セキュリティ強化と機会損失低減を両立、高度化するWebサービス不正利用対策

課題解決の現場

2025年6月10日

ECサイト等のWebサービスにおけるユーザーIDの不正利用は、全世界で大きな問題となっています。不正利用が発生した場合、情報を取得されたユーザーや、サイト運営事業者だけでなく、クレジットカード事業者など幅広い関係者が損害を被るにもかかわらず、犯罪組織の摘発による損害回収は困難で、各企業は自分の身を自分で守らなければならない時代となりました。一方で、セキュリティレベルを強化することで、善良なユーザーがサイトから離脱する事態は避けなければなりません。富士ソフトは、LexisNexis Risk Solutions社の不正検知システム「ThreatMetrix」の導入をご支援しています。本記事では、金融関連のセキュリティ強化に取り組んでいる金融事業本部小川剛弘に話を聞き、「ThreatMetrix」の特徴やメリットをご紹介します。

登場する主な課題

ECサイト等Webサービスにおけるなりすましなどの不正利用対策をしたい
過度なセキュリティによって善良なユーザーが離脱する状況を避けたい

改善効果

全世界で収集したオルタナティブデータに基づき不正な行動を検知
購買を阻害しない最適なセキュリティレベル構築により機会損失を防止

登場社員のプロフィール

小川剛弘

金融事業本部フィナンシャルIT事業部営業部
課長/エキスパート

入社以来、金融系をはじめ、流通、製造管理などさまざまな業界でシステム開発の現場に携わる。金融系では銀行・損保・生保と分野を問わず、システムアーキテクトとしてお客様の要件とシステムを融合させる取り組みをしてきたが、最近は金融事業本部における新たな成長エンジンとなる、ソリューション／プロダクトの企画・提案を中心に活動している。

1. Webサービス事業者が晒されているセキュリティリスク
2. セキュリティ強化と「カゴ落ち」のリスク
3. 低い真正阻害率と高い不正検知率の両方を追求する
4. オルタナティブデータを活用してお客様の最適解を探る
5. お客様と伴走してセキュリティ対策に取り組む
6. 技術者として誠実であるために

Webサービス事業者が晒されているセキュリティリスク

現在、Webサービスを提供する企業は組織化した犯罪集団のリスクに晒されており、自分の身は自分で守らなければならない時代になっています。クレジットカード情報やログインID等の情報を盗む組織、盗んだ情報のリストを販売する組織、そのリストを購入する組織、情報の有効性を確認してクレンジングする組織、その情報をさらに販売する組織、というように犯罪組織が分業化し、しかもそれが国境をまたいで展開されています。犯罪組織の多くは海外に拠点があるため、検挙するのも難しくなっています。

仮に不正取得したクレジットカード情報を用いてECサイトで決済が行われた場合、サイト運営事業者は料金を徴収できない損失が発生します。クレジットカード情報を盗まれたユーザーは身に覚えがない請求が届き、それを問い合わせたカード会社も混乱をきたす、というように、幅広い関係者に大きな損失をもたらすことになります。
ちなみに、クレジットカードの不正利用被害額は2024年に555億円で、年々増加傾向にあります。そのほとんどが「なりすまし」による不正利用です。

※一般社団法人日本クレジット協会クレジットカード不正利用被害の発生状況
https://www.j-credit.or.jp/information/statistics/download/toukei_03_4_i.pdf

このような不正対策はカード会社に任せておけばいい、というものではありません。2025年3月に改訂された「クレジットカード・セキュリティガイドライン【6.0版】」（クレジット取引セキュリティ対策協議会）においても、EC事業者側によるログイン時のなりすまし防止措置を求めています。
参考：
https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_6.0_revisionpoint.pdf

不正に取得したクレジットカードであれば、利用停止することで被害は防げますが、停止措置が取られる前に使われるのを防ぐためには、怪しい挙動を発見するとすぐにカード利用をストップするという不正利用対策が必要になります。しかし、Webサービスのセキュリティのために利用できるネイティブデータは非常に限られています。なぜなら、個人が特定されないよう情報が匿名化・保護されているからです。こうした状況下でセキュリティを強化することが求められているのです。

セキュリティ強化と「カゴ落ち」のリスク

ECサイトの運営企業にとって「カゴ落ち」の防止は非常に重要です。「カゴ落ち」とは、ユーザーがショッピングカートに入れた商品を決済する前に放棄する行動のことで、セキュリティの高いハードルが原因で多く発生しています。たとえば「パズルを解いてください」、「バスのパネルをすべて選んでください」といった画面が出てきて、対応した経験があるのではないでしょうか。こうしたセキュリティ対策を面倒に感じ、購入をやめてしまうユーザーが一定数います。
クレジットカード会社にとっては、セキュリティを強化しすぎると、ユーザーはそのセキュリティ認証を煩わしく感じ、他社のクレジットカードに変更してしまう場合もあります。真正阻害率が高くなるほど、クレジットカード会社にとってもECサイト運営企業にとっても、機会損失が大きくなるということです。

低い真正阻害率と高い不正検知率の両方を追求する

真正阻害率を上げないことと、不正検知率を高めることは、今後も取り組み続けなければならないテーマであり、お客様それぞれに固有の目標値があります。当社では、真正阻害率と不正検知率、その両方の目標値を達成できるよう、お客様と一緒に日々試行錯誤をしています。

