不正利用を 1/100 に抑えるセキュリティ対策

多面的・重層的な不正利用対策が求められるなか、番号盗用被害対策に有効と考えられているのが本人認証サービスの「EMV 3-Dセキュア」。

財津「不正利用対策として、本人認証・券面認証（例：セキュリティコード）・属性行動分析（例：不正検知システム）・配送先情報という4つの対策がありましたが、本人認証を強化するために、EMV 3-Dセキュアが義務化となりました」

関連記事：EC事業者様が知っておくべき「クレジットカード・セキュリティガイドライン」徹底解説 | あなたのとなりに、決済を

「クレジットカード・セキュリティガイドライン【4.0版】」（2023年3月15日公開）では、不正利用対策として

『原則、全てのEC加盟店は、2025年3月末までにEMV 3-Dセキュアの導入を求める。

　イシュアー（クレジットカードを発行する事業者）は、EMV 3-Dセキュアの本人認証方法として

　「静的（固定）パスワード」から「動的（ワンタイム）パスワード」等の認証方法への移行環境を整え、

　2025年3月末までに自社カード会員が「動的（ワンタイム）パスワード」等の認証方法へ登録・移行するよう取組む』

と示されています。

財津「EMV 3-Dセキュア（3DS2.0）とは、クレジットカード番号などの情報盗用による不正利用を防ぎ、安全に取引（決済）を行うための本人認証サービス。導入するメリットは、不正利用防止やチャージバックリスク回避、また従来のEMV 3-Dセキュアに比べカゴ落ち要因となる点も改善されています」

関連記事：「3Dセキュア2.0(EMV 3-Dセキュア)」導入のメリットとは？― 「3Dセキュア1.0」との違いを解説 ―

EMV 3-Dセキュアを導入し条件を満たした対象取引において、EC加盟店はチャージバックが免責されます。

チャージバックとは、顧客がクレジットカードの不正使用や不承諾の理由で支払いを取り消した場合に、クレジットカード会社がその支払いを返金することです。チャージバックは顧客の安心を保証する一方で、事業者にとっては損失リスクとなります。

財津「チャージバックの免責には条件が存在します。

EMV 3-Dセキュア導入後で、オーソリ実行された取引である場合、あるいはカード発行会社（イシュア）が未対応またはカードホルダー自身がEMV 3-Dセキュアに未参加であった取引の場合に限りチャージバックが免責されます」

財津「EMV 3-Dセキュアでは、リスクベース認証という仕組みが導入されています。

リスクベース認証とは、エンドユーザーの取引情報・属性情報・振る舞い・デバイスの情報などをもとに、その取引のリスクを判定する仕組みです。
リスクベース認証でリスクが「低」と判定された取引は、そのままオーソリ実行されます。

一方で「中」リスクと判定されたものは、チャレンジ認証という形でエンドユーザーが見ている画面に、カード発行会社のID・パスワード等を入力する画面が出てきます。認証に成功すると事業者様の画面へ戻り、オーソリが実行されます。

リスク「高」と判定された場合、チャレンジ認証にも進まず認証失敗という形で取引NGとなります。
EMV 3-Dセキュアはリスク度に応じてフローが異なるため、従来の3-Dセキュアのように必ずパスワード認証が求められる設計よりも、カゴ落ちの改善が期待されています。
リスク度判定においては、名前・住所・電話番号・メールアドレスや個人の属性情報など、各加盟店様が獲得でき得る情報をより多くイシュアへ送信いただくことが精度向上につながると言われています」

EMV 3-Dセキュア導入には2025年3月末までという期限が設けられていますが、この導入期限を目前に、関連事業者ごとの課題を解決するための議論が重ねられています。

財津「EMV 3-Dセキュアの義務化に向け、各事業者の連携により認証精度を高めていくことが重要であると考えています。

また、適切な導入推進と運用のための導入基準とロードマップについても議論が重ねられています。今後も最新情報を積極的にキャッチしていただければと思います」

次にメルカリグループでのクレジットカード不正対策としてEMV 3-Dセキュアを導入した背景、導入後の不正被害の推移、導入時・導入後の課題についてご説明いただきました。

田中氏「メルカリでは、不正急増時（2021年10月～12月）の前から導入準備を進めていました。

加盟店にとって、クレジットカード不正対策が困難とされる理由は、次の2つあると考えています。

• チャージバックの通知完了まで最大180日を要すること
• 導入対策の効果が見えにくく、適切なPDCAを回しにくいこと

対して、EMV 3-Dセキュアの投資収益率（以下、ROI）は非常に高いと考えていました。

1億円の不正（費用）が発生した場合の考え方ですが、10億円の取引（売上）に相当します。

メルカリでは、取引完了時に商品代金から10%の販売手数料を得ており、これが当社の収益となります。つまり、1億円の不正（費用）を収益で補うにはその10倍の取引（売上）が必要です。

