EC市場が拡大を続けるなか、ECサイトにおけるクレジットカードの不正利用は深刻な課題になっています。商品が売れたと思ったら、じつは不正注文で商品を騙し取られてしまった。そういった被害が後を断ちません。
そこで株式会社フューチャーショップは21年9月29日、futureshopのバージョンアップを実施し、クレジットカードによる不正注文を未然に防ぐ機能を強化しました。
不正注文のリスクを人工知能が検知してアラートを発する「AI不正検知 for futureshop」を標準機能として実装したほか、クレジットカード決済の本人認証サービス「EMV 3Dセキュア(3Dセキュア2.0)」にも対応しました(※1)。
「AI不正検知 for futureshop」と「3Dセキュア2.0」の仕組みや、店舗さまにとってのメリットとは?これらの機能を提供しているSBペイメントサービス株式会社の担当者さまに詳しく解説していただきました。
本記事は2021年9月22日・29日に開催したオンラインセミナー「クレジットカード不正利用が増加中!AI不正検知 & 3Dセキュア2.0 〈クレジットカード不正利用対策〉説明会」をもとに構成しています
※1 SBペイメントサービス株式会社の決済サービスをご利用中の店舗さまは「AI不正検知 for futureshop」のフリープランと「3Dセキュア2.0」を標準機能としてご利用いただけます。株式会社エフレジの決済サービス「F-REGI」をご利用中の店舗さまは「AI不正検知 for futureshop」をご利用いただけません。また、株式会社エフレジと「3Dセキュア2.0」の利用契約を結ぶ必要があります。
目次
スピーカー
営業4部 アライアンス営業課 塩原 和秀 氏
営業3部 1課 課長 中村 元 氏
クレジットカード不正利用の被害額は高止まり。ECサイトの対策が重要に
塩原さんはセミナーの冒頭、クレジットカードを使った不正注文の被害額が2014年から上昇傾向にあり、特にECサイトにおける被害額が高止まりしていることに言及した上で、不正注文対策の重要性を次のように強調しました。
2014年以降、盗用されたクレジットカード番号による不正注文(グラフの青色部分)が顕著に増えています。グラフの青色部分は、ほぼすべてオンライン決済の被害です。2014年にICチップのクレジットカードが登場したことで、偽造カードを使った実店舗での不正決済が減った一方で、ECサイトにおける不正利用の被害が急増しました。クレジットカードの不正利用対策が急務です(塩原さん)
不正注文増加の背景には「フィッシングの巧妙化」と「ダークウェブ」の存在
盗用されたクレジットカード番号の不正利用が増えている背景には、フィッシング詐欺の巧妙化によってクレジットカード番号を抜き取られる被害が増えていることに加え、盗まれたカード情報が「ダークウェブ」と呼ばれる闇サイトで取引されていることが影響していると塩原さんは指摘しました。
フィッシングなどで盗まれたクレジットカード情報は、「ダークウェブ」と呼ばれる闇サイトで売買されています。ダークウェブでカード情報を購入した人は、そのカード情報を使ってECサイトで商品を購入し、商品を転売して収入を得る。クレジットカードの不正注文が増えている背景には、こうしたエコシステムが存在します(塩原さん)
不正注文が発生すると店舗は「チャージバック」の損失も
クレジットカードの不正利用が発生した場合、カード加盟店(EC事業者など)はチャージバック(売り上げの取り消し)による損失を被る可能性があります。
不正利用の犯人がECサイトで商品を注文し、カード加盟店(EC事業者など)がその注文を確定処理すると、カード発行会社は本来のカード所有者(被害者)に代金を請求します。
しかし、カード所有者(被害者)は身に覚えがない請求なので、カード発行会社に対して抗議するでしょう。抗議を受けたカード発行会社は事実確認を行い、その注文が不正であることが判明すると売り上げの取り消し(チャージバック)を実行します。
チャージバックが発生すると、商品を販売したカード加盟店(EC事業者など)は商品代金をカード発行会社に返金しなくてはいけません。発送してしまった商品が手元に戻ってこなければ、商品の仕入れ代が損失になります。
