデータと突合・情報照会する」という点においては第一世代と全く同じなので、不正判定の精度という観点からは第一世代も第二世代も大きくは変わりません。

■第三世代(AI搭載型)

画像5

第三世代は審査精度が向上します。

第三世代は、ブラックデータ+しきい値+AIという3つの構成です。
これまでの審査方法を受け継ぎつつAIが付加。AIが搭載されたことで「予測」が可能になりました。AIは膨大なブラックデータから共通パターンや傾向を見出し、「怪しい行動」を見抜きます。実際の注文内容と比較して、不正パターン・傾向に近いのか遠いのかを判定します。

予測例)海外利用だが渡航履歴がないから・・95%の確率で不正利用

第1世代と第2世代では、ブラックデータと突合・情報照合した結果があるかないか、マルかバツかで判断されるシンプルな審査でした。比べてAI搭載型の場合、不正利用の確率をパーセンテージで表すことができるのです。

サービスによって異なりますが、100%なら絶対不正注文、80%なら8割の可能性で不正注文、50%なら半々という具合です。これらのスコアを自動振分けすることで安全な自動出荷が可能になるというメリットがあります。

しかし進化したAI搭載型の不正検知にも課題は残ります。

▼課題1
ブラックデータの「量と鮮度」。ブラックデータの更新頻度など「量と鮮度」が適切に保たれているのかを、利用サイド(ECサイト側)が正確に把握することが難しい。

▼課題2
AIに十分な情報が蓄積されているか
。AIの場合、怪しい行動をする人の行動履歴・ログなどのデータ蓄積が重要となります。どの程度の行動履歴・ログが蓄積されているかは利用サイド(ECサイト側)から見えづらいことが多いのが不安要素です。

そこでAI搭載の不正検知を検討する場合、2つの点に着目しましょう。

1) そのAIエンジンはいつ作られたか?
2) そのAIエンジン用の不正データはいつから集められていたか?

この2点を確認し、期間を軸に考えるとよりよいサービスにたどり着きやすいです。
※10年間程度のブラックデータを保有・蓄積しているAIエンジンが望ましい。
※データを短期間に大量購入・投入することも可能であり、必ずしも期間だけでは計れないため要確認。

このように第三世代は従来のタイプに比べて大幅にアップデートされており、2021年時点の日本のECサイト・オンライン予約サイト等で十分な利用価値があるといえるでしょう。


■第四世代(他認証サービスとの融合型)

タブレットPCの画面を見る二人の女性

現在最も新しいのがこの第四世代です。AI不正検知でも100%不正注文をブロックすることが難しいため、3Dセキュアと組み合わせて活用します。

カゴ落ちリスクが高い3Dセキュアは使う気にならない!

という声が聞こえてきそうですが、心配ご無用。カゴ落ちするのは3Dセキュア1.0であって、2.0はその心配がありません。

VISAの発表によれば、2.0は1.0に比べて、カゴ落ちリスクは7割以上低減しています。弊社がとある国内のECサイトの5か月分のアクセスデータとトランザクションデータを精査したところ、3Dセキュアバージョン2導入後のカゴ落ちは、3Dセキュアバージョン1の9割以上削減されていた。何らかの要因によるカゴ落ち・決済画面からの離脱は常に起こり得るため、9割以上削減されているということは、3Dセキュアバージョン2に起因するカゴ落ちがいかに少ないかを証明しています。

3Dセキュアバージョン2が、なぜカゴ落ちしないのかの詳細については こちらの記事 にあるので、ここでは「カゴ落ちしない」とだけ憶えておきましょう。

3Dセキュアバージョン2は、クレジットカードブランド公式の不正検知であり、取引情報そのものを調べるため、高精度な審査となります。さらに3Dセキュアバージョン2で審査して「問題なし。出荷してよし。」と判定したにも関わらず不正注文だった場合、被害額はカードブランドが負担してくれるという保証付きです。

しかし、ここにも課題が・・

3Dセキュアバージョン2を利用できる決済手段は、2021年9月時点では、VISAとMaster card のクレジットカード決済のみです。それ以外のクレジットカード決済や、後払いサービスなどでは3Dセキュアバージョン2は利用不可のため、第三世代のAI搭載型不正検知との併用が必要になります。

第四世代では3Dセキュアバージョン2と、AI搭載型不正検知を併用することで、「自動審査」が可能になります。「自動で審査する」=「自動で出荷できる」=「EC運営リソースを削減できる」という流れにもつながり、第四世代が果たす役割は大きいでしょう。


まとめ

日本で「不正検知」と言えば、クレジットカードブランド以外の企業が開発した不正検知が広く認知されていました。3Dセキュアは、2000年にバージョン1が提供されるも、カゴ落ち・決済画面からの離脱・売上低減リスクが懸念され、日本のECサイトは導入に二の足を踏んでいた。

このような背景から、クレジットカードブランド以外の企業の不正検知が提供されるようになりました。これから導入を検討している場合は、実績のあるAI搭載の不正検知(第三世代)を検討すると良いでしょう。さらにクレジットカード(VISA Master card)での不正が多いECサイトでは、3Dセキュアバージョン2を活用すれば、高精度で不正をブロックしてくれます。万一不正被害を被った場合もカードブランドがその被害を保証してくれます。

当ブログを運営する イーディフェンダーズ では、第四世代のサービスを導入サポートをしています。10年以上の実績あるAIエンジンを搭載した不正検知と3Dセキュアバージョン2による万全の不正対策をご提案していますので、お気軽にご相談ください。

 



この記事が気に入ったらサポートをしてみませんか?