サービスとしてのバンキング (BaaS)

サインイン 

決済の不正利用の検知と防止: 事業者向け実践ガイド

  1. はじめに
  2. 決済の不正利用とは
  3. 決済の不正利用の種類
  4. 決済の不正利用の検知と防止
    1. フィッシング
    2. スキミング
    3. なりすまし犯罪
    4. 不正チャージバック
    5. ビジネスメール詐欺
    6. 非対面カード支払いによる不正利用
  5. 自社のビジネスに合った独自の決済の不正防止計画を立てるには
  6. Stripe の使用を開始する 

デジタル革命によって、ビジネスにおける取引のあり方は恒久的に変化し、成長とグローバル展開のための新たな機会をもたらしています。その一方で、この変化に伴い、組織はますます決済の不正利用の被害を受けやすくなってもいます。米連邦取引委員会 (FTC) が最近公表したデータによると、顧客から報告された不正利用による 2022 年の損失額は約 88 億ドルであり、2021 年と比較して 30% 以上増加しています。

不正利用によって金銭的損失を被るのは、顧客だけではありません。推計では、オンラインでの決済の不正利用による世界の EC ストア全体での損失総額は 2022 年に 410 億ドルに達すると見られ、これは前年比で 105% の増加です。この数字は、2023 年末までに 480 億ドルに増加するものと見込まれています。金融資産を保護し、顧客の信頼を維持して、進化する脅威に先手を打って対応するために、事業者自身が決済の不正利用の防止と検知に関する知識を深めることが重要です。

決済の不正利用の検知と防止は複雑な課題であり、動的に連動するソリューション一式を必要とします。この記事では、事業者が決済の不正利用に効果的に対処し、ますますつながりが広がる世界の中で取引の安全性と完全性を確保するために役立つ、鍵となる概念、ベストプラクティス、戦略をご紹介します。以下では、さまざまな種類の決済の不正利用に対応するための具体的な戦略と、自社のビジネスに固有のニーズとリスクを反映させた包括的な不正防止戦略を策定する方法について見ていきます。

この記事の内容

  • 決済の不正利用とは
  • 決済の不正利用の種類
  • 決済の不正利用の検知と防止
  • 自社のビジネスに合った独自の不正防止計画を立てるには

決済の不正利用とは

決済の不正利用とは、決済システムを巧みに利用して資金や金融情報に不正にアクセスする不正または違法な行為をいいます。決済の不正利用には、他人の ID を盗んだり、不正な購入をしたり、企業をだまして返金させたりすることが含まれる場合もあります。

決済の不正利用は、個人、事業者、経済全体に、深刻な影響をもたらします。決済の不正利用の主な影響としては、以下を挙げることができます。

  • 金銭的損失: 不正取引が起きると、個人、事業者、金融機関に大きな金銭的損失が生じるほか、決済システムに対する信頼が損なわれます。

  • なりすまし犯罪: 多くの場合、決済の不正利用は個人情報や金融情報の盗難や悪用を伴うため、被害者に長期的な被害をもたらし、被害者がアイデンティティーや信用を回復するのは困難となります。

  • 事業者としての評判: 企業が決済の不正利用の被害に遭うと、自社の評判や顧客からの信頼が損なわれる可能性があり、売上の減少や顧客離れ、運営コストの増加につながることも考えられます。

  • 法律の適用や規制当局の対応による影響: 不正防止のための規制を遵守しない、あるいは顧客情報を適切に保護しない事業者は、法律で定められた処罰や罰金を科されたり、規制当局から監視を強化されたりする可能性があります。

  • 運営コストの増加: 決済の不正利用を検知して削減するには、技術、人員、リソースへの大規模な投資が必要となるため、組織の予算状況と運営効率を悪化させてしまう可能性もあります。

しかし、決済の不正利用に対処することによって、事業者と金融機関は不正利用に伴うリスクと悪影響を最小限に抑え、決済システムの完全性とセキュリティを確保し、より大きな金融エコシステムに対する信頼を維持することができるのです。

決済の不正利用の種類

不正行為者はさまざまな手口で決済システムの脆弱性につけ込もうとするため、決済の不正利用はいろいろな形で行われます。ここでは、特によくある手口の一部を取り上げます。

  • フィッシング
    フィッシングは決済の不正利用の一種で、攻撃者が詐欺的なメールやテキストメッセージ、ウェブサイトを使用して個人をだまし、ログイン認証情報、クレジットカード番号、個人データなどの機密情報を提供させるものです。その後、不正行為者はこうした情報を使って、不正取引など金融詐欺の実行に移ります。

  • スキミング
    スキミングとは、犯罪者がクレジットカードやデビットカードの情報を抜き取るために用いる手口のことです。犯罪者は ATM や POS 端末に「スキマー」という小型の装置を取り付けます。ATM でカードを読み込ませる人がいると、スキマーがカード情報を収集し、不正行為者がそれを使って偽造カードを作ったり、不正な取引を実行したりします。