クレジットカードの不正注文を防ぐことが重要である最大の理由は、チャージバックによって経済的な損失が発生することにあります。
なお、後ほど解説する「3Dセキュア」をECサイトに導入していれば、不正注文が発生してもチャージバックは実行されません。カード加盟店(EC事業者など)は売上代金を回収することができます。
疑わしい決済を発見してアラートを出す「AI不正検知 for futureshop」
ここからは、futureshopが新たに実装した「AI不正検知 for futureshop」の詳細を解説します。
「AI不正検知 for futureshop」とは、クレジットカードの不正利用が疑われる注文をAIが検知し、futureshopの受注管理画面でアラートを発する機能です。無料のフリープランと、上位版で多機能なアドバンストプラン(月額3万円、2022年1月から受付開始予定)があります。SBペイメントサービス株式会社の決済サービスをご利用中の店舗さまはフリープランを標準機能でご利用いただけます。
「AI不正検知 for futureshop」の仕組み
ECサイトでクレジットカード決済が実行された際に、SBペイメントサービスが持つ大量の決済トランザクションデータをもとに、不正利用の可能性を点数化(0~99点)してリスク判定を行います。
点数が基準値を超えた場合、不正注文のリスクが高いと判断し、futureshopの受注管理画面に「照会推奨」のマークを表示。店舗さまは「照会推奨」をクリックすると、不正が疑われる理由を確認することができます。「照会推奨」が表示された件数や、不正注文が疑われる理由を知ることで、不正注文の傾向を把握することに役立ちます。
不正注文か否かを判定する際に使われる判定基準は約200種類あります。多岐にわたる判定基準でスコアを算出し、不正注文のリスク判定を行います(塩原さん)
「照会推奨」が表示された際の対応
「照会推奨」が表示された場合、商品を出荷する前に注文者の氏名や住所などを確認し、必要に応じて本人確認を行うことで、不正注文の被害を未然に防ぐことができます。
「照会推奨」が表示された際の対応方法について、塩原さんは「即日発送の場合」と「翌日以降に発送する場合」に分けて解説しました。
即日発送の場合
①注文者の氏名や配送先住所などを確認し、不審な点がないかチェックする。
②海外からの注文は、注文者の名前や住所などの表記に不自然な点がないか確認する。
③不正注文が疑われる場合には、メールやSMSで注文者に連絡し、公共料金の支払い明細など自宅に届いた書類に記載された氏名や住所を写真に撮って送ってもらう。
④本人確認書類を確認できない場合は、支払い方法を銀行振り込みなどクレジットカード以外に変更してもらう。
翌日以降に発送する場合
カード発行会社による本人確認と、SBペイメントサービスによるリスク判定を実施し、商品を出荷すべきか否かを判定する。
店舗さまは、不正が疑われる注文について、カード所有者の本人照会を行いたい旨をSBペイメントサービスのサポート窓口宛にメールで連絡する。その上で、注文者の個人情報(氏名や住所など)を専用フォームに入力してSBペイメントサービス宛に送信する。カード発行会社による本人確認とSBペイメントサービスによるリスク判定が行われるので、その結果を踏まえて出荷の可否を判断する。
フリープランとアドバンストプランの2種類を提供
「AI不正検知 for futureshop」は無料のフリープランと、月額3万円のアドバンストプラン(2022年1月から受付開始予定)があります。これまでに説明した機能はフリープランの内容です。アドバンストプランは、さらに以下の機能を使うことができます。
①リスク判定の詳細な情報を閲覧
不正注文のリスク判定の結果について、詳細な情報を閲覧することができます。
閲覧できる情報の例
●リスク判定のスコア(0~99点)
●スコアレベル(0~59点 低リスク/60~85点 中リスク/86点以上 高リスク)
●注文者のデバイス情報
●カード発行国