あるエンターテインメント企業様の場合は、「ブランドイメージを低下させないためにも真正阻害率は1.0%以下に抑え、それでも不正検知率は80～90%にする」という高い目標値を掲げていました。真正阻害率1.0%は非常に低い数値で、企業によっては5.0%でもやむを得ないとする場合もあるほどです。当社では、お客様と試行錯誤を繰り返しながら真正阻害率を低く保ったまま、さまざまな方法にトライして不正検知率も高水準で維持するよう取り組んできました。
一方で「真正阻害率は15%程度でも良い」とする企業様もあります。そこでしか買えないような商材を扱われている場合は、真正阻害率が高くてもユーザーが競合他社に流れることがないためです。たとえば公共交通機関の定期券や、オリジナルグッズなどが挙げられます。逆にトレーディングカードや貴金属、小型家電のように、換金性が高い商品を扱う企業は、悪徳業者にも狙われやすく、しかも他社で購入が可能なため、真正阻害率を高くしすぎると機会損失が大きくなり、事業の継続自体が危ぶまれることになりかねません。

当社では、お客様の業態、扱う商品の特性、競合の有無など、さまざまな視点から事業環境を俯瞰して、お客様にとって最適な真正阻害率と不正検知率のバランスを実現する努力をしてきました。近年はAIによって最適なバランスを設定するサービスも出てきましたが、あくまで一般的なレベルに至るためのものであり、お客様ごとに最適と言える調整は、やはり人が見る必要があると考えています。また、お客様対応の現場においてはどのような理由によってNGの判断をしたのか、といった説明責任も必ず必要になります。このような観点からも、AIを活用しながらも技術者による細かな調整によって、お客様の事業を大きく左右することがあるのです。

オルタナティブデータを活用してお客様の最適解を探る

先ほどネイティブデータは取得に限界があるという話をしました。そこで当社は、オルタナティブデータを活用することで、不正取引を未然に防止するご支援をしています。それが「ThreatMetrix」という不正検知システムです。

「ThreatMetrix」ではさまざまなパラメータを扱っています。たとえば、どのデバイスでログインしたのか、それは前回取引と同じデバイスか、使われたデバイスは過去に真正阻害されたことがあるか、前回・前々回はどこで決済しているか、どれだけの頻度で何を購入しているか、使っている言語は何か、IPアドレスは何か、などを合法的に収集しリスク評価することで、不正取引を未然に防止します。
オプションにはなりますが、行動バイオメトリクスという機能では、デバイスを使う時のタップやスワイプの動き、文字の打ち方、キーボードの使い方の特徴から、前回と同一人物かを見極めることまでも可能です。

そして最大の特徴は、お客様に合わせて微調整ができる点です。多様なオルタナティブデータを組み合わせてリスク評価を行うため、そのシナリオをお客様の事業環境に合わせて最適な形で組むことができます。また「ThreatMetrix」は世界中で利用されているツールなので、全世界のネットワークにつながっており、国際的な不正利用対策にも対応が可能です。

とはいえ「ThreatMetrix」を利用すれば、悪徳業者を根絶できる訳ではありません。悪徳業者はセキュリティで阻止されても、新しいデバイスやカード情報に乗り換えて、同様の不正を繰り返します。しかしその不正が頻繁に阻止されることで、デバイスの買い替えやログインIDの購入コストがかさむことになり、不正行為そのものの「うまみ」をなくしていくことが大事なのです。

お客様と伴走してセキュリティ対策に取り組む

当社の特徴は、幅広いスキルをもった技術者が伴走型でご支援していく点です。「低い真正阻害率を保つために、こんなやり方はどうでしょう？」「このユーザーの動き、不正なものなのかそうではないのか」など、お客様と会話しながらセキュリティ対策の方法を決めていきます。また「ThreatMetrix」だけでなく、ECサイトなどのWebサービスを構築する部門もあるので、サイト構築のタイミングから一緒にセキュリティを検討していくことも可能です。
私はお客様に「どのような不正にお困りなのか」を、まず丁寧にヒアリングします。購入時なのか、ログイン時なのか、メールアドレスの変更時なのか、どんな不正・被害を防ぎたいのかによって、ご提案するセキュリティ対策も変わってくるからです。

当社が「ThreatMetrix」でご支援しているのは、ECサイト運営企業様だけではありません。たとえば、ある事業者様では、真正阻害率が最大50%近くになることがあり、甚大な機会損失に直面していたところから、最適解を探していったこともあります。また不正送金やマネーロンダリングといった犯罪に対する対処もあります。海外仮想通貨のトレーディングにおいて、普段使わないアドレスに急に仮想通貨を送信した場合や、その頻度、デバイスなどで不正検知をするような事例もあります。

技術者として誠実であるために

ここまでご紹介してきた通り、セキュリティの強化と機会損失の低減は、基本的にトレードオフの関係です。しかし「AIに任せて最適解を導いてもらおう」ではなく、お客様の事業をしっかり理解したうえで、一緒に最適解を探していくことが大切だと考えています。

また私の場合は「できないことはできないと言う」ことも大事にしています。技術者として、お客様に誠実に対応し、できることをしっかり定めて実行するように心がけています。そしてこうした試行錯誤を積み重ねながら、その誠実に実行できるラインをさらに引き上げるような努力ができればと思っています。

この仕事は、例えれば、犯罪組織の心理を追究し撲滅する刑事や探偵のような感覚に近いものがあるのも、ちょっとした面白みのひとつです。セキュリティの世界はいたちごっこで、いくら対策しても新しい不正手段が生まれてきます。終わりのない取り組みですが、その時々でお客様に最適な提案ができるようこれからも精進してまいります。

※記載の会社名、製品名は各社の商標または登録商標です。

お問い合わせはこちらから