2022 年の LexisNexis による調査によると、1 ドルの不正利用ごとにアメリカの事業者が被るコストは平均 3.75 ドルで、この数字は今後も上昇するものと見込まれています。しかし不正利用は、評判の悪化や顧客からの信頼の失墜など、金銭的損失に留まらない二次的な影響ももたらすものであり、ビジネスの長期的な成功に影響を及ぼす可能性があります。

EC ストアとデジタル取引の世界的な急増に伴い、サイバー犯罪者がセキュリティシステムの弱点に付け込み、何も知らない被害者を巧妙に利用するケースが増えています。不正行為者の用いる手口がさらに巧妙化する中、事業者はリスクの低減と金銭的損失の防止を図るための戦略を進化させる必要があります。

この記事では、複数ある不正取引の種類、大量の不正取引が発生しやすくなる状況、さらに攻撃の防止、検知、対応に向けて事業者ができる対策についてご説明します。

この記事の内容

• 不正取引とは
  
• 不正取引の種類
  
• 不正取引はなぜ起きるのか
  
• 不正取引を防止するには
  
• Stripe ソリューションによる不正取引の検知・防止方法
  

不正取引とは

不正取引とは、決済手段や金融システムの使用を伴う不正または違法な行為のことで、通常、口座名義人からの適切な同意や許可を得ずに金銭、商品またはサービスを得ることを目的に行われます。この種の取引は、なりすまし犯罪や支払い情報の盗み取り、詐欺行為などを伴うことが多く、口座名義人、事業者、または金融機関を欺き、金銭的損害をもたらす目的で行われます。

不正取引の種類

金融システム内で起こりうる不正利用には、多くの種類があります。ここではその例をいくつかご紹介します。

クレジットカードの不正利用

クレジットカードまたはその情報を不正に使用して、カード保有者の許可なく購入、現金の引き出し、または送金を行う手口です。よくあるのは以下のような種類です。

• 非対面カード支払い (CNP) による不正利用: 非対面カード支払いによる不正利用は、オンライン取引や電話取引において、現物のカードを必要としない場合に発生します。
  
• スキミング: ATM や POS 端末に設置されたスキミング装置でカード情報を盗み取る手口です。
  
• 偽造カード: 偽造カードとは、盗み出したカード情報を使った偽のカードのことです。
  

なりすまし犯罪

なりすまし犯罪とは、他人になりすまして、本人の知らないうちに、または本人の同意なく、本人の金融口座へのアクセス権を取得する、融資を得る、あるいは取引を行う行為をいいます。社会保障番号や生年月日など、盗み出された個人情報が使われる場合もあります。

小切手詐欺

このシナリオでは、改ざんされた、偽造された、または盗まれた小切手を不正行為者が使用して、許可なく資金を引き出したり支払ったりします。手口としては、たとえば以下のようなものがあります。

• 小切手の偽造: 他人の口座情報を使って偽の小切手を作成する手口。
  
• 小切手の洗浄: 正規の小切手から情報を除去し、不正な内容に差し換える手口。
  
• 小切手の盗難: 正当な所有者に無断で持ち出した小切手を使う手口。
  

電信詐欺

電信詐欺とは、電子通信や金融システムを不正に利用して資金を送金することをいい、多くの場合、虚偽表示や詐称を通じて行われます。送金詐欺では、フィッシング詐欺やビジネスメール詐欺 (BEC) など、人をだますことを目的とした手法が用いられる場合があります。

オンライン決済の不正利用

オンライン決済の不正利用は、オンライン決済プラットフォームやデジタルウォレットを介した不正取引です。これには、アカウントの乗っ取り、フィッシング詐欺、盗み出された支払い情報の使用などが含まれる場合があります。

住宅ローン詐欺

住宅ローン詐欺とは、ローンを組むため、またはローン条件を良くするために、住宅ローンの申込書に虚偽の情報や誤解を招くような情報を記入することをいいます。これには、収入の虚偽表示、過大査定、書類の不正などが含まれる場合があります。

保険金詐欺

保険会社に虚偽の請求をしたり、誤解を招くような情報を提出したりすることにより、不当な給付や支払いを受けることを指します。これには、事故を装う、損害や傷害を誇張する、虚偽の書類を提出するといった行為が含まれる場合があります。

