決済の不正利用にはさまざまな形態があり、その経済的影響は甚大です。オンライン決済の不正利用によるビジネスの損失は、2028 年までに世界で 3,620 億ドルを超えると予測されています。

決済の不正利用を適切に管理するということは、正当な顧客を遠ざけるほどの摩擦を生じさせることなく、攻撃を検出してブロックするシステムを構築することです。これには、階層化された管理、調整された検出、時間の経過とともに精度を向上させるフィードバックループが含まれます。

以下では、不正利用の検出の仕組み、リスクを軽減する予防戦略、およびビジネスが知っておくべき決済の不正利用の傾向について説明します。

主なポイント

• 効果的な不正利用管理では、ルールベースの検出と機械学習を組み合わせて、既知の攻撃パターンと静的ルールでは見逃される新しい手口の両方を検出します。

• 取引量が増加するにつれて、自動化とフィードバックループが不正利用対策の基盤になります。手動のレビューは、純粋に曖昧なケースのために予約されています。

• 決済サービスプロバイダー (PSP)、サードパーティープラットフォーム、社内システムに組み込まれたツールは、それぞれ異なるビジネスプロファイルに適しています。適切な選択は、取引量、社内リソース、および全体的な不正利用のリスクによって異なります。

決済の不正利用管理とは

決済の不正利用管理は、不正な取引を検出し、防止し、対応するためにビジネスが使用する戦略とシステムのセットです。デジタル決済環境では、決済の不正利用には、盗まれた認証情報、操作された ID シグナル、または正当な不審請求の申し立てプロセスの悪用が含まれることがよくあります。

オンライン決済を処理するビジネスの一般的な 4 つのカテゴリーは次のとおりです。

• カードの不正利用: これは、誰かが盗まれたカード詳細を使用して不正な購入を行った場合に発生します。ビジネスは商品を出荷するかサービスを提供し、その後、実際のカード会員が気付いたときにチャージバックに直面します。

• カードテスティング: これはボリューム攻撃です。盗まれたカード番号のリストを取得した犯罪者は、どのカードがまだ有効であるかを調べるために、単一の決済に対して数十回または数百回の小規模なオーソリの試行を実行します。ビジネスはオーソリ手数料を負担します。攻撃が十分に大きい場合、拒否率が急上昇し、ビジネスとアクワイアラーとの関係に悪影響を及ぼす可能性があります。

• アカウント乗っ取り (ATO) の不正利用: これには、攻撃者が正当な顧客アカウントの制御を取得し、保存された決済手段を使用して購入することが含まれます。取引は信頼できる履歴を持つ既知のアカウントから発生するため、単純なルールではアカウント乗っ取りの試みを見逃すことがよくあります。

• フレンドリーフロード: これらは、注文したものを受け取ったにもかかわらず、商品を返品せずに返金を受けるためにそうではないと主張する実際のカード会員によって提出された不審請求の申し立てです。ビジネスへの影響はカードの不正利用と同じですが、ここでの違いは不正行為者の身元です。

決済の不正利用の検出方法

検出は、取引のライフサイクルの複数のポイント (オーソリ前、オーソリ時、売上確定後) で行われます。多くの不正利用管理システムでは、さまざまな攻撃タイプをカバーするためにさまざまな方法を階層化しています。

検出には主に 2 つのタイプがあります。

• ルールベースの検出: 固定および動的ルールにより、既知の不正利用パターン (請求先の国が IP アドレスと一致しない、カードが 1 時間に 5 回以上使用された、銀行識別番号 (BIN) 範囲の不正利用率が歴史的に高いなど) に一致する取引にフラグが立てられます。ルールは即座に実行され、直接管理できますが、厳格です。不正利用の手口は手動のルールセットを更新できるよりも早く変化し、ルールが広すぎると正当な顧客がブロックされます。

