不正利用は、あらゆる規模のビジネスにとっての懸念を増大させており、著しい金銭的な損失を引き起こす恐れがあります。なりすまし犯罪の形式を追跡した最近の連邦取引委員会 (FTC) のレポートにおいて、クレジットカードの不正利用は第 1 位になりました。2021 年に、同委員会は利用者から 280 万件の不正利用の報告を受けており、報告された不正利用の件数は 70% 増加していて、報告された損失額は合計で 58 億ドルを超えることが明らかになっています。Juniper Research が実施した調査によると、EC ストアでの不正利用による損失額は 2020 年の 175 億ドルから 2021 年の 200 億ドル超まで増加しており、1 年の期間内に 18% 増加しています。こうした数字は懸念を生じさせますが、企業で不正利用による損害を低減するためにとれる対策があります。

ここでは、クレジットカードの不正利用や、それがビジネスと利用者に害を及ぼす過程、対策のためにテクノロジーを活用する方法について知っておくべきことを紹介します。

この記事の内容

• 決済の不正利用の概要
  
• 決済の不正利用の種類
  
• 決済の不正利用とフレンドリー詐欺
  
• 決済の不正利用が発生する過程
  
• 決済の不正利用の発生を防ぐ方法
  
• 決済の不正利用を発生時に検知する方法
  
• 決済の不正利用向けソリューションの選び方
  

決済の不正利用の概要

決済の不正利用では、何者かが盗まれたクレジットカードやデビットカードの情報を使用し、カード保有者の許可なしで購入を行って、支払いの責任をカード保有者に負わせます。決済の不正利用は世界中で問題になっており、今後 10 年間にわたる全世界での推定損失額は 4080 億ドルになると予測されています。

決済の不正利用の種類

決済の不正利用の種類は多くありますが、不正利用の発生元に基づいて、2 つの大まかなカテゴリーに分類することができます。

• 対面カード支払い (CP) での不正利用: この類の不正利用は、POS で物理的なカードを使用して取引が行われるときに発生します。こうしたケースでは、不正行為者が元のカードまたは違法に複製されたカードのいずれかを所有しており、それを使用して、正当なカード保有者によって承認されない対面の購入を行います。
  
• 非対面カード支払い (CNP) での不正利用: この類の不正利用は、物理的なカードが不要なオンライン購入に関連しています。非対面カード支払いでの購入では、不正行為者が所有しているのはカード番号、有効期限、CVV コードなどのカード情報だけです。非対面カード支払いでの購入にはメールや電話での取引も含まれますが、これらはあまり一般的ではありません。
  

決済の不正利用とフレンドリー詐欺

フレンドリー詐欺は当事者による不正利用とも呼ばれており、正当なカード保有者によって支払いが行われた場合でも、カード保有者によって不正利用のフラグが立てられたカード取引のことを表す用語です。Merchant Risk Council によると、2021 年から 2022 年までにおいて、62% のビジネスがフレンドリー詐欺の増加を報告しました。フレンドリー詐欺は、以下を含む多くの理由によって発生します。

• カード保有者が請求を認識していない
  カード保有者が承認した有効な購入に請求が関連付けられていて、カード明細書上のアイテムが当該の購入をわかりやすく表していない場合、利用者はその請求についてより詳しく調べずに、不審請求の申請を行う可能性があります。こうした理由から、十分に考慮された請求書表記を記載することが、チャージバックを防ぐうえで重要な手段となっています。

• 利用者が購入を後悔している
  「出来心によるフレンドリー詐欺」とも呼ばれるこのシナリオでは、カード保有者が購入したアイテムに対して支払いを行いたくない場合に発生します。その理由としては、受け取った商品やサービスに満足しなかったか、単純に出費を後悔したことのいずれかが挙げられます。カード保有者は、クレジットカードの請求に対して不審請求の申請を行うことで、多くのカード発行会社で用意されている「ゼロライアビリティ」ポリシー (カード保有者が自身のカードを使用して行われた不正な請求に対して支払いを行う必要がないことを定めたポリシー) を利用しようとします。

• 請求が誤って発生した
  この類の「当事者による不正利用」の例としては、何者かが誤ってアプリ内で購入を行ったり、オンラインのオークションサイトで意図せずにアイテムを購入したりする場合が挙げられます。他の例としては、誤って重複した請求や、EC ストアの小売業者のわかりにくい決済フローが原因で誤って行われた購入が挙げられます。

