突如20倍に増えたクレジットカード不正利用

少しリッチなお店の食べ放題や高級エステのプレミアムコースなど、贅沢を「体験」として安く提供する「LUXA」の体験チケット。ユーザはお得に楽しめ、提供するお店にとっては富裕層の見込み顧客にアプローチできる。「LUXA」は双方の支持を得て成長してきた。また富裕層のユーザは、出店する物販事業者にとっても魅力のあるターゲットだ。現在、物販と体験チケットの売上はともに伸長しており、年次ベースで着実な成長を続けている。

「LUXA」で最も利用される決済手段はクレジットカードであり、売上の約7割が決済されている。ところが、2018年の6月頃から、クレジットカードの不正利用が急激に増加した。「それまで1ヶ月に15万円程度だったチャージバック（第三者による不正利用などを理由としたカード会社による売上の取消）が、月間300万円に跳ね上がりました」（auコマース＆ライフ　高橋氏）。商品やサービスの仕入代金は通常通り支払うが、売上はクレジットカード会社から不正利用を根拠に取消されるという、事業として看過できない状況であった。突如20倍にも増えたチャージバックに、アクワイアラ（クレジットカード加盟店契約会社）からも不正利用対策を強く要請された。

様々な不正利用対策の導入検討の末、「Sift」にたどり着く

当時クレジットカード取引の際には、すでにセキュリティコードの入力を必須としていたにもかかわらず、不正利用は十分に防げなかった。「担当者による目視チェックで、同じ商品の大量購入、数十万円以上の高額取引、家電や時計・貴金属など換金性の高い商品を大量に購入する取引などの出荷を停止するという対応をしていましたが、チャージバックは思うように減りませんでした。」（高橋氏）

追加で導入を検討したのが、3Dセキュアによる本人認証である。だが、3Dセキュア専用の認証サイトでパスワードを入力させることで、ユーザの離脱や売上低下が懸念された。買い物の際の顧客体験が損なわれることに対して社内から反対意見があり、結果3Dセキュアの導入を見送った。

そこで検討したのが、顧客体験を低下させない、不正利用検知サービスの導入である。「LUXA」では、Siftともう一つのサービスを並行して試用し、Siftの採用を決めた。採用を決めた理由は3つある。

一つめの理由は、検知精度が、Siftの方が高かったことだ。Siftはクレジットカードの取引の不正利用パターンを人工知能により機械学習する。担当者が3週間程度の正常な取引と不正利用の情報を与えることによりSiftに学習させ、その後はほぼ正確に不正利用を判別してアラートを出せるようになった。

二つ目の理由は、管理画面の使いやすさと拡張性だ。「もう一方のサービスと比較して、Siftの方が動作が軽く、操作にストレスを感じませんでした。取引情報の検索条件もスコア（不正利用の疑わしさを表す数値）を指定して、怪しい取引をダイレクトに抽出できるなど、柔軟性が高く使いやすいと感じました」（大槻氏）最終的には、導入する不正利用検知サービスと「LUXA」のシステムを連携させ、不正利用の疑いのある商品の出荷停止の自動化を目指していた。そのためAPIで容易に連携できるSiftの方が開発しやすかったこともポイントだった。

Sift管理画面例①

不正利用を目視チェックで使用する画面。
あらかじめ設定した条件に従って、該当する取引やユーザのみを抽出できる。

三つ目の理由はSiftの行動分析機能だ。Siftは、ユーザが購買するときのフローに沿って、会員登録・商品選択・決済のそれぞれのページに簡単なコードを埋め込むことで、チェックポイントを設けることができる。チェックポイント間の滞在時間を計測して、極端に短いケースは人による操作ではなくbotによる不正利用と判断することが可能だ。比較検討していたもう一方のサービスで同様のことを実現するには、カスタマイズ開発が必要だったという。

Sift管理画面例②

ユーザごとのページ遷移や滞在時間などの行動を分析する。
それぞれの行動でのスコアや、ワークフロー（不正利用検知のために設定したルール）の
適用状況を確認可能

導入直後から700万円以上のチャージバックを削減し、自動化に踏み切る

「LUXA」が最初に導入したのは、個別の取引ごとに不正を判定する「Payment Protection」だ。氏名、住所、クレジットカード番号の一部、デバイス情報などをSiftに送信し、取引ごとにスコアリングする。スコアが高いほど不正利用の可能性が高くなる。