• 機械学習 (ML) 検出: ML モデルは数百のシグナルを同時に評価して、各取引のリスクスコアを生成します。静的ルールとは異なり、これらのモデルは新しいデータにさらされるにつれて継続的に更新されるため、不正利用の手口が変化したときに適応します。

多くの本番環境の不正利用システムでは両方を組み合わせています。ルールは明確なケースを処理しますが、ML は、何かがおかしいが決定的に間違っているわけではない、曖昧な中間を処理します。これらを一緒に実行することで精度が向上し、リスクセグメントごとに異なるしきい値を適用できます。

決済の不正利用のリスクを軽減する予防戦略とは

予防により、不正利用が発生する前に阻止されます。検出と予防は、取引フローの異なるポイントで動作する補完的なレイヤーとして最適に機能します。

不正利用の防止の戦術には次のものがあります。

• 取引前の管理: セッションごとのカード試行のベロシティ制限、CAPTCHA、アカウント作成時のデバイスフィンガープリント、および決済時のメールアドレスの確認はすべて、取引が送信される前にリスクを軽減します。緩すぎると不正利用がすり抜ける可能性があり、厳しすぎると実際の顧客をブロックする可能性があります。

• 3D セキュア (3DS): 取引が 3DS を通じて認証され、後で不審請求が申し立てられた場合、チャージバックの責任はビジネスではなくカード発行会社に移ります。決済にステップが追加され、リスクの低い取引のコンバージョンが低下する可能性があるため、全体的にではなく選択的に適用する価値があります。

• オーソリ後の監視: 承認後からフルフィルメントまでの間に取引をレビューすることで、不審な注文をキャンセルする時間が得られます。これは高額な物理的商品に特に関連しています。

• チャージバック管理: 反証資料を使用して不正なチャージバックに対して不審請求を申し立てることは、チャージバック率およびアクワイアラーとの関係に直接影響します。チャージバック率がカード発行会社のしきい値を超えるビジネスは、より高いインターチェンジコストに直面したり、不正利用監視プログラムに配置されたりするため、これは運用上の問題であると同時に財務上の懸念事項でもあります。

ビジネスが追跡すべき決済の不正利用の傾向

不正利用のパターンは常に変化しています。ビジネスに影響を与える最新の決済の不正利用の傾向は次のとおりです。

• Card-not-present (CNP) fraud: オンライン取引では物理的なカードを所持している必要がないため、盗まれたカード番号はキャンセルされるまで使用できます。そのため、CNP 不正利用はオンライン決済を処理するビジネスにとって一般的な問題となっています。

• ボット主導のカードテスティング: 攻撃者は、ローテーションする IP アドレスと偽装されたデバイスフィンガープリントを備えた分散型ボットネットワークを使用して、表面上は実際のトラフィックのように見えるカードテスティング攻撃を実行します。各ボットがデバイスごとの通常のしきい値内で動作している場合、ベロシティルールだけでは検出できないことがよくあります。

• フレンドリーフロードの不審請求の申し立て: 消費者がチャージバックのプロセスに慣れるにつれて、デジタル商品の不審請求の申し立ての割合が増加しています。その一部はサブスクリプションのキャンセル方法に関する純粋な混乱によるものですが、かなりの部分はそうではありません。いずれにせよ、これらはチャージバック率に表示されます。

• 後払い (BNPL) でのファーストパーティ不正利用: 後払いが拡大するにつれて、消費者が後払い商品を悪意を持って使用するケースも増えています。返済するつもりのない商品を購入したり、フルフィルメントが完了した注文に対して未配達を主張したりします。ここで不正利用とクレジットリスクが重複するため、カードの不正利用とは異なる管理が必要になります。

大規模な決済の不正利用管理の仕組み

不正利用管理の仕組みは、取引量の増加に伴って変化します。新しい地域に拡大するビジネスは、市場ごとに異なる不正利用のパターン、カードネットワークのルール、不審請求の申し立ての割合に直面します。大規模な不正利用対策では、通常、ルールの管理、調査、分析が分離されます。1 つのゼネラリストの役割に 3 つすべてを組み合わせると、成長せず、監視にギャップが生じます。