投資詐欺

投資詐欺とは、偽の投資商品や証券の販売など、詐欺的な手法で投資家や金融市場を欺き利用する行為を指します。よくある種類の投資詐欺としては、ねずみ講、パンプ・アンド・ダンプ・スキーム、インサイダー取引などが挙げられます。

テクノロジーとグローバリゼーションによって、私たちの経済と決済システムの再構築が今後も続くにつれて、不正取引の種類は増加し、進化することでしょう。事業者も顧客も、このことを前提としておくべきです。

不正取引はなぜ起きるのか

不正取引が近年増加する中、こうした不正行為がいったいどのような状況から起きているのか、疑問に思われるかもしれません。根本にある動機と全体的状況を把握することは、ビジネスを保護する計画を構築するうえで重要なステップです。不正取引の一般的な要因には、たとえば以下のようなものがあります。

• 金銭的動機: 大半の不正行為者にとって主な動機となっているのは、金銭的な利益です。犯罪実行者は、資金、商品またはサービスを対価なしで得られる、あるいは違法な手段で利益を得られるという見込みに釣られて、このような犯罪に走っている可能性があります。

• 技術の進歩: 技術がますます高度化する中、不正行為のための新たな手段が登場し、不正利用の起こりやすい状況が生まれています。サイバー犯罪者は、セキュリティの脆弱性につけ込んだり、マルウェアを開発したり、ソーシャルエンジニアリングの手法を使うなどして、機密性の高い金融情報にアクセスする可能性があります。

• 匿名性: インターネット上やデジタル取引において、不正行為者が匿名で活動することが容易になり、当局にとって、不正行為者を特定して逮捕するのがさらに困難になっています。

• 情報へのアクセスのしやすさ: データ漏洩や、ソーシャルメディア、公的記録を通じて個人情報や金融情報が広く入手できるようになったことで、犯罪者がなりすまし犯罪や他の種類の不正行為に必要なデータを容易に収集できる状況が生まれています。

• 金融システムの複雑さ: 金融システムは本質的に複雑なものであるため、セキュリティや規制、監視の弱点やすき間につけ込む不正行為が起こりやすい傾向にあります。

• 認識不足: 顧客と事業者の多くは、不正取引に関連するリスクや、十分なセキュリティ対策の重要性をきちんと認識していない可能性があり、不正利用による被害を受けるケースが多くなっています。

• ソーシャルエンジニアリング: 不正行為者は心理操作の手法を使って被害者をだます、信頼や権威を利用して機密情報を引き出す、アカウントへの不正なアクセス権を得るといった行為をよく行います。

• 脆弱なセキュリティ対策: セキュリティプロトコルが十分でなかったり、システムが旧式のものであったり、認証プロセスが脆弱であったりすると、犯罪者が簡単にアカウントに侵入して不正取引を実行できてしまいます。

不正取引を防止するには

事業者は、金融資産を守り、顧客データを保護し、評判を維持するために、不正取引に対する積極的な防止措置、検知、対応が必要です。不正使用への包括的な対策戦略を実施することで、不正行為に関連するリスクを最小化できます。

各事業者が採用すべきアプローチは、個々の事業者に固有のニーズや脆弱性によって異なりますが、ここでは、大半の事業者に必要な対策をご紹介します。

• 強固なセキュリティ対策の導入
  最先端のセキュリティ技術を導入して機密データとシステムを保護します。導入すべきものには、多要素認証 (MFA)、暗号化、安全な通信チャネルの使用、さらには、最新のセキュリティパッチによるソフトウェアとシステムの定期更新などが含まれる場合があります。

• 従業員のトレーニングと意識向上
  よくある不正行為の手口、危険信号、機密情報を保護するためのベストプラクティスに関して、従業員を教育するための包括的なトレーニングプログラムを確立します。従業員が、自分には不審な行動やインシデントを報告する権限があると感じられるような、セキュリティ意識の高い組織文化を醸成しましょう。