経営層には売上に換算すると10億円またはそれ以上の規模のインパクトであると伝えコミュニケーションを行っていきました。

加えてアクワイアラ様とGMO-PGからの提案もあり、今回の導入が実現しました」

メルカリでは2022年2月より順次導入を推進していきました。

田中氏「EMV 3-Dセキュア導入後の不正被害額の推移は、2021年12月の不正利用額を基準値とした場合、2023年2月には約100分の1程度まで減少しました。

導入後に複数回トラッキングした結果では、最大で5%ほどの画面離脱が発生していますが、一度離脱しても約半数以上のユーザー様が別の決済手段で決済を完了してくださっているため、最終的な離脱率は2～3%ほどと言えます」

さらに田中氏は、経路ごとの被害推移から不正者は明らかにEMV 3-Dセキュアを避けるような行動をとっており、対策としての効果があると認識しているとも語りました。

メルカリにおいてEMV 3-Dセキュア導入後の成果を感じる一方で、課題はあったのでしょうか。

田中氏は導入してよかった点・課題を次のように挙げています。

良かった点

• 不正被害が激減していること
• 不正対策のチューニング頻度が減少したことによりオペレーション負担が軽減されたこと
• 決済離脱率が想定していた50～15%よりも少なく、多くても5%程度であること

課題

• リスク判定の「低」の割合が予想よりも2-3割低かったこと
• 認証後のオーソリエラー発生率が7%前後とやや高いこと
• チャージバック連絡が来なくなるため、不正情報が不足し不正検知のノウハウが蓄積できないこと

田中氏「これらはアクワイアラ様やGMO-PGからのご支援が必要な点もあるため、適宜ご相談・ご対応いただいています。

また、EMV 3-Dセキュアに対しては導入前には画面離脱が多いだろうという予想があったのですが、メルカリではオーソリエラーの方が多く発生していることがわかっています。

現在当社では、オーソリエラーを減らす取り組みとして、エラー表示画面のUXの改善を行っています。具体的には、自動で別の決済手段を提案するといった方法を検討しています」

メルカリグループでは、クレジットカード不正利用に対するEMV 3-Dセキュアでの対策に加え、フィッシング対策にも積極的に取り組んでいます。

田中氏「メルカリを騙るフィッシングサイトが出現した2年前から現在までで、クレジットカード情報を狙うものからメルカリアカウントの乗っ取りを目的とするものへ変化しています。

フィッシングサイトのつくりも精度が上がりお客さまでは判別できないようなものも出現していることから、メルカリでの認証強化を進めています。

一例として生体認証の有効性について確認しており、2023年中にはFIDO認証を順次拡大していっております」

また、新たなフィッシング手法が出るたびに囮アカウントを用いた手口調査を実施し、対策やプロダクト改修へつなげています。

▼認証強化の一例

メルカリとメルペイを横断した不正対策部門を組織し、全社横断で不正対策へ取り組んでいると語る田中氏。

「組織的な課題として、潜在的リスクに対する向き合い方が肝要と考えています。

一般的に企業ではビジネスの伸長への投資に比べ、不正対策は潜在的リスクとして後回しになりやすい。不正対策の部門はなく、経理や一部のオペレーション担当者が担うケースも多いと思います。

実際は不正対策のROIが見えている（被害が顕在化している）時点ですでに後手になってしまっている状態と言えるので、いかにROIを問わずに対応ができるか・課題を解決できるかが重要と考えます。

当社において不正対策で最優先にしたのは予算管理コードの見直しと不正コストの可視化でした。例えば予算管理コードでチャージバックコストを分化し明確にトラッキングできるよう整備。経営層への報告にもチャージバックの増加がわかるようにしました。このように不正に紐づくコストを切り分けておくことで、増加や増加要因を経営層にも認識させ、適切な判断をしていただくよう進めました。

また、不正対策には、決済だけでなくサイト構築など幅広い知見と組織横断の協力が不可欠。これらを推進できる体制を構築することがキーとなります」

クレジットカード・セキュリティガイドライン【4.0版】では、EC加盟店は2025年3月末までに、以下の内容に対応するものと記載されています。

• EMV 3-Dセキュアの導入（全ての加盟店が必須）
• 不正利用対策の具体的な施策の導入
• 基本的なセキュリティ対策の実施

加盟店側で不正対策を推進するには、どのような取り組みや考え方が求められるのでしょうか。

田中氏「不正対策の目的は“不正を撲滅すること”ではなく、“お客さまが安心してサービスを利用できる環境を提供すること”だと思います。UXの優れた不正対策を実現するためにも、グロース関係者やUXチームとの連携は不可欠です。