大規模になると、自動化が目標になります。週に数百件の不審な取引を処理する手動のレビューキューはバックログになります。明確なケースの決定を自動化し、純粋に曖昧な取引のみを人間のレビューにルーティングする必要があります。これにはモデルの精度に対する自信が必要であり、これは継続的なトレーニングと監視に投資することを意味します。モデルが承認した取引が 6 週間後にチャージバックになった場合、その結果をトレーニングデータに追加する必要があります。モデルは誤検知についてトレーニングする必要もあります。これを行わないと、不正利用のパターンが変化するにつれてモデルのパフォーマンスが低下します。

決済の不正利用リスクの管理をサポートするツールとは

多くのビジネスには、不正利用管理ツールのための 3 つの幅広いオプションがあります。適切な選択は、取引量、社内リソース、および不正利用のリスクが実際にどれほど複雑であるかによって異なります。

• PSP ネイティブの不正利用ツール: これらは決済処理に統合されているため、不正利用のシグナルと決済データは同じシステム内に存在します。データ移転の遅延や追加の実装作業はありません。トレードオフは、1 つのプラットフォームのツール内で作業していることであり、ビジネスが直面するすべてのエッジケースをカバーできない可能性があります。

• サードパーティーの不正利用プラットフォーム: 専門的なサードパーティープラットフォームは決済スタックの上に配置され、より多くのカスタマイズを提供し、場合によってはチャージバック保証モデルを備えています。これらは、PSP ネイティブツールが提供する以上の管理を必要とする、複雑または大量の不正利用リスクを抱えるビジネスにとっては検討する価値がありますが、実装とデータのルーティングによって複雑さが増します。

• 社内の不正利用システム: これらは、エンジニアリングへの投資を正当化するのに十分な取引量と専門的な不正利用パターンを持つ大規模なプラットフォームおよびマーケットプレイスによって構築されます。シグナル、しきい値、フィードバックループを完全に管理できますが、これは継続的な大幅なエンジニアリングの取り組みであり、一度限りの構築ではありません。

Stripe Radar は、世界中の数百万のビジネスにわたる取引など、Stripe ネットワーク全体のデータでトレーニングされた ML モデルに基づいて構築されています。そのトレーニングデータの幅広さが重要です。このモデルは、単一ビジネスの不正利用システムにはない、さまざまな業界、地域、ビジネスタイプにわたる不正利用のパターンを見てきました。スコアのしきい値に基づいて取引をブロック、許可、またはレビューするルールを設定でき、しきい値を調整するたびにエンジニアリングを関与させることなくルールを記述できます。

Stripe Radar でできること

Stripe Radar により、Stripe のグローバルネットワークのデータでトレーニングされた AI モデルが使用され、不正利用が検出、防止されます。最新の不正利用の傾向に基づいてこれらのモデルが更新されるため、不正利用の進化に合わせてビジネスが保護されます。

Stripe は、その他にも、Radar for Teams を提供しています。自社ビジネス特有の不正利用シナリオに対応するカスタムルールを追加でき、高度な不正利用分析情報にアクセスできます。

Radar は以下のことに役立ちます。

• 不正利用による損失の防止: Stripe では毎年 1 兆ドル以上の決済が処理されています。この規模により、Radar で正確に不正利用を検出および防止し、資金を節約できます。

• 収益の増加: Radar の AI モデルは、実際の不審請求の申し立てのデータ、顧客情報、ブラウジングデータなどに基づいてトレーニングされています。これにより、Radar でリスクの高い取引を特定し、誤検知を減らして収益を増やすことができます。

• 業務効率化: Radar は Stripe に組み込まれており、設定のためのコーディングは一切不要です。1 つのプラットフォームで不正利用への対応状況の監視やルールの作成などができるため、業務効率が向上します。

Stripe Radar の詳細を見る、または今すぐ始める