不正利用によるビジネスの損失は、商品の損失だけにとどまりません。実際、米国の金融サービスにおける決済の不正利用は、1 ドルにつき平均 5.75 ドルのコストがかかります。コストは重層的です。チャージバックは利益率を低下させ、不正利用の調査はスタッフの時間を消費します。不正利用管理のオーバーヘッドは、成長を著しく制限する可能性があります。不正利用リスク管理フレームワークにより、これらのコストを最小限に抑えるための構造化されたアプローチが提供されます。これにより、リスクの露出を理解し、最も重要なリスクを優先し、攻撃パターンの変化に耐えうる管理策を導入することができます。

以下では、不正利用リスク管理とは何か、4 つのフェーズのサイクルが実際にどのように機能するか、そしてビジネスに適したフレームワークを構築する方法について説明します。

主なポイント

• 不正利用リスク管理は通常、特定、評価、軽減、継続的な監視というサイクルに従います。

• オンラインビジネスに最も大きな打撃を与える傾向がある不正利用のタイプ (CNP 不正利用、アカウント乗っ取り、フレンドリーフロードなど) は、リモートのデジタル取引に残された隙を悪用します。

• 不正利用リスク管理ポリシーは、明確な所有者、定義されたリスク選好度、および最初から組み込まれたレビュー頻度が含まれている場合にのみ機能します。

不正利用リスク管理とは？

不正利用リスク管理とは、金銭的利益を目的としてビジネスが悪用される手口を特定、評価し、対応するプロセスです。一般的なリスク管理とは、不正利用には意図が伴うという重要な点で異なります。管理策を意図的に回避しようとする人々の行動から保護することが求められます。

不正利用リスク管理の仕組み

不正利用リスク管理サイクルには、特定、評価、軽減、継続的な監視という 4 つのフェーズがあります。それぞれのフェーズは前のフェーズに基づいています。

不正利用リスクの特定

攻撃対象領域 (取引フローがどのようなものか、人間がどこでやり取りするか、どこが自動化されているか) から始めます。CNP 取引量が多いビジネスは、対面で決済を受け付けるビジネスとは異なる攻撃ベクトルに直面します。過去の不正利用データは出発点ですが、それはすでに発生した不正利用についての情報しか提供しません。パターン分析とビジネスモデルのマッピングは、脆弱性が悪用される前にそれを明らかにするのに役立ちます。

不正利用リスク評価

すべての不正利用リスクが同じというわけではなく、同じように扱うことはできません。各リスクを発生の可能性と影響の 2 軸でスコアリングします。発生の可能性は、同種のビジネスにおいて特定のタイプの不正利用がどれくらいの頻度で発生するかを反映します。たとえば、eコマースでは CNP 不正利用が一般的ですが、サブスクや融資商品ではファーストパーティの悪用の方が普及しています。影響には、金銭的損失、チャージバック手数料、改善策のコスト、および顧客体験の低下が含まれます。発生の可能性が高く、影響の大きいリスクには、ただちに対処し、専用の管理策を講じる必要があります。

不正利用リスクの軽減

軽減策では、評価を 3 つのレイヤーの管理策に変換します。予防的統制は、不正利用が発生する前にそれを阻止します。発見的統制は、進行中またはその直後の不正利用を捕捉します。対応手順では、アカウントの停止、不審請求の申し立てのための反証資料の収集、必要に応じた法執行機関へのエスカレーションなど、不正利用が確認された後の対応を定義します。予防にのみ依存していると、新しい攻撃ベクトルが出現したときに無防備になる可能性があります。

継続的な監視とレビュー

不正利用のパターンは変化するため、半年前に効果があった管理策が現在も機能するとは限りません。不正行為者は手口を共有し、新機能は新たな脆弱性を生み出し、攻撃ベクトルは年次のレビューサイクルで追跡できるよりも早く発展します。四半期ごとのレビューが合理的なベースラインであり、チャージバック率の大きな変化、新製品の発売、または確認された不正利用インシデントによってアドホックなレビューがトリガーされます。

不正利用リスク評価の実施方法

不正利用リスク評価は、リスクの露出に関する構造化された監査です。関連するステップは以下のとおりです:

