最近ネットショップ様より、「不正住所(不正配送先、不正利用懸念住所)照合サービス※1を使ったところ、ブラック情報とヒットしたので該当注文をキャンセルしたら、お客様からクレームの連絡が来た」という相談が増えています。
※1:提供元はクレジットカード会社で、一部の決済代行会社もこちらを利用し加盟店へサービス提供しています。
一体何が起こっているのか?
不正住所照合サービスの不正住所データの中に、真正ユーザーのデータが登録され、混在し始めたということです。そのため「注文したのに商品が届かない」という、真正ユーザーからクレームが上がっています。
一体なぜそのようなことになってしまったのか、過去に当社ブログにて「不正配送先住所との照合の落とし穴」として投稿をしていますが、この件について改めて解説したいと思います。
そもそも不正住所照合サービスとは?
数社のクレジットカード会社が集まって、クレジットの不正取引があった情報を一か所へ蓄積させネットショップの方への注意喚起として活用したいという想いから始まったものです。
業界での正式名称はfdec(エフデック)と呼ばれ無償で利用することが可能です。多数の方が使用するという観点より、個人情報とならぬ形でデータベースへ貯められ、決済代行会社やモール事業者などを介して、ネットショップの方が使えるように意図されています。ただし、住所の名寄せ(例:1丁目1番1号、1-1-1、1-1-1など)に手間がかかることが難点です。
UCカード(fdec):https://www2.uccard.co.jp/uc/kameiten/security/unauthorized.html
真正利用者の住所がなぜ登録されるのか?
まずは最近の不正の動向からみていきましょう。最近はフリマアプリでの空出品と思われる手口での不正報告がよく上がってきます。こちらの手口の詳細は、先述の過去のブログ(不正配送先住所との照合の落とし穴 | カード不正対策4方策)として投稿をしていますが、この件を改めて解説したいと思います。
①出品者(犯罪者)は、商品が手元にないままフリマサイトに出品します。いわゆる無在庫出品や空出品と呼ばれる手口で、基本的には禁止されています。
②購入者は、購入後フリマサイトを通じてお金を支払います。
③出品者(犯罪者)は、該当商品を販売しているネットショップへ行き、他人のカード(どこかで詐取したもの)と購入者の情報(氏名、住所など)を使って不正購入をします。
④購入者へネットショップより直接商品が届きます。このタイミングで購入者よりECサイトへフリマサイトで商品を買ったが御社では買ってない等の連絡が入ることがあります。
⑤購入者が受け取り連絡、取引終了連絡を行います。
⑥商品は購入者により受け取られたため、フリマサイトのシステム上、出品者(犯罪者)へ販売代金が支払われます。
次に、⑥から1〜2ヶ月後あたりで、不正利用されたカードの持ち主とカード会社とのやり取りが発生します。どのようなやり取りなのか、下記で実際に解説をしていきます。
①悪用されたカードの持ち主から、カード明細に利用覚えのない請求があるとカード会社へ連絡が入ります。
②カード会社から、ネットショップ※へ注文情報(商品、購入者情報)の確認が行われます。(※決済代行会社経由の場合あり)
③カード会社から、注文情報をカードホルダーへ確認し、不正利用が確定します。
④カード会社から、お店へチャージバックの連絡が入ります。
⑤カード会社にて、fdecへ不正利用が確定した「配送先住所」などとして登録されます。
実際の注文があったタイミングから、不正住所としてfdecに登録される期間は約2カ月~6カ月となりますが、①のカードの持ち主が不正に気づくタイミングや、①〜⑤の間の事務処理などで期間が変動することもあります。このように、購入者の住所情報が不正住所としてfdecへ登録されていき、真正利用者の情報が、不正住所データの中に混ざってしまうのです。
fdec(不正住所)に登録されてしまう人とは?
フリマサイトによる住所の不正利用の原因について上記で取り上げましたが、それでは、一体どのような人がfdec(不正住所)に登録されてしまうのでしょうか?フリマ以外の例も、順に紹介しておきたいと思います。
①フリマサイトで悪質購入者から購入してしまった真正利用者
②不正受け取りがされた部屋へあとから引っ越してきた真正利用者
③個人情報が流出し悪用されてしまった真正利用者
▼②番目の不正受け取りがされた部屋へあとから引っ越してきた真正利用者について
不正利用の手口として、他人のカードを使って購入したものの受け取りに人が住んでいない(賃貸募集物件)部屋が指定されることもあります。
この場合は、後からその部屋へ引越ししてきた人がネットショップでものを買おうとした際に、店が不正住所検索をすると引っかかったため、ネットショップ側で不正注文だと判断し商品の配送を取りやめるということが起こりえます。不正住所としてfdecに登録されるのは、不正受け取りがあったタイミングから、2カ月から6カ月後ですので、真正な方が住まれているという可能性は十分にあり得ます。
▼③個人情報が流出し悪用されてしまった真正利用者について
不正利用者がお店での不正購入時に、詐取した個人情報を使うという手口があります。
この場合、商品がお店から出荷された後に、不正利用者は配送業者へ連絡し、届け先を別の住所(近くの空き家など)へ変更するという場合です。こうなると、fdecへは不正住所として最終的に届けられた場所ではなく、注文として入ってきた配送住所が登録されます。
どう対策すればいいのか?
不正住所検知(fdec)の中に真正利用者情報が含まれ、かつその件数が増えているという状況だとすると、お店としてはどうしたらいいのでしょうか?不正住所にヒットしたとしても、倉庫や転送会社、ウィークリーマンションなどではない場合は、一度疑ってみる必要が出てきました。
その場合は、カード会社(決済代行会社)へ属性照会※を行う、もしくは住所検知以外のふるまいなどで不正検知ができる不正検知ソリューションをご利用することをお勧めします。
※属性照会とは、決済代行会社を通じて、注文者情報がカード会社のカードホルダー情報と合致するかを確認する業務となります。
弊社の不正検知・認証システムASUKAでは、そんな悩みを持つ加盟店様やクレジットカード不正にお困りの加盟店様向けに、自社ECサイトでのチャージバックを減らしていくための不正検知と未然に防ぐ認証を実施し、後発ながらも従来サービスの課題を解決した加盟店様に寄り添ったサービスを提供しております。
今不正に困っているといったお話や、今後に備えて対策をしたい、決済セキュリティ強化を検討されてるなど、不正やセキュリティにかかわるお悩みも合わせてご相談いただけましたら幸いです。
お気兼ねなく弊社までご相談ください。
*上記資料のダウンロードは予告なく終了となる場合があります。ご了承ください。
当社ではカード加盟店向けの不正検知・認証システムサービスを展開しています。
サービス詳細・導入事例は上記のページをご確認ください。