不正利用を 1/100 に抑えるセキュリティ対策
本セミナーにはメルカリより田中 啓介氏、GMO-PGより財津 拓郎が登壇。EC取引におけるクレジットカード不正利用対策「EMV 3-Dセキュア」義務化の背景から、メルカリグループにおける不正利用対策について講演いただきました。
※本稿は、2023年10月26日に配信したセミナー内容を書き起こし、記事にしたものです。
【登壇者紹介】
田中 啓介氏
株式会社メルカリ
JR TnS Product Manager of Manager
不正対策部門開発責任者
財津 拓郎
GMOペイメントゲートウェイ株式会社
イノベーション・パートナーズ本部
イノベーション戦略統括部
イノベーション企画部 決済企画グループ 課長
GMO-PG 財津 拓郎/本人認証サービス「EMV 3-Dセキュア」義務化と最新情報
- EC取引における不正利用被害は、2022年で400億円以上
- 具体的な対策が求められるなか、本人認証の「EMV 3-Dセキュア」が義務化へ
- EMV 3-Dセキュア(3DS2.0)とは
- EMV 3-Dセキュアの最新情報
株式会社メルカリ 田中 啓介氏/不正利用を1/100に抑えたセキュリティ対策 ~メルカリの不正利用対策とは~
GMOペイメントゲートウェイ 財津 拓郎
本人認証サービス「EMV 3-Dセキュア」義務化と最新情報
本人認証サービス「EMV 3-Dセキュア」義務化と最新情報
具体的な対策が求められるなか、本人認証の「EMV 3-Dセキュア」が義務化へ
多面的・重層的な不正利用対策が求められるなか、番号盗用被害対策に有効と考えられているのが本人認証サービスの「EMV 3-Dセキュア」。
財津「不正利用対策として、本人認証・券面認証(例:セキュリティコード)・属性行動分析(例:不正検知システム)・配送先情報という4つの対策がありましたが、本人認証を強化するために、EMV 3-Dセキュアが義務化となりました」
関連記事:EC事業者様が知っておくべき「クレジットカード・セキュリティガイドライン」徹底解説 | あなたのとなりに、決済を
「クレジットカード・セキュリティガイドライン【4.0版】」(2023年3月15日公開)では、不正利用対策として
『原則、全てのEC加盟店は、2025年3月末までにEMV 3-Dセキュアの導入を求める。
イシュアー(クレジットカードを発行する事業者)は、EMV 3-Dセキュアの本人認証方法として
「静的(固定)パスワード」から「動的(ワンタイム)パスワード」等の認証方法への移行環境を整え、
2025年3月末までに自社カード会員が「動的(ワンタイム)パスワード」等の認証方法へ登録・移行するよう取組む』
と示されています。
EMV 3-Dセキュア(3DS2.0)とは
財津「EMV 3-Dセキュア(3DS2.0)とは、クレジットカード番号などの情報盗用による不正利用を防ぎ、安全に取引(決済)を行うための本人認証サービス。導入するメリットは、不正利用防止やチャージバックリスク回避、また従来のEMV 3-Dセキュアに比べカゴ落ち要因となる点も改善されています」
関連記事:「3Dセキュア2.0(EMV 3-Dセキュア)」導入のメリットとは?― 「3Dセキュア1.0」との違いを解説 ―
EMV 3-Dセキュアのチャージバック免責条件
EMV 3-Dセキュアを導入し条件を満たした対象取引において、EC加盟店はチャージバックが免責されます。
チャージバックとは、顧客がクレジットカードの不正使用や不承諾の理由で支払いを取り消した場合に、クレジットカード会社がその支払いを返金することです。チャージバックは顧客の安心を保証する一方で、事業者にとっては損失リスクとなります。
財津「チャージバックの免責には条件が存在します。
EMV 3-Dセキュア導入後で、オーソリ実行された取引である場合、あるいはカード発行会社(イシュア)が未対応またはカードホルダー自身がEMV 3-Dセキュアに未参加であった取引の場合に限りチャージバックが免責されます」
カゴ落ちを改善 リスクベース認証の仕組み
財津「EMV 3-Dセキュアでは、リスクベース認証という仕組みが導入されています。
リスクベース認証とは、エンドユーザーの取引情報・属性情報・振る舞い・デバイスの情報などをもとに、その取引のリスクを判定する仕組みです。
