ピーク時は月1,000万円に達した不正利用被害

　「アットコスメショッピング」は、口コミサイト最大手の「@cosme」を運営する株式会社アイスタイル（以下アイスタイル社）の展開するコスメ・美容関連アイテムを扱う会員制ECサイトだ。正規品取扱ブランド数は国内最大級の約2,500ブランドで、合計46,000点以上のアイテムを扱う。利用者は@cosmeのメインユーザーである20代から30代の女性が中心となっており、月間注文件数は約15万件を超える。2020年春からの新型コロナウィルスの影響によりEC市場が急拡大する中、アットコスメショッピングの売上も急増し、2022年度の年間売上は約92億円に達した。
　売上の増加に伴いクレジットカードの不正利用被害も増えた。対策としては専任の担当者による目視チェックを行い、怪しい注文については出荷を差し止める対策を行っていたが、精度と工数の点で課題があった。「エクセルのフィルター機能などを活用して怪しい取引は出荷を止めていましたが、不正の傾向が変わることもあり、全てを止め切るのは困難でした。また、目視チェックは非常に手間がかかるため、注文が多い時期は担当者を2人に増員しても全てをチェックし切れず、出荷を優先してしまうこともありました」（濱田氏）決済代行事業者の不正利用対策ソリューションを導入してみたものの効果は薄く、2021年12月・1月の不正利用は月間1,000件、およそ1,000万円のピークに達してしまった。

Sift導入から3ヶ月でチャージバック件数が急減

　決済代行事業者からも更なる不正利用対策を求められ、複数のソリューションを比較検討した中でアイスタイル社が選んだのがSiftだった。「Siftを選んだ理由は3つあります。まず、ルールベースではなく機械学習によるスコアリングを用いるので運用の手間がかからないこと。また、決済データだけではなくユーザーの行動も対象にして不正な取引を特定できること。そして価格がリーズナブルなことでした」（工藤氏）
　2021年10月頃から導入準備を進め、2021年12月からSiftへのデータ連携と機械学習を開始した。導入にかかった期間はおよそ3ヶ月間で、工数は1人月程度だったという。「SiftのAPI仕様書を参照しながら不明点はマクニカの技術者にサポートしていただき、スムーズに導入できました」（工藤氏）
　導入後3ヶ月を過ぎると、並行して実施していた目視チェックで出荷を停止する取引に対して、Siftでも高い取引リスクスコアが自動的につくようになった。スコアリングが安定した2022年4月にはチャージバック件数が急減し、はっきりと導入効果が目に見えるようになった。
　現在は、Siftで中程度のリスクスコアになった取引について管理画面上で確認し、注文をキャンセルするか、保留にするか、出荷するかを判断している。その判定結果をSiftに機械学習させることで更に精度を上げている。また、決済代行事業者から送付されるチャージバックデータ（不正利用の取引データ）も、SiftのAPIを利用して取引IDと連携して取り込めるようツールを作成し、日々運用している。「エクセルのデータを目視で確認する作業がなくなり、今まで半日以上かかっていた毎日のチェック作業が1-2時間で済むようになりました。作業が楽になってチャージバックも減り、導入してよかったと思います」（濱田氏）

Siftのリスクスコアが高い取引にEMV 3Dセキュアを併用

　2023年3月に公表された割賦販売法の実務上の指針である『クレジットカード・セキュリティガイドライン【4.0版】』では、増え続けるECサイトの不正利用への対策として、2025年3月までに全てのECサイトにEMV 3Dセキュア（EMV-3DS）による本人認証の導入を義務付ける方針を示している。前バージョンの3Dセキュア1.0は、全ての取引に対して登録した3Dセキュアのパスワード入力を求める。そのため、利用者が決済の途中で買い物を中止する「カゴ落ち」の発生を懸念するECサイトが多く、普及が進まなかった。アットコスメショッピングもSift導入以前に3Dセキュア1.0の導入を検討したが、導入のためにはカゴ落ちの懸念を減らすためにリスクの高い取引だけを3Dセキュアに送信する仕組みを実装する必要があった。そのためのシステムを開発する工数がかかるため、導入に至らなかったという事情がある。
　現バージョンであるEMV-3DSでは、デバイス情報、行動情報、属性情報などに基づくリスクベース認証により、リスク度が一定以下と判定される取引については追加認証不要で取引を承認し、一定以上の明らかに怪しい取引については取引を拒否する。その間にある中程度のリスクの取引については「チャレンジモード」としてショートメッセージなどのワンタイムパスワードにより追加の本人認証を求め、取引の可否を決定する。3Dセキュア1.0と比較するとECサイト側のカゴ落ちリスクについても考慮されていると言える。
　アットコスメショッピングではSiftに加えて既にEMV-3DSを導入しており、Siftの取引リスクのスコアが中程度を超えるなど、いくつかの条件を満たす取引についてEMV-3DSの取引を行なっている。EMV-3DS側のリスク判定についてはカード会社に任せている。「Siftのリスクスコアが中程度を超過する取引は全体の1.6%程度です。 、 また、Siftのリスクスコアが明らかに高い取引も自動拒否にはせず EMV-3DSに送信しており、 EMV-3DSはチャレンジモードを強制しないようにしています。EMV-3DS側の判定で取引承認されたお客様については、最終的には担当者により商品の出荷可否を 確認する運用とし、かご落ちリスクを最小限に抑えた不正対策を実施しています」（濱田氏）

