MEDIA_ARTICLE

”不正検知システム”とは？～何をしてくれるサービスなのか～

公開日2021年10月20日

最終更新日2021年10月21日

クレジットカードの不正利用の被害に遭い、チャージバックを受けてしまっているECサイトの担当者の方は、この不正をどうやって減らそうかということを検討し始めるかと思います。

そこで決済代行会社／PSPやECベンダーやカード会社に不正対策について相談すると、おそらく”不正検知システム”というツールの紹介を受けた方も多いかと思います。

しかし”不正検知システム”というサービスはマイナーでニッチなサービスであるため”どういったサービスかイメージが沸かない”という方も多いと思いますので、今回はそんな方のために”不正検知システム”というサービスは何をしてくれるのか？ということを紹介していきます。

１．不正検知システムは”不正”を”検知”してくれるのか？
２．不正検知を導入しても不正がゼロになるわけではない！
３．それでも不正検知を導入するべき！その理由は？

１．不正検知システムは”不正”を”検知”してくれるのか？

”不正検知”という文字だけを見ると”不正”な注文・ユーザーを”検知”してくれそうな印象を持ちますが、実際にほんとうに検知してくれるのでしょうか？

不正を検知するロジックは様々でありますが、ほとんどの不正検知にはブラックリストとの照合というロジックがあります。これは過去に不正利用に使用された情報（住所やカード情報やメールアドレスなど）をブラックリストとして管理しておき、そこと同じ情報を使っているかどうかを突合するようなロジックになります。ブラックリストにある情報と同じ情報を使ってくる注文・ユーザーは不正利用の可能性が極めて高いため、この場合は”不正”を”検知”してくれることになるでしょう。

※カメラをかざすと不正利用者を検知できるイメージ図

しかし、不正ユーザーはいつまでも同じ情報を使ってくれるほど優しくありません。不正ユーザー側もこちら側(ECサイトや不正検知システム)がブラックリスト管理をしていることは認識していますので、使う情報を変えながら不正利用してくるのが常套手段です。住所、カード情報、メールアドレス、電話番号の全てをコロコロ変えながら、ということです。

（特にカード情報は不正利用が確定すると即座にカードの利用停止制限がかかるため、不正ユーザーは同じカード情報を使い続けることはできません。）

ここで1つの疑問が生まれます。

それは、不正ユーザーが使用する情報をコロコロ変えてきたときに、不正検知システムはそれを検知することはできるのか？という点です。

２．不正検知を導入しても不正がゼロになるわけではない！

不正ユーザーが使用する情報をコロコロ変えてきたときに、不正検知システムはそれを検知することはできるのか？

答えは“検知できない可能性が高い”です。

もちろん不正検知システムはブラックリストに突合して不正ユーザーを検知する、だけではないので、ブラックリストに登録されていない情報を使用してきたとしても検知できることもあります。

そこでの検知は不正検知システムが設定した不正ユーザーの”仮定”が当てはまった、ということを意味しています。そして、この”仮定”は過去の不正ユーザーの傾向を読み取り設定しているものであり、これに当てはまったユーザーはあくまで”不正ユーザーの可能性が高い”ということに過ぎず、ここで検知されたユーザーが本当に不正ユーザーなのかどうかは定かではありません。

さらに、不正ユーザーは日銭を稼ぐために必死で、いまや集団で生業として不正利用をしているような輩もいますので、同じ手口を繰り返してくれません。手を変え品を変えやってきます。実際に1年前と今の不正利用の手口は少しずつではありますが、変わってきています。おそらく1年後の不正利用の傾向も変わっていることでしょう。

先述したように不正検知システムの”仮定”は過去の傾向から設定しているので、これからの不正利用の傾向を「今年のトレンドカラー」のように先読みすることはできません。

不正ユーザーが新しい傾向でやってきたときには”仮定”に当てはまらなくなってしまうということです。それがゆえ、不正検知システムを導入していても不正利用がゼロになる、ということはないのです。

３．それでも不正検知を導入するべき！その理由は？

不正利用を”ゼロ”にすることができないのであれば、不正検知システムは導入しなくてもいいように思っている読者もいるかもしれませんが、それでも不正検知システムは導入する価値が大きいです。不正をゼロにすることはできませんが導入するべきです。

それは、不正をゼロにすることはできないが、不正を”減らす”ことができるからです。

不正ユーザーは手を変え品を変えやってくるのですが、それはECサイト側が対策を講じていることの裏付けにもなります。

しかしこれがECサイト側が十分な対策を講じられていないと

同じ手口でやられっぱなしになってしまったり、

新しい手口でやられてもそれに気付くのが遅くなってしまったり

ECサイト側で見えている情報だけでは傾向が掴みきれずに明確な対策が打てない、

という状況に陥ってしまい必要以上に不正被害の規模が大きくなってしまうことがあります。

それが不正検知システムを導入していれば、不正ユーザーが手口を変えて不正利用してきたとしても、その新しい手口の傾向を掴み、それをまた新しい”仮定”として設定し、その手口を封じ込む対応をしてくれます。そうすると、また不正ユーザーは別の新しい手口を試みてきます。そして、またそれを”仮定”に落とし込み対策を講じる、というサイクルを繰り返していき徐々に不正を逓減させていくことができます。

※不正検知導入時/未導入時の不正被害金額の推移イメージ

また、不正対策という分野はニッチすぎて詳しい方は社内にはいないでしょうし、教科書もありません。なので、EC担当部門の方が四苦八苦しながらマンパワーを駆使しながら対策をされていることが多いのですが、それだと本来の業務は不正対策ではありませんので現場が疲弊してしまいます。

不正検知システムの役割は”いかに早く不正利用の傾向を把握し対策を講じれるか”ところにあり、不正被害を最小限に抑え込むことにあります。

被害をゼロにすることはできないのですが、被害を最小限に抑えることができるのは不正検知システムだけです。

結びにー

不正ユーザーとの攻防はいたちごっこであるのは確かなのですが、だからといってそのいたちごっこから目を背けてはいけません。一度不正集団に目をつけられてしまったら、なかなか離れてくれず、不正対策は終わりのないマラソンのようなものです。このいたちごっこにどこまで真面目に粘り強くスタミナを切らさずに向き合えるかが重要です。そんな苦しい苦しいマラソンの伴走者が不正対策システムです。この記事の読者の皆さんに良い伴走者が見つかることを心からお祈りしております。