リスクベース認証でリスクが「低」と判定された取引は、そのままオーソリ実行されます。
一方で「中」リスクと判定されたものは、チャレンジ認証という形でエンドユーザーが見ている画面に、カード発行会社のID・パスワード等を入力する画面が出てきます。認証に成功すると事業者様の画面へ戻り、オーソリが実行されます。
リスク「高」と判定された場合、チャレンジ認証にも進まず認証失敗という形で取引NGとなります。
EMV 3-Dセキュアはリスク度に応じてフローが異なるため、従来の3-Dセキュアのように必ずパスワード認証が求められる設計よりも、カゴ落ちの改善が期待されています。
リスク度判定においては、名前・住所・電話番号・メールアドレスや個人の属性情報など、各加盟店様が獲得でき得る情報をより多くイシュアへ送信いただくことが精度向上につながると言われています」
メルカリ 田中 啓介氏
不正利用を1/100に抑えたセキュリティ対策 ~メルカリの不正利用対策とは~
不正利用を1/100に抑えたセキュリティ対策 ~メルカリの不正利用対策とは~
メルカリグループの不正被害状況
後半は、メルカリのJR TnS Product Manager of Manager(不正対策部門開発責任者)田中 啓介氏より、メルカリグループの不正被害状況や不正対策について詳しくご紹介いただきました。
田中氏「2022年前半のメルカリグループの不正被害状況は、フィッシング被害額が約10億円、クレジットカード不正利用による被害額は約23億円となっており、当社の利益に対する損失が増大している状態でした。
メルカリでの不正取引では、情報漏えいや売買されたクレジットカード情報のほか、フィッシングサイト等で不正に取得されたアカウントや、犯行者が大量に作成したアカウントを用いメルカリで取引を成立させキャッシュアウトするというものです。
メルカリでの不正取引には大きく3つのパターンがありました。
- 購入者が不正者のパターン
犯人が購入者として不正なクレジットカード情報を使用し商品を購入後、どこかで売却し現金化するもの。 - 出品者が不正者のパターン
出品者(不正者)は在庫がない状態で商品を出品し、購入されたら別のECサイト等で不正に取得したカード情報を利用して商品を購入し、メルカリの購入者の住所へ発送するという手口です。日本以外の海外でもポピュラーな手口となっています。購入者はメルカリで購入したはずにもかかわらず、どこかのECサイトから商品が届くという事象が発生します。また、出品者はメルカリでの売上金を、外部決済に使用する・口座振込を行うといった方法などで入手します。 - 出品者・購入者ともに不正者のパターン
最後のケースは出品者・購入者ともに不正者で架空の取引を行うというもの。実在しない商品を出品し、不正取得したクレジットカード情報を利用して購入することで出品者には手数料分を除いた売上金が計上されます。この取引を繰り返すことで売上を蓄積しメルカリ内での商品購入に充当するほか、送金等を行い外部決済や口座振替で入手する手口がありました」
EMV 3-Dセキュアの導入背景
田中氏「メルカリでは、不正急増時(2021年10月~12月)の前から導入準備を進めていました。
加盟店にとって、クレジットカード不正対策が困難とされる理由は、次の2つあると考えています。
- チャージバックの通知完了まで最大180日を要すること
- 導入対策の効果が見えにくく、適切なPDCAを回しにくいこと
対して、EMV 3-Dセキュアの投資収益率(以下、ROI)は非常に高いと考えていました。
1億円の不正(費用)が発生した場合の考え方ですが、10億円の取引(売上)に相当します。
メルカリでは、取引完了時に商品代金から10%の販売手数料を得ており、これが当社の収益となります。つまり、1億円の不正(費用)を収益で補うにはその10倍の取引(売上)が必要です。
経営層には売上に換算すると10億円またはそれ以上の規模のインパクトであると伝えコミュニケーションを行っていきました。
加えてアクワイアラ様とGMO-PGからの提案もあり、今回の導入が実現しました」
EMV 3-Dセキュア導入後の不正被害額の推移
EMV 3-Dセキュア導入後の成果・課題と振り返り