　SiftとEMV-3DSの併用により、Siftのリスクスコアが中程度を超える取引だけをEMV-3DSに送信することで、大多数の利用者に追加の本人認証などの煩わしさをかけることはない。なおかつEMV-3DSに流れた取引も、EMV-3DS側のリスクベース認証でリスクが低いと判断されれば利用者は追加認証を入力する必要がない。追加認証の要求を「SiftとEMV-3DSの両方でリスクが高いと判断した利用者」に限定することができる。実際に、SiftとEMV-3DSの導入によるカゴ落ちの増加は無いという。「カゴ落ち発生リスクの低減と不正利用防止を両立できて、なおかつ運用の手間も大きく減らすことができました。現在の状態は理想的だと思います」（濱田氏）

安心して利用いただくためにさらなる不正利用対策に取り組む

　SiftとEMV-3DSを併用したことで、現在の月間の不正利用金額はピーク時に比べると大幅に削減され、チャージバックは月間数十件程度にまで抑えられている。とはいえ、完全に防止するには至っておらず、更なる対応を模索している。
　不正利用を減らす一つの方策として、EMV-3DSに送信する取引を現在はスコア中程度以上としているが、そのスコアを引き下げEMV-3DS取引の適用対象を広げるという考え方がある。「たしかにそうなのですが、（その方法は）カゴ落ちの発生が増加する可能性があります。一方、現状のままでも中程度のリスクスコア以上の取引は全てEMV-3DSに送信されるので、もし不正利用があった場合も原則チャージバックは免責されます。お客様の利用しやすさを考慮して、スコアの見直しは慎重にしたいと考えています。」（濱田氏）『クレジットカード・セキュリティガイドライン【4.0版】』では、EMV-3DSの本人認証精度を上げるために、EMV-3DS取引の際に送信する項目を追加することを求めており、そうした対策もこれから検討したいと考えている。
　ログインアカウントのセキュリティ対策も考えられる。アットコスメショッピングは会員制サイトであり、ログインしなくては買い物ができない。クレジットカードの不正利用を行うユーザーの多くは、新規にアカウントを作成して他人のクレジットカード番号を登録し、不正な取引を行う。Siftの別サービスである『Account Abuse』は、メールアドレスやアカウント作成時の操作の特徴などから不正アカウントの作成を検知し、抑止することができる。「アットコスメショッピングのログインアカウントは@cosmeも含めグループ全体で共通なので、不正利用対策強化のために有効ということであれば、グループ全社で検討したいと考えています」（工藤氏）また、昨今のサイバー攻撃では、フィッシングで正規のアカウント情報が窃取され、不正ログインされる被害も増えている。アットコスメショッピングでは今のところフィッシングによる不正ログイン被害はそれほど目立っていないが、不正ログインもSiftの『Account Defense』で抑止することが可能である。
　「利用者の方に安心して使ってもらえるサービスを提供したい。不正利用対策はその一部です。」と濱田氏は語る。アットコスメショッピングには、ブランドと生活者の接点としてそのブランドの商品を欲しいと思う消費者に届ける役割がある。不正な購入は、転売により取引先ブランドの毀損につながる可能性がある。取引先ブランドと消費者の期待にこたえ、アイスタイル社のミッションである「商品と生活者の幸福な出会いを生み出す」ために、Siftがその一端を担っている。