実装にあたっては、マクニカによる技術サポートを活用した。「Siftのテクニカルサポートは英語なので、マクニカが間に入って調整をしていただけたのは大変たすかりました」（大槻氏）個人情報やクレジットカード番号の一部をSiftに送ることについても、同社の法務部門で契約書を入念に確認したことで不安はなかったという。

導入後3週間ほど、1日2時間程度Siftに機械学習をさせた後、まずはスコア80点以上の取引を担当者がレビューして不正利用を発見し、取引を手動で止める運用を開始した。導入開始後、9月から11月の3ヶ月間で700万円から900万円もの不正利用を検知し、チャージバックを未然に防いだ。同じ年のクリスマスシーズンの12月のチャージバックは、月間25万円とSift導入前に比べると10分の1以下に減少した。

Siftの検知精度が十分であることが確認できたので、当初構想していたスコアが高い取引の出荷停止の自動化の開発に着手。マクニカのサポートを受けながら、ほぼ全て自社でシステム開発を行い、およそ3ヶ月後にリリースできた。

不正利用に対応する業務時間を大幅に削減

現在は、取引ごとにSiftでスコアを算出し、70点以上の場合は不正利用とみなして商品の出荷を自動停止している。10点から70点未満の取引の場合は、保留して担当者が目視による確認をしているが、実際に保留になるのは1日2,000件前後の取引のうち5件程度だ。確認の所要時間は1日で通常30分未満だという。「Sift導入以前は、不正利用を発見したら出荷を中止するためのアクションに1件あたり30分から1時間かかっており、いつも時間に追われていました。Sift導入以降は、怪しい取引はそもそも出荷に進まないので、担当者の作業量は大幅に減りました」（高橋氏）

約3ヶ月「Payment Protection」を運用して、着実に不正利用が減少したことから、次は不正アカウントの登録を未然に防止する「Account Defense」の採用にも踏み切った。新規作成時に入力されるメールアドレス、氏名などの情報や端末情報などから、作成されたアカウントをスコアリングする。スコアが高い場合は、そのアカウントの登録を自動的に許可しない仕掛けだ。「月間1万件〜2万件のアカウント登録があるが、ユーザからクレームが来たことはない。それだけ高い精度で、不正登録を判別できているということだと思います」（高橋氏）と評価する。

Sift導入企業の拡大に期待

「LUXA」がSiftによる不正利用検知と出荷停止の自動化を開始して約１年が経過した。その間、チャージバックが発生した取引の情報をSiftに機械学習させることで、判定精度はさらに向上した。2020年4月の時点でチャージバックは月額20万円程度と、Sift導入前から約93%減少した。「機械学習といっても、チャージバック対象になった取引をダッシュボードで検索して指定する誰にでもできる作業。不正利用防止の運用を属人化させず実現できたことも大きな成果です」（大槻氏）Siftの導入により、購入ステップの増加や顧客体験を阻害することは一切ない。売上へ悪影響を及ぼすことはなく、Siftのサービス利用料に対して十分な不正利用の削減効果も得られているという。

またSiftで検知する不正利用の金額も減り続けている。高橋氏はその理由を「多額の不正利用を未然に防いだことで、不正犯から狙われにくくなるという好循環が生じている」と見る。最近増えているリスト型攻撃（IDとパスワードの乗っ取りによる正規ユーザへのなりすまし）もSiftで防げているという。

「今後、日本でもSiftを導入する企業は増えると思っています。米国ではSiftのユーザコミュニティがあると聞いていますが、日本でも導入企業間でノウハウを共有できるユーザ会のようなものを、マクニカ主催で開いていただけるといいな、と思っています」（高橋氏）

国内のECサイトにおけるクレジットカード不正利用は増加し続けている。2019年度は年間220億円を超え、過去最大の被害額となった。クレジットカード業界全体の信頼性を揺るがす大きな問題として業界では取り組んでおり、現在有効な手立てを模索している。Sift導入企業の拡大は、その流れに歯止めをかけ、EC市場のさらなる成長をもたらすことが期待される。