• 取引とアカウントの監視
  人工知能 (AI) や機械学習アルゴリズムなど、高度な不正検知ツールを使用して、取引データ内から、通常見られないパターンや異常を見つけ出します。取引制限、スピード規制、定期的なアカウント審査を実施して、リスクの高い取引を素早く検知し、そのリスクを低減しましょう。

• 強力な内部統制の導入
  内部不正が生じるリスクを最小化できるよう、組織内のチェック・アンド・バランスのためのシステムを開発し、維持します。これには、職務の分離、従業員の身元調査の実施、内部プロセスと内部統制に対する定期監査などが含まれます。

• 顧客確認プロセスの強化
  顧客の身元を確認し、アカウントの乗っ取りやなりすまし犯罪を防止するための厳格な手順を導入します。サードパーティーのデータベースや信用調査機関と連携して、顧客情報を検証しましょう。

• 他の事業者や金融機関との連携
  他の事業者や金融機関と強固な関係を築いて、不正利用の傾向や防止戦略、ベストプラクティスに関する情報を共有します。業界団体や不正対策の専門団体と連携して、新たな脅威に先手を打って不正利用に対処できるようにしましょう。

• 不正利用への対応計画の策定
  不正行為の調査と対応に関するわかりやすいプロトコルなど、不正利用への明確な対応計画を策定します。インシデントを管理し、必要に応じて法執行機関と連携する業務を担当する、専属の不正対応チームを設置しましょう。

• 顧客との明確なコミュニケーションの維持
  潜在的な不正リスクについて顧客に伝え、自分のアカウントを注意深く監視するよう促します。強力なパスワードを作成することや、個人情報の取り扱いに注意を払うことなど、不正行為から自身を守る方法についてのガイダンスを提供しましょう。

こうした対策を講じることで、不正行為者にとってさらに侵入が困難な、より安全な環境を築くことが可能になります。EC ストアでの不正利用の検知・防止に向けた積極的かつグローバルなアプローチについて、詳細はこちらをご覧ください。

Stripe ソリューションによる不正取引の検知・防止方法

Stripe Radar は、包括的な Stripe の決済ソリューションの不可欠なコンポーネントで、Terminal、Checkout、Connect と連携し、不正利用の強固な検知・防止機能を事業者とプラットフォームに提供します。Stripe はこうしたあらゆる機能を備えたソリューションを通じて、シンプルな決済体験を確保しながら不正取引に対処する、統合的なアプローチを実現させています。

以下では、これらのソリューションが Stripe Radar とどのように連携し、複数のチャネルにおける不正取引に対応しているかについて、概要をご説明します。

• Stripe Terminal
  Stripe Terminal は、カスタマイズされた安全で拡張可能な対面支払い体験を構築するためのツールを事業者に提供します。Radar の高度な機械学習モデルと不正検知機能が Terminal に導入されているので、対面カード支払いと非対面カード支払いの両方の取引でセキュリティが強化されます。これにより、オンラインか実店舗かを問わず、事業者は自社のビジネスを不正行為から守ることができます。

• Stripe Checkout
  Stripe Checkout は、事業者と顧客のためにオンライン決済プロセスを効率化できるようにデザインされた、構築済みでカスタマイズ可能な決済ページです。Radar のリアルタイム型不正検知・防止機能を導入することで、Stripe Checkout はユーザー体験にストレスを加えることなく不正取引を最小化します。Radar のダイナミックルールエンジンと、カスタマイズ可能なリスクのしきい値を使用すれば、自社の具体的なニーズに応じて不正防止戦略を細かく調整できます。

• Stripe Connect
  Stripe Connect は強力なプラットフォームで、マーケットプレイス、ギグプラットフォーム、サブスクリプションサービスなどの複雑な決済エコシステムの構築と拡張を可能にします。Connect は Radar とシームレスに連携し、すべての取引とその関係者に、一貫性のある不正防止ソリューションを提供します。そのため、プラットフォームとそのユーザーは、安全で信頼できる環境を維持しながら、高度な不正検知機能から得られるメリットを確実に享受できます。

この総合的なアプローチにより、事業者は不正取引を効果的に検知、防止し、対応することができます。さらに、Stripe のそれぞれの決済ソリューションがシームレスに連携するので、一貫性のある体験が確保され、事業者は競争が激化するデジタル環境での成長と成功に集中できます。