  • なりすまし犯罪
    なりすまし犯罪とは、社会保障番号、銀行口座情報、クレジットカード番号など、他人の個人情報を不正に入手、使用して、本人になりすます、あるいは不正な購入や新規口座開設といった形の不正行為を実行することです。

  • 不正チャージバック
    不正チャージバックは「フレンドリー詐欺」とも呼ばれるもので、顧客が本人のクレジットカードを使用して購入した後、商品を受け取っていない、あるいは取引を承認していないと主張して、カード発行会社に対し、その請求について虚偽の不審請求の申請をすることを指します。不正行為者の目的は、商品やサービスを保持したまま返金を得ることです。

  • ビジネスメール詐欺
    ビジネスメール詐欺 (BEC) は決済の不正利用の一種で、犯罪者が企業幹部やベンダーになりすまし、従業員をだまして送金させたり、機密情報を共有させたりする手口です。通常、メールアカウントに対するハッキングやスプーフィング、ソーシャルエンジニアリングによって、狙った従業員を言葉巧みに操ろうとします。

  • 非対面カード支払いによる不正利用
    非対面カード支払い (CNP) による不正利用とは、オンラインや電話での購入など、現物のカードの提示が求められない場合に行われる不正取引を指します。不正行為者は盗み出したクレジットカード情報を使って不正な購入を行いますが、現物のカードの認証ができないため、検知も防止も困難な場合があります。

決済の不正利用のさまざまな種類と、一般的にそれらが事業者に及ぼす影響について、詳細はこちらをご覧ください

決済の不正利用の検知と防止

決済の不正利用に効果的に対処するには、包括的な事前対応型アプローチを採用する必要があります。具体的には、発生する可能性のあるさまざまな種類の不正利用について把握し、それぞれに固有のリスクと脆弱性を評価して、防止と検知のための徹底的な対策を講じます。決済セキュリティを優先させ、戦略と戦術を絶えず進化させることで、財務の健全性を保ち、顧客データを保護し、ブランドの信頼を維持することができます。

ここでは、特によく見られる種類の決済の不正利用を防止、検知、対応する方法の概要をご説明します。

フィッシング

  • フィッシングメールを見分け、メール送信者の身元を確認し、安全な閲覧の仕方を実践するよう従業員を教育する。
  • フィルタリング技術やスキャン技術を導入し、不審なメールに対してはブロックをするかフラグを立て、DMARC (後掲の「ビジネスメール詐欺」セクションをご覧ください) を使用して送信者認証を行う。
  • ファイアウォール、侵入検知システム、ネットワークセグメンテーションを導入して社内システムを保護するとともに、ソフトウェアとシステムを最新の状態に保つ。
  • 重要なシステムとアプリケーションには多要素認証を必須にして、盗み出された認証情報による不正アクセスが起きるリスクを低減する。
  • ログ、ネットワークトラフィック、システムデータを分析して、フィッシング攻撃や他の不審な行動の可能性がある挙動を検知し、対応する。
  • フィッシング攻撃による被害を実際に受けた場合に取るべき対応 (封じ込め、報告、連絡手順など) の概要をまとめた明確な計画を策定する。
  • サードパーティーベンダーにおけるセキュリティ手法を評価して、それが自社の基準を満たしていること、および自社の業務をフィッシング攻撃にさらすものではないことを確認する。

スキミング

  • POS 端末や ATM を定期的に点検して、改ざんの痕跡や、不正な機器であることを示す点などがないか確認する。
  • セキュリティシールやセキュリティロックなど、不正開封防止用のセキュリティ対策を導入する。
  • カード取引における安全で暗号化されたデータ送信を確保する。
  • スキミングの影響を受けにくいチップと PIN または非接触型決済技術にアップグレードする。
  • スキミング装置を見分け、不審な行動を報告するよう従業員を教育する。
  • 法執行機関や業界パートナーと協力して、情報とベストプラクティスを共有する。

なりすまし犯罪

  • 暗号化、安全な保管、アクセス制御など、強固なデータセキュリティ対策を実施する。
  • 異常な行動や不審な行動がないか、取引とアカウント活動を監視する。
  • オンラインアカウントとオンライン取引には多要素認証を使用する。
  • 顧客の本人確認を行う (特に、高額な取引や口座変更の場合)
  • 本人の個人情報の保護となりすまし犯罪の見抜き方について顧客を教育する。

不正チャージバック

チャージバックを防止する方法について、詳細は Stripe のガイドをご覧ください。以下は、不正チャージバックの防止策と、不正チャージバックが発生した時の対応策です。

  • 取引時に顧客の身元と請求先情報を確認する。
  • 明確で正確な商品説明、配送先情報、返品ポリシーを示す。
  • 不正検知ツールを導入し、不審な取引にはフラグを立ててレビューできるようにする。
  • 顧客とのやり取りや配達証明など、取引に関する詳細な記録を保持する。
  • 顧客とのオープンなやり取りを維持して、懸念事項を解決し、不審請求の申請を最小限に抑える。
  • チャージバックの傾向を監視し、傾向に合わせて戦略を適応させる。