●カード番号の下4桁
●ハッシュ化されたカード番号
②店舗独自の決済ルールを約120項目設定
クレジットカード決済の承認・拒否の条件について、以下のようなルールを約120項目設定することができます。
3Dセキュアの実行
●「3Dセキュア2.0」の本人確認画面を表示するスコアを設定(◯点以上で表示 など)
決済の許可
●ハッシュ化されたクレジットカード番号の許可リストを作成し、リストに登録されたクレジットカード番号の決済を許可
●顧客IDの許可リストを作成し、リストに登録された顧客IDの決済を許可
●IPアドレスの許可リストを作成し、リストに登録されたIPアドレスの決済を許可
ブロック(決済拒否)
●ハッシュ化されたクレジットカード番号のブロックリストを作成し、リストに登録されたクレジットカード番号の決済を拒否
●顧客IDのブロックリストを作成し、リストに登録された顧客IDの決済を拒否
●IPアドレスのブロックリストを作成し、リストに登録されたIPアドレスの決済を拒否
アラート
日本語以外の言語での注文はアラートを表示
③ルール設定は管理画面で変更可能
アドバンストプラン専用の管理画面で、クレジットカード決済の承認・拒否のルール設定を店舗側で自由に変更することができます。
アドバンストプランは不正注文に悩んでいる店舗さま向け
「AI不正検知 for futureshop」のフリープランは、決済済みの注文について不正リスクが高いと判断した場合にアラートを発します。
一方、アドバンストプランはクレジットカード決済における承認ルールを店舗が独自に設定し、疑わしい注文は3Dセキュアを表示して本人認証を行えますし、リスクが高い注文は決済そのものを拒否することもできます。
中村さんはアドバンストプランについて「すでに不正注文が発生している店舗さまに使っていただきたい」と訴えかけました。
アドバンストプランは、不正注文を可能な限り減らすためにリスク判定を厳しく設定することもできますし、逆に、カゴ落ちを減らすためにリスク判定の基準を下げることも可能です。不正注文に対するリスク許容度を、店舗ごとに設定できるということです。また、特定の時間帯や特定のカード発行国からの注文をブロックするなど、細かいルールを設定することができますので、現時点で不正注文が発生していて、対策に迫られている店舗さまにぜひ使っていただきたいプランです(中村さん)
カード決済の本人認証制度「3Dセキュア2.0」とは?
futureshopは21年9月29日のバージョンアップで「3Dセキュア2.0」に標準対応しました(※2)。ここからは「3Dセキュア2.0」の仕組みやメリットについて解説します。
(※2)SBペイメントサービス株式会社とご契約中の店舗さまはfutureshopの管理画面で3Dセキュアを「利用」にすることで3Dセキュア2.0を利用することができます。F-REGIをご契約中の店舗さまが3Dセキュアを利用するには株式会社エフレジとの契約が必要です。
3Dセキュアとは、オンラインにおけるクレジットカードの不正利用を防ぐことを目的とした本人認証サービスです。従来の「3Dセキュア1.0」は、カード所有者があらかじめ登録した3Dセキュアのパスワードを決済時に入力し、本人認証を行います。
一方、新しい制度である「3Dセキュア2.0」は、クレジットカードの不正利用の可能性が高い注文に限定して本人認証を行います。注文者のカード番号やカード発行国、住所、デバイス情報などをもとに、決済代行会社やカード発行会社が不正注文のリスク判定を実施します。本人認証の方法はワンタイムパスワードや生体認証(顔認証、指紋認証、声帯認証、虹彩認証)です。
「3Dセキュア2.0」は不正注文のリスクが高い注文に限定して本人認証を行うため、3Dセキュア1.0と比べてカゴ落ちのリスクが低いことが特徴です。
3Dセキュア1.0は、パスワードの入力画面でカゴ落ちするリスクが高いため、導入をためらうEC事業者さまも少なくありませんでした。3Dセキュア2.0はカゴ落ちのリスクを軽減できるので、導入しやすいのではないでしょうか(塩原さん)
2022年10月をめどに3Dセキュア2.0へ移行