• 利用者が返品のプロセスを回避しようとしている
  フレンドリー詐欺は、利用者が返品のプロセスを回避し、ビジネスの貧弱なカスタマーサービス部門とのやり取りを避けるための方法の 1 つです。

決済の不正利用が発生する過程

決済の不正利用にはカード保有者の許可なしに行われる取引が伴うため、これには多くの潜在的なシナリオが含まれます。例としては、次のようなものがあります。

• 犯罪者が財布を盗んだ後、その中にあったクレジットカードやデビットカードを使って購入を行う。これには、犯罪者が新たに取得したカードを小売業者で使用して「テスト」し、カードの盗難が報告されていないことを確認するプロセスが含まれる。
  
• 利用者が正当な購入を行った後、店舗の従業員が利用者のカード情報を保持し、当該のカード情報を使って不正な購入を行う。
  
• カード保有者が製品を注文して受け取り、その製品は決して届かなかったと主張して返金を受ける(その後、カード保有者はその製品を売る可能性がある)。
  
• 不正行為者が、有効なクレジットカード番号を発見しようとして、アルゴリズムで生成された数千個の番号を作成する。これらは「BIN 攻撃」として知られている。
  
• 犯罪者が破格の割引価格を提示した偽物のオンラインストアをセットアップした後、利用者の支払い情報を利用して将来的に不正な購入を行う。
  
• 犯罪者が利用者のオンラインショッピング用アカウントをハッキングして、購入を行ったり、保存されたクレジットカード情報を盗んだり、アカウントへのアクセス権を転売したりする。
  

これらは決済の不正利用に関する例の一部に過ぎません。決済の不正利用の範囲と仕組みは常に進化しています。不正取引を管理して決済データを盗難から保護する方法がテクノロジーによって変化すると、それに応じて不正行為者の戦術も変化します。ビジネスには、不正利用の発生時にすばやく対応することだけでなく、不正利用の発生を初期の段階で防ぐ入念な対策を実施することも求められます。

決済の不正利用の発生を防ぐ方法

不正利用を防ぐ際には、最も基本的な対策でさえも効果を発揮します。ここでは、ビジネスで不正利用を防ぐためにとれる対策をいくつか紹介します。

1.明確かつ頻繁にコミュニケーションをとる
不審請求の申請を減らすために、利用者の注文のステータスを定期的に更新して、問題を速やかに解決しましょう。また、カスタマーサービスの連絡先情報を見つけやすい場所に配置するようにしましょう。

2.透明性の高いポリシーを確立する
利用規約に詳細な返金ポリシーとキャンセルポリシーを含めて、これらのポリシーを見つけやすい場所に配置するようにしましょう。利用者には、購入の完了前にこれらに同意するように求めてください。これは不審請求の申請を防ぐうえで役立ち、カード発行会社によって重要視されています。

3.配送や配達の詳細情報を提供する
物理的な商品を配送する際に、オンラインでの追跡や配達の確認が可能なサービスを利用しましょう。こうした詳細情報をできるだけ早く利用者に提供してください。これにより、不審請求の申請や不正利用の申し立てを防ぐことが可能になります。

4.わかりやすい明細書表記を設定する
利用者の銀行明細書やカード明細書に表示される名称が、貴社のビジネスであると容易に識別できるようにしましょう。これにより、その名称を認識していないことが理由で、利用者が請求に対して不審請求の申請を行う確率が下がります。

5.複数のビジネスに対して個別のアカウントを維持する
複数のビジネスを所有している場合は、それぞれに固有の Stripe アカウントを用意してください。こうすることで明細書表記や連絡先情報を個別に表示できるようになり、混乱や不審請求の申請を避けるうえで役立ちます。

6.返金を事前に行う
決済に不正の疑いがある場合は、返金を事前に行うことを検討しましょう。これにより、製品の損失のリスクだけでなく、潜在的な不審請求の申請とそれに伴う手数料の発生を防ぐことができます。ただし、こうした判断とビジネスの具体的な状況とのバランスを取るようにしてください。

7.必要に応じて配送を遅らせる
可能であれば、物理的な商品の配送を 24 ～ 48 時間遅らせることを検討しましょう。これにより、カード保有者が不正利用行為に気付く可能性があります。

8.配送先住所を確認する
郵便番号と番地の検査を通過した確認済みの請求先住所に配送しましょう。不審請求の申請の場合、これは注文が正当なカード保有者に配送されたことを証明するうえで役立ちます。