• スコープの定義: ビジネス全体、特定の製品ライン、または特定の取引タイプのいずれを評価するかを決定します。スコープにより、資産インベントリーに含める内容と、関与する必要がある担当者が決まります。

• 取引マップの作成: 取引フローにおいて不正利用が発生する可能性があるすべてのポイントを文書化します。eコマースビジネスでは、決済、アカウント作成、決済手段の保存、返金、不審請求の申し立てが含まれます。これらはそれぞれ潜在的な攻撃対象領域です。

• 不正利用シナリオの特定: 各タッチポイントで、不正行為者が何を実行可能か (例: 決済時のカードテスティング、ログイン時のアカウント乗っ取り、不審請求の申し立て段階でのフレンドリーフロード)、および何を得るかを検討します。シナリオを特定することで、評価と軽減がはるかに容易になります。

• 発生の可能性と影響のスコアリング: 過去のデータ、業界のベンチマーク、および決済代行業者の入力データを使用します。発生の可能性のスコアには、一般的な業界平均ではなく、実際の取引量と顧客プロファイルを反映させる必要があります。影響スコアでは、直接的な金銭的損失、チャージバック手数料、改善策のコスト、および顧客体験の低下を考慮する必要があります。

• 優先順位付けと所有者の割り当て: 優先順位の高いリスクには、管理を担当する特定の担当者またはチームが必要です。所有者が明確でないと、管理策は導入されず、レビューも行われません。

• 文書化とレビュー日の設定: 不正利用リスク評価の出力は生きた文書であり、最初からレビューの頻度を関連付ける必要があります。

eコマースおよび金融プラットフォームにとって最も重要な不正利用リスクとは？

通常、オンラインビジネスに最も大きな打撃を与える不正利用のタイプは、物理的な本人確認の欠如を悪用するものです。以下が含まれます:

CNP 不正利用

CNP 不正利用は、盗まれたカード情報または侵害されたカード情報が、カードが物理的に存在しないチャネル (オンライン決済、電話注文、継続課金、アプリ内課金など) での購入に使用された場合に発生します。カード自体がやり取りされることはないため、多層的な検証を行わずに検出することは困難です。CNP 不正利用の発生率は、新しい認証情報のセットがダークウェブのマーケットプレイスに流入する、大規模なデータ漏えいの後にピークに達する傾向があります。

アカウントの乗っ取りによる不正利用

クレデンシャルスタッフィング (盗まれたユーザー名とパスワードの組み合わせを多くのサイトでテストする自動攻撃) は実行コストが低いため、アカウント乗っ取りによる不正利用が一般的な脅威となっています。不正行為者は、漏えいしたユーザー名とパスワードの組み合わせを使用して顧客アカウントにアクセスし、配送先住所を変更したり、新しい決済手段を追加したり、保存されている価値を流出させたりします。ビジネス側が適切に対応した場合でも顧客の信頼を損なうため、特に深刻な被害をもたらします。

フレンドリー不正利用

フレンドリーフロードは、チャージバック詐欺とも呼ばれ (より広範なファーストパーティフロードに分類されることもあります)、正当なカード会員が購入を行った後、銀行に不審請求を申し立てることで発生します。商品を受け取っていない、または取引をオーソリしていないと主張します。決済代行業者やビジネスのカテゴリーによってしきい値は異なりますが、取引量の約 1% を超える不審請求の申し立て率は一般的な警告サインです。

ポリシーの悪用

不正利用と正当な顧客行動の中間に位置するポリシーの悪用には、不正な返金、プロモーションコードの重ねがけ、紹介制度の悪用が含まれます。必ずしも組織的な犯罪集団の仕業とは限りません。一般の顧客がポリシーの抜け穴を悪用している場合もあります。いずれにせよ金銭的な影響は事実であり、関連する管理策は決済時の不正利用防止策と重複します。

不正利用リスク管理フレームワークは、日常的に使用するツールとどのように連携するのか？

実行を伴わない不正利用リスク管理フレームワークは、単なる文書にすぎません。戦略から日々の不正利用防止への変換は、以下の 3 つのカテゴリーのツールを通じて行われます:

• ルールエンジン: これらはロジックベースの管理策であり、新しいアカウントからの一定額以上の取引をブロックしたり、請求先と配送先の国が一致しない注文にフラグを付けたり、リスクの高い商品カテゴリーに追加の確認を要求したりすることができます。ルールは高速かつ透明性が高いですが、静的です。巧妙な不正利用は既知のルールにすぐに適応するため、ルールベースのシステムだけでは不十分です。