メルカリにおいてEMV 3-Dセキュア導入後の成果を感じる一方で、課題はあったのでしょうか。
田中氏は導入してよかった点・課題を次のように挙げています。
良かった点
- 不正被害が激減していること
- 不正対策のチューニング頻度が減少したことによりオペレーション負担が軽減されたこと
- 決済離脱率が想定していた50~15%よりも少なく、多くても5%程度であること
課題
- リスク判定の「低」の割合が予想よりも2-3割低かったこと
- 認証後のオーソリエラー発生率が7%前後とやや高いこと
- チャージバック連絡が来なくなるため、不正情報が不足し不正検知のノウハウが蓄積できないこと
田中氏「これらはアクワイアラ様やGMO-PGからのご支援が必要な点もあるため、適宜ご相談・ご対応いただいています。
また、EMV 3-Dセキュアに対しては導入前には画面離脱が多いだろうという予想があったのですが、メルカリではオーソリエラーの方が多く発生していることがわかっています。
現在当社では、オーソリエラーを減らす取り組みとして、エラー表示画面のUXの改善を行っています。具体的には、自動で別の決済手段を提案するといった方法を検討しています」
メルカリグループでのフィッシング対策
メルカリグループでは、クレジットカード不正利用に対するEMV 3-Dセキュアでの対策に加え、フィッシング対策にも積極的に取り組んでいます。
田中氏「メルカリを騙るフィッシングサイトが出現した2年前から現在までで、クレジットカード情報を狙うものからメルカリアカウントの乗っ取りを目的とするものへ変化しています。
フィッシングサイトのつくりも精度が上がりお客さまでは判別できないようなものも出現していることから、メルカリでの認証強化を進めています。
一例として生体認証の有効性について確認しており、2023年中にはFIDO認証を順次拡大していっております」
また、新たなフィッシング手法が出るたびに囮アカウントを用いた手口調査を実施し、対策やプロダクト改修へつなげています。
▼認証強化の一例
メルカリグループにおける不正対策に対する組織的な課題
メルカリとメルペイを横断した不正対策部門を組織し、全社横断で不正対策へ取り組んでいると語る田中氏。
「組織的な課題として、潜在的リスクに対する向き合い方が肝要と考えています。
一般的に企業ではビジネスの伸長への投資に比べ、不正対策は潜在的リスクとして後回しになりやすい。不正対策の部門はなく、経理や一部のオペレーション担当者が担うケースも多いと思います。
実際は不正対策のROIが見えている(被害が顕在化している)時点ですでに後手になってしまっている状態と言えるので、いかにROIを問わずに対応ができるか・課題を解決できるかが重要と考えます。
当社において不正対策で最優先にしたのは予算管理コードの見直しと不正コストの可視化でした。例えば予算管理コードでチャージバックコストを分化し明確にトラッキングできるよう整備。経営層への報告にもチャージバックの増加がわかるようにしました。このように不正に紐づくコストを切り分けておくことで、増加や増加要因を経営層にも認識させ、適切な判断をしていただくよう進めました。
また、不正対策には、決済だけでなくサイト構築など幅広い知見と組織横断の協力が不可欠。これらを推進できる体制を構築することがキーとなります」
EC加盟店側で積極的に不正対策を推進するには
クレジットカード・セキュリティガイドライン【4.0版】では、EC加盟店は2025年3月末までに、以下の内容に対応するものと記載されています。
- EMV 3-Dセキュアの導入(全ての加盟店が必須)
- 不正利用対策の具体的な施策の導入
- 基本的なセキュリティ対策の実施
加盟店側で不正対策を推進するには、どのような取り組みや考え方が求められるのでしょうか。
田中氏「不正対策の目的は“不正を撲滅すること”ではなく、“お客さまが安心してサービスを利用できる環境を提供すること”だと思います。UXの優れた不正対策を実現するためにも、グロース関係者やUXチームとの連携は不可欠です。
メルカリのミッションは「あらゆる価値を循環させ、あらゆる人の可能性を広げる」こと。ユーザーのリテラシーに依存せず、無意識の安全の確保を追求していきたいです」
Q&A
Q)リスクベース認証の判定精度を高めるために実施していることはありますか?