9.不審請求の申請率をモニタリングする
不審請求の申請率を定期的に確認して、不審請求の申請の対策と不正防止策の効果を評価しましょう。不審請求の申請率の追跡には、Stripe ダッシュボードで利用可能な指標を使用することができます。

10.急送便での配送のリクエストに注意する
不正行為者は発見される恐れのある期間を短くするために、できる限り早い商品の配送を希望することから、翌日配送や急送便での配送をリクエストする利用者は、より高いリスクをはらんでいる可能性があります。必ずしも、急送便での配送のリクエストがすべて不正利用によるものであるとは限りませんが、こうしたリクエストをより入念に監視するワークフローを設けるとよいでしょう。

11.疑わしいアクティビティにフラグを立てて確認する
異常な大量発注や、購入後に配送先住所を変更する利用者、急送便での配送のリクエスト、転売での価値が高いアイテム、請求先住所と配送先の不一致など、疑わしいアクティビティの兆候に警戒しましょう。こうした注文を注意深く確認して、注文の正当性を判断しましょう。

12.請求先の郵便番号を確認する
利用者の請求先の郵便番号を、使用しようとしているカードに関連付けられた郵便番号と照らし合わせて確認しましょう。一部のカード発行会社ではこうした作業が求められますが、これはカード支払いを受け付けるどのビジネスにも推奨されます。住所確認サービス (AVS) の詳細については、このトピックに関するこちらの記事をお読みください。

また、ご利用の決済ソリューションプロバイダーを通じて不正防止サービスを使用することにもメリットがあります。Stripe Radar では、リアルタイムの不正防止が提供され、設定して使用するにあたって追加の開発リソースは不要です。不正利用対策の専門家の場合は、Radar for Fraud Teams を追加して保護をカスタマイズしたり、より深いインサイトを獲得したりすることができます。Radar では機械学習によって不正利用を検知してブロックします。ここでは、世界中の数百万社からのデータを活用して、不正行為者と実際の利用者を区別しています。決済の不正利用は非常に広い範囲に浸透していて、洗練化され続けているため、ビジネスの不正防止ソリューションは後れを取らないように設計されている必要があります。

決済の不正利用を発生時に検知する方法

不正利用を特定することが常に可能であるとは限らず、最初は疑わしく思えた多くの取引が正当なものだったと判明することもあります。しかし、一般的なレッドフラグはいくつかあります。

• カードアカウントと一致しない請求先の郵便番号
  
• カードの支払い拒否
  
• 複数のクレジットカードにまたがったいくつかの小規模な取引にわたる多額の決済を処理するように依頼する利用者
  
• 短期間で立て続けに処理される同一の買い手からの複数の取引
  
• 新規の買い手による高額な大口注文での異常な急送便での配送のリクエスト
  

ビジネスを保護するには、Stripe Radar などの不正防止ソリューションを採用して、不正利用の可能性がある取引にフラグを立てることができます。このように対策することは、特に効果的です。世界中の数十億件もの取引からのデータに基づいた機械学習を活用することにより、こうしたソリューションを支えるアルゴリズムでビジネスの運営方法や運営形態、利用者層、特定のビジネスや業界における「異常」なアクティビティの特徴を考慮します。

不正利用の低減に関するプレイブックには、取引が不正利用の可能性があるとマークされたときに開始される対策のフローを含める必要があります。決済代行業者とカード発行会社が問題を調査している間にとれる措置としては、注文のフルフィルメントを一時停止することや、利用者に連絡して現状について伝えることなどがあります。

決済の不正利用向けソリューションの選び方

適切な決済の不正利用向けソリューションの選び方は、単純に、既存の決済代行業者のプランをアップグレードして、利用可能なすべての機能にアクセスできるようにするだけで済むかもしれません。Stripe を含む多くの企業が、カード決済の不正利用を発生前に検知することに先回りして取り組んでおり、不正な請求に初期の段階で対処する手間を省くことができます。このような先を見越した対策により、カード発行会社や銀行に対する評判も守ることができます。チャージバックや停止された決済の件数が手に負えないほど多くなった場合、カード会社や銀行はご利用のアカウントに対して措置を講じます。

どの決済代行業者を利用すべきかを検討する際には、次の機能のうち、どれを備えておきたいのかをご自身に問いかけてみましょう。

自動的な決済のモニタリング

個々のクレジットカードの請求に対して、ある程度の監視を実施する必要があります。カードと請求先住所間での郵便番号の一致を調べる場合でも、すべての取引で CVV コードの入力を求める場合でも、こうした対策では、よく目立つ不正な請求を捉える必要があります。

