クレジットカード・セキュリティガイドラインが掲げる非対面の不正利用対策の4方策とは何か
セキュリティガイドラインにおける不正利用対策の4方策は以下の通りです。
- 本人認証:3Dセキュア、認証アシスト
- 券面認証:セキュリティコード
- 属性・行動分析:不正検知システム
- 配送先情報:不正検知システム・配送業者との連携等
①はこれまでも多数触れてきた3Dセキュアなど、カード発行会社がカードホルダー本人しか知り得ないID/PASSやワンタイムパスワードにより本人かどうかを確認する仕組みのこと。
②は既に多くのEC事業者様が実装されているかと思いますが、カードの裏面に記載されているセキュリティコードを確認するもの。
③は当社のような不正検知ベンダーが提供する不正検知サービスなど過去の取引情報に基づくリスク評価により不正取引を判定するもの。
・加盟店毎に不正利用の発生状況に合わせた条件設定が可能
・即時判定により短時間の連続した不正判定などで即時に検知・拒否することが可能
と加盟店毎の傾向により対策ができるもの。
④は③で実施する場合や各加盟店により過去の取引情報等と照会や、
配送業者からの情報提供により事前に配送を停止したりすることが可能。
https://www.j-credit.or.jp/security/understanding/member-store.html
3Dセキュアだけでは防ぎきれない現状
①で言及している「カードホルダー本人しか知り得ない情報」という点について、
前のKNOWRIDGE記事でも紹介しているとおり、現状ではそのID/PASSまで漏洩、若しくはフィッシング等で抜き取られているケースも増加しており、「カードホルダーしか知り得ない」という点において現状では疑問が残る仕組みとなっており、
3Dセキュアさえ入れておけば安心ということでは無くなってきてしまっているという実情があります。
なぜ多重的・重層的な対策が必要か
では何故、今多重的・重層的な対策が必要か、といえば、
複雑化・巧妙化している不正利用に対し、カード発行会社側で持っているデータだけでは検知ができない、という実情があるからです。
これまでは多くの不正利用はカード情報や個人情報の漏洩といった形で、
何かしらの情報が企業側の対策不備で漏洩していた情報が利用されてきましたが、
昨今では、不正利用者が組織化している点も指摘され、カード情報を不正利用者が自ら積極的に取りに行っている。という点が挙げられます。
フィッシングやメールアカウントの乗っ取りなどといった手口で、単純な漏洩ではなく、不正集団がその手口を拡げている点が多く指摘されています。
その中で、カード会社だけの判断基準では検知が難しくなっているという現状があります。
また、カード会社は数万、数十万といった加盟店から、日々カード取引情報が流れてくるわけですから、個別の加盟店に対して適切な不正検知の基準を適用することは現実的に不可能です。
そのため、加盟店毎の傾向や対策が可能な属性・行動分析が求められている。という点が重要となります
なぜ属性・行動分析が重要なのか
当たり前ですが、加盟店毎に扱う商材や客層が異なり、また当然加盟店によってそのポリシーも異なります。
たとえば、一人のユーザーが月に1回程度しか買い物をしないECサイトもあれば、短期間に一人のユーザーが同一商品を複数購入するようなECサイトもあります。
そんな中で、一定のロジックや識別方法で判定してしまうと、
ある加盟店においては多数の真正ユーザーを阻害してしまうことに繋がります。
そこで、各加盟店毎のユーザーの傾向を分析し、適切な設定を行う事が不正の対策はもとより、EC事業者の売上を阻害しない、売上の貢献につなげることも重要であると考えています。
属性行動分析がECサイトの売上向上に貢献する
不正対策をすることにより、一定の真正ユーザーの利用を阻害してしまうのではないか、
といったお問い合わせも日々頂いております。
しかし、現在義務化が進められているEMV3Dセキュアはリスクベース認証という認証方式をとっており、不正の可能性が高いものに認証画面を出すといった仕組みになっています。
そのため、この認証画面が出にくくするためには、不正を根本から減らす必要があると考えています。
つまり、属性・行動分析により、怪しい注文を極力不正でいくことが、
この3Dセキュアのチャレンジ認証もでにくくなる。
結果として3Dセキュアによるカゴ落ちの軽減につながる。
ECサイトの売上に貢献できると、考えています。
ASUKAではこの属性・行動分析や配送先住所による検知が可能です。
・3Dセキュアでのカゴ落ちが気になる。
・不正検知を入れることによる真正ユーザー様の阻害が気になる。
など、現在の不正対策にお悩みのEC事業者様はぜひお問合せください。