田中氏「パラメータを極力送信できるようにしています。パラメータはEMV 3-Dセキュアにおいてはイシュア様で判定する際に必要な情報であり、数を出すほどリスクを「低」にできる確率が上がると考えています。ただし、お客さまの個人情報の第三者提供にあたるため、同意を取った上で実施させていただいております」
Q)実装してから効果が出るまでに行われた具体的な対応を教えてください。
田中氏「チャージバックの連絡は遅いので最後の参考資料としながらも、それ以前では配送停止があった明細をトラッキングし、どういったカテゴリーやアカウントかなどの特徴を分析。独自のルールづくりをして決済が完了しないような仕組みを作るなどしていました。登録いただいた電話番号などでも外部のデータも活用しながらルールチューニングを行っていきました」
Q)50代以上のユーザー様が多いのですが、追加認証となった場合、注文完了までにカゴ落ちしてしまう方は多くなるものでしょうか。また、それを防ぐための対策はありますか?
田中氏「年齢別の離脱率を調べたところ、メルカリでは30代と40代の方の離脱率がもっとも多く、50代の方はそれほど多くはなかったという結果が出ています。当社としても一定数のお客さまが離脱してしまうことは、どうしても避けられないと考えております。
現在は離脱してしまったお客さまが再度決済できるような使いやすいUXを提供するため開発を行っております」
Q)EMV 3-Dセキュア導入によるエンドユーザー様のお問い合わせにはどのようなものがあるのでしょうか。
田中氏「以下のようなお問い合わせがあります。まだ日本では3Dセキュア体験がマイナーであることからのお問い合わせが多いです。
1. 認証に対する不安
-初めて認証を求められた
2. 認証方法がわからない/認証できない
-ワンタイムパスワードが受け取れない
-パスワードがわからない/一致しない
EMV 3-Dセキュアの障害、SDKの更新漏れ時にはお問い合わせが増加しますが、
通常時では、全お問い合わせのうちEMV 3-Dセキュア関連は0.05%未満です」
Q)導入にあたってどのようなものが必要でしょうか。
財津「次のような内容をご参考の上、ご準備いただければと思います」
Q)EMV 3-Dセキュアの導入義務化についてどう思われますか?
田中氏「少し難しい質問ではありますが、私個人としては賛成です。
例えば、海外では過去10年特に不正利用が多い時期がありました。それに対しヨーロッパでは3-Dセキュア義務化により不正が減っていったという実績があります。日本は義務化の遅れから不正利用が増加し、それに対処するコストもかさみ、売上を棄損している状態。日本全体で3-Dセキュアや認証方法が浸透することが重要だと考えています。
また、加盟店としてはチャージバック免責はメリットですし、導入している加盟店と導入していない加盟店があった場合、未導入加盟店が狙われるので、いち早く導入し、自社のサイトを守ることも可能かと思います」
財津「現状、本人認証サービスとしての標準化が必要だと考えております。エンドユーザー様も二要素認証に慣れてきており、カード会社様の啓蒙が進めば導入コストはかかるものの受けられるメリットは大きいと考えます。EMV 3-Dセキュアが標準化されることで、膨大な不正情報を収集することが可能となり、加盟店様を保護できるより精度の高いフィードバックにもつながります。導入へのハードルはあるもののご対応いただくことで着実に対処が進む取り組みであると考えています」
Q)配送先が転送会社の場合の発送有無の判断基準などはありますか?
田中氏「特にないですが、不正でよく使用される配送先の場合にモニタリング、EMV 3-Dセキュアを発火させるなどは行っております」
財津「GMO-PGでは不正住所検知サービスをご用意していますので、そういったサービスを活用いただくことも可能です」