ビジネスメール詐欺

  • 不審なメールを見分けて報告するよう従業員を教育する。
  • メール送信者の身元を認証し、スプーフィングを防止するためのメールセキュリティ対策を実施する。このような対策には、たとえば以下のようなものが含まれます。
    • DMARC: Domain-based Message Authentication, Reporting, and Conformance。メールが本物であることを確認しやすくするシステムで、偽のメールが事業者の正規ドメインから送信されているように見せかけるのを防ぎます。
    • DKIM: DomainKeys Identified Mai。メールにデジタル署名を加える技術の一種で、メールが正しい送信元から送信され、改ざんされていないことを証明します。
    • SPF: Sender Policy Framework。特定のドメインに対して承認されたサーバーからメールが送信されているかを確認するための手法で、不正な送信者はブロックされます。
  • 金融取引と機密情報の共有について、階層的な承認プロセスを確立する。
  • 安全な通信チャネルを奨励し、疑わしい場合には電話するか直接会って要求を確認するよう促す。
  • ソフトウェア、オペレーティングシステム、セキュリティツールを定期的に更新し、パッチを適用する。

非対面カード支払いによる不正利用

  • オンライン取引に住所確認サービス (AVS)カード検証値 (CVV) チェックを利用する。
  • 顧客アカウントに多要素認証を導入する。
  • 機械学習アルゴリズムなどの不正検知ツールを導入して、不審な取引をリアルタイムで特定し、フラグを立てる。
  • 取引を監視して、異常なパターンがないか確認し、速度チェックを行う。
  • セキュリティ強化のため、デジタルウォレットトークン化サービスの利用を顧客に奨励する。
  • PCI データセキュリティ基準 (PCI DSS) に準拠して、機密性の高いカード保有者データを保護する。

自社のビジネスに合った独自の決済の不正防止計画を立てるには

事業者に固有のニーズとリスクに合わせて調整した決済の不正防止計画を立てるには、評価、優先順位付け、実施、継続的改善などを含めた、体系的なアプローチに沿って進める必要があります。

以下は、決済の不正防止戦略を策定して、実行するのに役立つ手順ガイドです。

  • リスク評価
    包括的なリスク評価を行い、自社のビジネスの業種、規模、顧客基盤、取引手法に基づいて、そのビジネスに最も関連性の高い決済の不正利用の種類を見極めます。既存のシステム、プロセス、制御手段を評価して、脆弱性と、改善の余地がある領域を特定します。

  • 優先順位付け
    リスクア評価に基づき、財務面への潜在的影響、評判への悪影響、発生の可能性を考慮したうえで、特に重大な脅威と脆弱性にそれぞれ優先順位を付けます。そうしておくことで、どの不正防止対策を最初に実施すべきかを判断できるようになります。

  • 戦略の策定
    優先順位付けしたリスクと脆弱性に対処するための明確な戦略の概要を示し、予防策、検知策、および対応策を組み合わせて取り入れます。自社のビジネスに固有のニーズとリスクに合わせて戦略をカスタマイズし、短期的目標と長期的目標の両方を盛り込みます。

  • リソースの配分
    選択した戦略とベストプラクティスを実施するために必要なリソース (人員、予算、技術など) を配分します。明確な役割と担当職務を各チームメンバーに割り当て、戦略の実施と継続的管理を監督する強力なガバナンス体制を確立します。

  • 実施
    選択した戦略とベストプラクティスの実施を開始し、既存のシステムとプロセスに確実に統合されるようにします。これには、ポリシーと手順の更新、新技術への投資、従業員に対するトレーニングや意識向上プログラムの実施などが含まれる場合があります。

  • 監視と評価
    実施した対策の有効性について、重要業績評価指標 (KPI) や進捗状況を追跡するための指標を使用し、継続的に監視します。定期的な監査を実施して、改善点を特定し、業界標準・規制への準拠を徹底させます。

  • 適応と改善
    監視と評価の結果に基づき、必要に応じて戦略を改善、調整し、新たな脅威やビジネスニーズの変化に対処するための新しい戦略を取り入れます。決済の不正利用の防止に向けた事前対応型のアプローチを継続し、この分野における最新の傾向、技術、ベストプラクティスに関する情報を常に入手できる状態を維持します。

不正防止サービスや不正リスク低減サービスを提供している企業と連携することで、不正対策への取り組みを強化できます。また、決済インフラや決済処理の実現のために使用しているソリューションによっては、不正防止機能をすでに備えている可能性もあります。

たとえば、Stripe であれば、さまざまなビジネスモデルやユースケースに対応した包括的な決済機能に加えて、決済の不正利用の防止、検知、対応を支援するツールと機能一式を提供しています。Stripe Radar や、TerminalCheckout などの Stripe の決済ソリューションに組み込まれた不正リスク低減機能を活用すれば、リアルタイムで取引を監視し、不審な行動にフラグを立て、不正な試みをブロックすることができます。詳細についてはこちらをご覧ください

その他の記事

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。