3DセキュアをECサイトに導入していれば、クレジットカードの不正注文が発生してもチャージバックは実行されません。EC事業者さまはチャージバックによる損失を避けることができます。
ただし、多くのクレジットカードブランドは2022年10月をめどに「3Dセキュア1.0」のチャージバック保証を終了する見通しです。それ以降は「3Dセキュア1.0」を導入していてもチャージバックが発生するため注意してください。
3Dセキュア2.0のポイントまとめ
①不正注文のリスクが高い決済に限定して本人認証を行う(本人認証を実施するのは注文全体の5%以下の見通し)
②VISA、MasterCard、JCB、American Express、DINERSの5ブランドに対応(3Dセキュア1.0ではDINERSは対象外)
③海外では生体認証(顔認証、虹彩認証など)が使われており、今後は国内でも生体認証が広がる可能性あり
なお、3Dセキュア2.0の詳細は過去記事で解説していますので、こちらも参考にしてください。
「3Dセキュア2.0」と「AI不正検知 for futureshop」の設定方法
futureshopをご利用中の店舗さまがSBペイメントサービスの決済代行サービスを利用している場合、futureshopの管理画面を以下の手順で設定すると「3Dセキュア2.0」と「AI不正検知 for futureshop」を標準機能として利用することができます。
3Dセキュア2.0
futureshopのクレジットカード設定画面を開き、「本人認証サービス(3Dセキュア2.0)利用設定」の項目にある「利用する」のチェックボックスにチェックを入れてください。
なお、株式会社エフレジの決済サービス「F-REGI」をご利用中の店舗さまが3Dセキュアを利用するには、株式会社エフレジとの契約が必要です。
「AI不正検知 for futureshop」
SBペイメントサービスの決済サービスをご利用中の店舗さまは「AI不正検知 for futureshop」のフリープランを標準機能として利用することができます。futureshopの管理画面の設定は必要ありません。
「AI不正検知 for futureshop」と「3Dセキュア2.0」をご利用いただく際の注意点
「AI不正検知 for futureshop」は決済のリスク判定を行う際に、注文者の個人情報を決済代行会社に提供します。そのため、個人情報の第三者提供に関する文言をECサイト内に表示する必要があります。文言の参考文例をfutureshopマニュアルに記載しておりますので、よろしければご参照ください。
また、「3Dセキュア2.0」は予約注文(後からオーソリを行う場合)や定期購入・頒布会、クレジットカードの金額変更を行った場合はチャージバック保証の対象外です。
まとめ
主なクレジットカードブランドの「3Dセキュア1.0」のチャージバック保証は2022年10月をめどに終了する見通しですので、チャージバック保証を受けるには、EC事業者さまは期限までに「3Dセキュア2.0」へ移行することが必要です。フューチャーショップはいち早く「3Dセキュア2.0」に標準対応し、店舗さまのチャージバックのリスクを回避する環境を整えました。ぜひ「3Dセキュア2.0」をご活用ください。
また、「AI不正検知 for futureshop」を併せてご活用いただくことで、不正注文のリスクをさらに低減することが可能になります。
EC事業を伸ばしていく上で、不正注文のリスクを減らす努力は不可欠です。株式会社フューチャーショップは、店舗さまが安心してEC事業に取り組んでいただけるように、これからもfutureshopを進化させていきます。
「AI不正検知 for futureshop」と「EMV 3Dセキュア(3Dセキュア2.0)」のバージョンアップに関する詳細は「2021年9月29日・バージョンアップ情報」のページに掲載しています
スピーカーを務めてくださったSBペイメントサービス株式会社のサイトはこちら
▼futureshopの機能に関するご質問や、ECサイトの新規立ち上げやリニューアルのご相談は、こちらからお気軽にお問い合わせください。