メルカリのミッションは「あらゆる価値を循環させ、あらゆる人の可能性を広げる」こと。ユーザーのリテラシーに依存せず、無意識の安全の確保を追求していきたいです」

最後に、事前に募集した質問にご回答いただいた内容から、一部抜粋してご紹介いたします。

Q）リスクベース認証の判定精度を高めるために実施していることはありますか？

田中氏「パラメータを極力送信できるようにしています。パラメータはEMV 3-Dセキュアにおいてはイシュア様で判定する際に必要な情報であり、数を出すほどリスクを「低」にできる確率が上がると考えています。ただし、お客さまの個人情報の第三者提供にあたるため、同意を取った上で実施させていただいております」

Q）実装してから効果が出るまでに行われた具体的な対応を教えてください。

田中氏「チャージバックの連絡は遅いので最後の参考資料としながらも、それ以前では配送停止があった明細をトラッキングし、どういったカテゴリーやアカウントかなどの特徴を分析。独自のルールづくりをして決済が完了しないような仕組みを作るなどしていました。登録いただいた電話番号などでも外部のデータも活用しながらルールチューニングを行っていきました」

Q）50代以上のユーザー様が多いのですが、追加認証となった場合、注文完了までにカゴ落ちしてしまう方は多くなるものでしょうか。また、それを防ぐための対策はありますか？

田中氏「年齢別の離脱率を調べたところ、メルカリでは30代と40代の方の離脱率がもっとも多く、50代の方はそれほど多くはなかったという結果が出ています。当社としても一定数のお客さまが離脱してしまうことは、どうしても避けられないと考えております。

現在は離脱してしまったお客さまが再度決済できるような使いやすいUXを提供するため開発を行っております」

Q）EMV 3-Dセキュア導入によるエンドユーザー様のお問い合わせにはどのようなものがあるのでしょうか。

田中氏「以下のようなお問い合わせがあります。まだ日本では3Dセキュア体験がマイナーであることからのお問い合わせが多いです。

1.　認証に対する不安

-初めて認証を求められた

2.　認証方法がわからない/認証できない

-ワンタイムパスワードが受け取れない

-パスワードがわからない/一致しない

EMV 3-Dセキュアの障害、SDKの更新漏れ時にはお問い合わせが増加しますが、

通常時では、全お問い合わせのうちEMV 3-Dセキュア関連は0.05%未満です」

Q）導入にあたってどのようなものが必要でしょうか。

財津「次のような内容をご参考の上、ご準備いただければと思います」

Q）EMV 3-Dセキュアの導入義務化についてどう思われますか？

田中氏「少し難しい質問ではありますが、私個人としては賛成です。

例えば、海外では過去10年特に不正利用が多い時期がありました。それに対しヨーロッパでは3-Dセキュア義務化により不正が減っていったという実績があります。日本は義務化の遅れから不正利用が増加し、それに対処するコストもかさみ、売上を棄損している状態。日本全体で3-Dセキュアや認証方法が浸透することが重要だと考えています。

また、加盟店としてはチャージバック免責はメリットですし、導入している加盟店と導入していない加盟店があった場合、未導入加盟店が狙われるので、いち早く導入し、自社のサイトを守ることも可能かと思います」

財津「現状、本人認証サービスとしての標準化が必要だと考えております。エンドユーザー様も二要素認証に慣れてきており、カード会社様の啓蒙が進めば導入コストはかかるものの受けられるメリットは大きいと考えます。EMV 3-Dセキュアが標準化されることで、膨大な不正情報を収集することが可能となり、加盟店様を保護できるより精度の高いフィードバックにもつながります。導入へのハードルはあるもののご対応いただくことで着実に対処が進む取り組みであると考えています」

Q）配送先が転送会社の場合の発送有無の判断基準などはありますか？

田中氏「特にないですが、不正でよく使用される配送先の場合にモニタリング、EMV 3-Dセキュアを発火させるなどは行っております」

財津「GMO-PGでは不正住所検知サービスをご用意していますので、そういったサービスを活用いただくことも可能です」

クレジットカードの不正利用の増加に伴い、2025年3月末までに原則すべての加盟店様に対しEMV 3-Dセキュアの導入が義務づけられました。

導入には追加開発やコストが発生しますが、その結果として不正利用防止・チャージバックリスク回避・カゴ落ちの改善が期待できます。

今回のセミナーではメルカリ様にいち早く対応された事業者様の立場から具体的な実績や効果についてご紹介いただきました。不正利用対策は自社及びエンドユーザー様を守り、健全なEC市場を形成するために貢献する対策の一つであるといえるでしょう。

GMO-PGでは早期の導入を推奨しております。ご検討の際はぜひお気軽にご相談ください。