• 機械学習モデル: 手動で処理できるルールエンジンよりもはるかに大規模な機能セットに対して取引を分析します。十分にトレーニングされたモデルは、数百の変数を同時に比較検討し、数ミリ秒でリスクスコアを生成できます。トレードオフとなるのは不透明性です。機械学習モデルは取引が不審であると判断された理由を常に明確に説明するとは限らないため、不審請求の申し立ての解決やカスタマーサービスが複雑になる可能性があります。

• 監視とアラートシステム: これらによってループが閉じられます。リアルタイムのダッシュボード、チャージバックアラートの連携、自動化されたレポートにより、何かが変化したときに通知されます。監視が行われていないと、レビューサイクル間に脆弱性を発見することはできません。

Stripe Radar は、Stripe の決済インフラ内でこれら 3 つのレイヤーすべてを統合します。Radar の機械学習モデルは、Stripe ネットワーク全体の取引データでトレーニングされているため、お客様のビジネス単独では生成できないシグナルを活用できます。独自のカスタムルールを重ねて適用し、特定の取引タイプに 3D セキュアを要求したり、既知の不正利用パターンに一致する注文に対してフリクションを追加したりできます。ネットワークレベルのインテリジェンスとビジネス固有のルールは、単独ではなく組み合わせて機能します。

ビジネスにおける不正利用リスク管理ポリシーの構築方法

不正利用リスク管理ポリシーは、フレームワークを正式なものにします。何を保護するのか、誰が保護する責任を負うのか、そして問題が発生した場合にどうなるのかを定義します。

ポリシーを作成する方法をステップごとに説明します:

• ポリシーのスコープと目的の定義: 具体的に設定します。「業界標準の不正利用および不審請求の申し立てのしきい値を下回る状態を維持する」という目的は有用ですが、「不正利用を減らす」という目的は有用ではありません。

• 明確なリスク選好度に関する声明の作成: これにより、チームが一貫した意思決定を行えるようになります。「管理策を強化する基準として、カード取引における不正利用率は最大 0.1% まで許容する」は明確な声明ですが、「不正利用を深刻に受け止める」は明確ではありません。

• 導入した特定の管理策のリストアップ: 防ぐように設計されている内容と、その所有者を含めます。網羅的である必要はありませんが、新しいチームメンバーが読んだだけで不正利用防止の体制を理解できる程度に具体的である必要があります。

• エスカレーション手順の確立: エスカレーションのトリガー、不正利用のしきい値を超えた場合の通知先、および確認されたインシデントに対する対応のタイムラインを定義します。事態が急速に進展し、プロセスをゼロから学習する時間がない場合、これらの手順が最も重要になります。

• レビュー頻度の設定: ポリシーはいつレビューされ、どのような場合にサイクル外のレビューが行われるのでしょうか？これを前もって定義しておかないと、実行されない可能性があります。

Stripe Radar でできること

Stripe Radar は、Stripe のグローバルネットワークのデータで学習した AI モデルを使用して不正利用を検知・防止するツールです。最新の不正傾向に応じてモデルを常に更新し、不正利用の手口が進化してもビジネスを守ります。

Stripe はこのほか、Radar for Teams も提供しています。ユーザーは自社ビジネス特有の不正シナリオに対応するカスタムルールを追加でき、高度な不正分析情報にアクセスできます。

Radar は以下のことに役立ちます。

• 不正利用による損失の防止: Stripe は年間 1 兆ドルを超える決済を処理しています。この規模だからこそ、Radar は不正利用を正確に検知・防止し、コスト削減に貢献します。

• 収入の向上: Radar の AI モデルは、実際の不審請求の申し立てデータ、顧客情報、閲覧データなどをもとに学習しています。これにより、Radar はリスクの高い取引を特定し、誤検知を減らして、収入向上に貢献します。

• 業務効率化: Radar は Stripe に組み込まれており、設定のためのコーディングは一切不要です。1 つのプラットフォームで不正利用への対応状況の監視やルールの作成などができるため、業務効率が向上します。

Stripe Radar の詳細を見る、または今すぐ始める