生産者から直接食材や植物などの購入が可能な、日本最大の産直通販サイト「食べチョク」を運営するビビッドガーデン。
今回はそんなビビッドガーデンに、「クレジットマスターアタック」による脅威と、被害への対策についてお話を伺った。
貴社の運営している「食べチョク」について教えて下さい。
当社の「食べチョク」は、消費者が生産者から直接食材や花などを購入することができる日本最大の産直通販サイトです。
「生産者に価格決定権がない」「生産者に渡る手取りの割合が低い」といった、従来の物流構造での課題に着目し、生産者自身で価格帯を設定し消費者へ直販売できるようなサービスとして生み出されました。
現在では「ふるさと納税」サービスや、法人企業の福利厚生や顧客向け施策に食べチョクを活用いただくサービスなど幅広く事業を展開しています。
2023年11月の時点でユーザーは約95万人を達成し、生産者数も9,100軒を突破するなど、国内の産直通販サイトでの認知度や利用率においてNo.1を獲得するまでに拡大しました。
どのように生産者・消費者を支援しているのでしょうか?
主に3つの特徴からサポートしています。
1つ目は、全国の中小規模の生産者への持続的な販路確保と売上向上です。
既存の流通経路では、間に複数業者を挟むため手元に残るのが販売金額の3〜5割と言われていますが、食べチョクでは生産者が生産コストやこだわりに見合った値段をつけて消費者に直接販売できるため、販売価格の8割が手元に残ります。
2つ目は、生産者と消費者に対するサポート体制です。
食べチョクでは、「生産者ファースト」という考えを大事にし、生産者さんが安心して生産品をEC販売できるような環境作りに取り組んでいます。例えば、お客様の問い合わせが来た時には必ず間に入り、生産者の方々が生産業務に集中しながら、ユーザーへの対応もスムーズに行えるような仕組みを用意しています。
また、自然災害や不正利用など、販売や郵送中にてトラブルが発生した際にも、まずは当社のカスタマーサポートが引き受けて対応し、その後の対応も当社内で協議しながら進めています。
3つ目は、様々なバックグラウンドを持ったスタッフによるプロダクト開発や事業推進です。外資のコンサルにいた人間やIT企業出身者などあえて農業とは別の業界から人材を採用することで、これまで一次産業にはなかったスピード感やITの知見を活かし事業を推進しています。
トラブル対応も貴社で行われているとのことですが、実際に不正被害の対応は過去にあったのでしょうか?
ありました。
まさに、クレジットカードの不正利用と思わしき注文がきた際には、生産者様に発送を止めていただくように案内する必要が出てくるので、そういった場合はすぐにカスタマーサポートの担当スタッフと連携し、発送を取りやめてもらうなどの対応は実施していました。
不正被害に気づいたきっかけは何ですか?
私たちがASUKAの導入前に悩んでいた不正被害が「クレジットマスターアタック」と呼ばれる大量アタック被害だったんです。
ある日、弊社サーバーに対して短期間に大量のアクセスが来ており、確認すると特定のIPアドレスからの大量アクセスが確認されました。
「クレジットマスターアタック」は、第三者のクレジットカードで商品を注文し購入されるという手口というより、クレジットカード番号をランダムに入力し有効性を確認する不正手口のため目視チェックなどによる事前の発見も難しく、すぐに気づくことはできませんでした。
クレジットマスターアタックによる被害の影響はどのようなものでしたか?