さらに、決済処理用のダッシュボードでは、同じカードや買い手による追加の支払いを最小限に抑えるための措置をとれるように、不正な請求が発生した時点で、フラグが立てられている取引への注意を喚起する必要があります。小売業者がすべての取引を手動で検査することを想定するのは、現実的ではありません。少なくとも、選択する決済ソリューションに、よく目立つ不正な請求を捉えるためのパラメーターを含めるようにしましょう。

機械学習

AI は、今日におけるビジネス向けテクノロジーの多くの側面に影響を及ぼしており、不正利用の検知に最適です。機械学習を通じて、AI でデータを収集し、そのデータを分析してから、パターンを検出して、今後の不正利用による支払いの特徴を予測します。

機械学習は現在、オンライン決済での高度な不正利用検知機能の標準的なコンポーネントとして広く認められています。絶えず手法を変えてくる犯罪者に対応するため、小売業者の多くは機械学習機能を考慮するとよいでしょう。

不正防止

不正利用が疑われる場合は、チャージバックが発生する可能性があります。これにより、ビジネスは保有していた製品の喪失と支払いの差戻しという二重の損失に直面することになり、さらに手数料も請求されます。認証サービスを使用すると、債務責任をカード発行会社に移行させることができ、カード保有者とビジネスを利用する悪質行為者によって引き起こされるキャッシュフローの問題の解決に役立ちます。

カスタムの保護

不正利用のリスクは、必ずしもすべてのビジネスで同じであるとは限りません。オンラインビジネスは、高確率で非対面カード支払いのシステムを導入しており、実店舗型の小売業者は、一度に数千件の注文をしようとするハッカーに対してある程度の保護が設けられている場合があります。

その一方で、物理的なカードを使用する対面支払いでは、オンライン決済に比べて追加の確認が要求される可能性が低くなっています。Stripe Terminal では、対面支払い向けのクラス最高の不正防止が提供されています。Stripe Terminal は非接触型決済と EMV チップによる決済を受け付けており、これらは磁気ストライプを使ったスワイプ型決済より安全性が高くなっています。Terminal はエンドツーエンド暗号化の規格も備えており、ポイントツーポイント暗号化 (P2PE) にアップグレードして安全性をさらに高めるオプションも付いています。

不正利用のリスクは業界ごとに変化し、オンラインゲーミング会社は、オンライン食料品店や健康用サプリのメーカーとは異なる課題に直面しています。ニーズが異なるため、選択するソリューションにもこうした固有のリスクを反映させる必要があります。

リスクレベルが画一的なカード処理業者は、すべてのビジネスにとって有効であるとは限らず、特にホリデーシーズンなどの繁忙期における企業には効果を発揮しない場合があります。業界と貴社にとってのリスクを把握し、貴社の懸念事項に耳を傾けてくれる処理業者を選びましょう。最適な不正利用向けソリューションを使用することで、対策を設定して自社のビジネスと利用者を保護しつつ、スムーズな顧客体験を創出することができます。たとえば、Stripe では、サポートする個々のビジネスに固有のリスクレベル、ニーズ、脆弱性を評価して、すべての利用可能な保護対策を装備できるようにしています。

セルフサービスのパラメーター

小売業者では、不正利用を可能な限り制御できるようにする必要があります。ユーザー独自の不正利用プロコトルを作成することで、支払いに疑念が生じた際にとる措置を決定したり、ユーザーや担当のチームが今後の問題を解決する際に役立つパラメーターを作成したりすることができます。カード処理業者では、ユーザーに対して、疑わしいと思われるすべての支払いを手作業でブロックするのと同時に、IP アドレス、カード番号のほかにメールアドレスもブロックリストに追加させる必要があります。経時的に発生する同一の動向に気付いた場合は、それに応じてパラメーターを更新して、将来的にユーザーやカード処理業者の手間を省けるようにしましょう。不正取引の管理は、時間の経過とともにより容易になるでしょう。

不正利用を減らすことで測定可能なメリットを実現

ビジネスを不正利用から保護することで、カード決済の不正利用の実情について学んだ後、適切に先回りしてそれらに対処できるようになります。Stripe などの適切なカード決済代行業者と提携することで、不正な請求の全体的な件数を減らし、カード発行会社と良好な関係を維持して、ビジネスで変化しつつある経済状況を乗り切るために必要なキャッシュフローの安全を確保することができます。