お客様からの直接的なクレームはなかったものの、「クレジットマスターアタック」により、当社のECにおいて様々な影響が出ました。
一番の被害は、海外発行カードでの決済がカード会社で止められてしまったことです。
「クレジットマスターアタック」以外に、その他で発生したチャージバックの影響もあるとはいえ、非常に痛手でした。
幸い、越境ECではなかったためクレームが発生…ということはありませんでしたが、海外発行カードで決済を試みたユーザー様から「カードが使えない」といった連絡が来ることもありました。
困ったことに、どのような基準で海外発行カードが止められてしまったかは当社側では全く把握できないんですよね。
恐らく、海外のサーバー経由での大量アタックだったのか、その後発生したチャージバックの中に海外発行クレカが多かったのか定かではないのですが、そのような理由から海外発行のクレジットが使えなくなってしまったのではないかと推測しています。海外発行クレジットカード決済停止の理由が当社側で解明できないのは非常に厄介でした。
次に、チャージバック金額が平均値の10倍近く発生し、生産者様がこだわりを持って生産された商品が不正ユーザーに届いてしまう事態に。
「クレジットマスターアタック」自体は先ほど言った通り、クレジットカードの有効性を確認するような不正ではありますが、実際に有効なカードが決済で通った場合に商品が副次的に不正ユーザーに購入されるケースが相次ぎました。
当社では「お米」と「日本酒」という保存しやすく、転売しやすい生産品が不正ユーザーに狙われてしまい、「クレジットマスターアタック」により使用できるカードが判別されれば、そのまま転売などを目的に一斉に購入されてしまったんです。
そのため、被害金額で言うと「クレジットマスターアタック」によるトランザクション費用の発生と、チャージバックの発生のダブルで被害を受けてしまった…というのが今回の被害ですね。
「クレジットマスターアタック」は様々な不正の入り口になっているのだと、本件で痛感しました。
最後に、チャージバックだけでなく、実際に狙われた生産者様からサービスの利用に対する不信感が生まれる事にも繋がってしまいました。
実際に商品を購入したいユーザーに自身の生産した商品を届けたい、という思いがある生産者様は、当然ながら不正ユーザーからの購入が相次ぐと「食べチョク」で生産品を出品するのは控えよう、という出品控えが起きてしまいます。
今まではここまでの不正被害は発生していなかったこともあり、特に外部のクレジットマスター防止ツールを使った対策をしていませんでしたが、「クレジットマスターアタック」は業界に関係なく被害に遭う可能性がある、と実感しましたね。
今回の被害を受けて社内で話し合い、サービスの信頼性の向上や生産者と消費者の安全な売買を目指し、不正利用対策を検討することになりました。
ASUKAを導入した決め手は?
何点かありますが、一番大きい決め手になったことは
カードのオーソリが走る前に不正検知を行うため、「クレジットマスターアタック」によって発生しうる決済手数料がかからないという点です。
不正検知の導入時に、ASUKA以外の不正検知サービスも検討していましたが、オーソリ前に不正検知を行う仕組みはASUKAだけでした。
また、決済手数料の削減だけでなく、「クレジットマスターアタック」による決済もASUKAで高リスクユーザーとしてブロックしてもらえるのでチャージバックも大幅に削減できました。
次に、月額費用が他の不正検知ツールと比較して安価なことです。
当社は、ASUKAの中でも「クレジットマスターアタック」被害の防止に特化したASUKAクレマス版というプランを契約していますが、月額固定の金額で対策可能なので、比較的コストを抑えながら導入できました。スタートアップにも優しい金額感だと感じています。
最後に、実装によるユーザーへの影響が少ないところが評価ポイントでした。
ASUKA導入による、ユーザー側での操作性やUIなどの変化もなく、サイトが重くなるといった影響もなかったため、導入後も不正対策をしながらも、ユーザーにとってスムーズな購入が可能なECとして展開できました。
ASUKA導入後、社内における不正対策の変化はありましたか?
非常に変化しました。
導入後は、ASUKAのダッシュボードから不正利用者や不正状況に関する様々なデータが確認できるようになったため、不正利用の調査の幅が広がりました。
今では万が一、カード会社からの利用内容照会などが来た際には、真っ先にASUKAのダッシュボードでユーザー情報を調べるようにしています。
また、ASUKAの機能にある【マンスリーレポート】を活用することで当社の月ごとの不正傾向がレポート化され、社内で簡単に共有できるようになりました。
今まで可視化されなかった不正状況が一目でわかるので、社内の不正利用に対する意識も向上しましたし、実際に不正利用が起きた際の対応フローも確立できました。
ASUKAの導入に加え、不正対策の運用が変化したことで、チャージバック金額は導入前と比べても軽減されたと感じています。
今後アクルに期待することがあれば教えて下さい。
不正の手口や傾向は日々変容していくので、社内の不正対策強化のためにも今後も最新の不正状況を発信していただきたいです!
不正検知ツールを導入することはもちろん大切ですが、不正被害を出さない運用も大切だと考えています。
最近では、生産者様から「この注文、不正ユーザーからでは?」といったご相談があり、不正が止められたケースも出てくるようになりました。
アクルから発信される最新の不正対策に関する知識を活用して、今後も商品を出品して下さる生産者様と協力しながら不正を防止できればと思います。
ビビッドガーデンの担当者さま、インタビューのご協力ありがとうございました!