「かご落ち」の原因からセキュリティを考える
ショッピングやオンラインバンキングなど、インターネット上の非対面取引における利用者の不正リスク判定をリアルタイムに行うクラウドソリューションを提供するスレットメトリックス。導入企業数は6,000社以上、その40%程度がEC関連企業となっている。
スレットメトリックスの高精度な不正検知を支えているのが、膨大なデバイスおよび利用者情報だ。同社では、独自の「デジタル・アイデンティティ・ネットワーク」により、全世界で50億のデバイス(うちスマートフォン端末は25億)、15億のインターネットユーザー、7億のIPアドレス、8億のメールアドレスを認識。年間300億ものトランザクションを分析しているという。
同社セールス・ダイレクター平井健二氏は、「かご落ちのない安全なECサイト構築の手法」をテーマに講演。不正検知などのセキュリティ対策はもちろん重要だが、その強化が「かご落ち」の増加や顧客離脱を招くことも多い。EC事業者にとって悩ましい問題だ。
平井氏はまず、「かご落ち」の理由についての調査データ(※ジャストシステム「Marketing Research Camp」の「Eコマース&アプリコマース月次定点調査(2018年1月度)」より)を紹介した。
上位の理由には「送料や手数料が高かった」「配送日が遅かった」などが並ぶが、セキュリティ対策に関連する理由として平井氏が着目したのが「途中でエラーが発生した」というもの。
「購買プロセスのサイトページエラーが多いと思いますが、ほかにログインIDやパスワード忘れによる認証エラーが原因となったケースも考えられます」
また、「あてはまるものがない」という回答も多かったが、その中には「携帯電話やメールと連携した承認プロセスが複雑で、サイトの利便性に不満を感じているケース」が少なからず含まれていることが考えられるという。
ユーザーの利便性と安全性の強化は二律背反?
ログインから購入までのプロセスがシンプルで簡単なほど、ユーザーにとっては使いやすいECサイトになる。ログインをして商品をカートに追加し、すぐに購入(決済)まで完了するように簡素化すれば、かご落ちによる機会損失も防止できる。しかし、それでは不正を検知するのが難しく、サイトの安全性が低下してしまう。
安全性を高めるためには、ワンタイムパスワードやSMSテキストなど、外部の認証方式を組み合わせ、追加認証で本人確認を強化する対策などが考えられるが、この場合はユーザーの利便性が著しく損なわれてしまう。たとえば決済前の追加認証などは、まさにかご落ちの直接的な原因になりやすい。
「ユーザーの利便性向上はEC事業者にとって利益に直結する『攻め』の対策。一方、安全性の強化はマイナスをゼロに近づけるイメージの『守り』の対策です」(平井氏)
本来は「攻め」と「守り」の両方の対策が必要なのだが、一般的に両者はトレードオフの関係にあることから、どうしても利益につながる利便性=攻めの対策を重視して、安全性=守りの対策が後手に回ってしまうケースが多いと平井氏は指摘する。
「我々が認識している現実として、不正や詐欺に値するトランザクションは世界的に増えています。守りの対策も喫緊の課題と捉え、自社で積極的に対策を講じる必要があります」(平井氏)
ECを取り巻く脅威の動向
では、実際にどのような脅威があるのか。平井氏は、スレットメトリックスの膨大なトランザクション分析から得られたデータに基づき、主にECをターゲットとした攻撃や不正行為などの動向を紹介した。
それによると、2018年第一四半期(1月~3月)だけでEC事業者向けの攻撃は、約1億5,000万トランザクションを確認。自動化された大規模なBOT攻撃も全業界で、8億2,000万件以上確認された。
トランザクション種別ごとの攻撃の傾向としては、「決済」の攻撃は比較的少なく、「ログイン」と「アカウント開設」の攻撃が多い。特に2017年の後半から急増しているという。
「不正なログインやアカウント開設により行う詐欺行為としては、優良顧客になりすまして登録済みクレジットカードで決済、商品送付先を受取代行サービス事業者などに設定して高額な商品を詐取するといった手口が増えています」(平井氏)
また、EC分野に限らず攻撃や不正行為は高度化・巧妙化しており、場所の特定を困難にするプロキシやTOR(The Onion Router)経由のアクセスなども増加。攻撃の広範囲化も目立ち、年間3億を超えるBOTトランザクションが米国、中国、インド、ベトナム、ブラジル、ロシアなどの海外を起点として多発。国籍を詐称した日本への攻撃も増加しているという。
安全かつ利便性の高いECサイトを実現するスレットメトリックス
こうした現状をふまえたうえで、ECサイトの守り(安全性)と攻め(利便性)を両立するためには何が必要なのか。まず言えるのは、人手に頼った対策ではもはや安全性を確保するのが難しいということだ。人海戦術ではなく、守りの対策は自動化するのが望ましい。この「守りの自動化」をスレットメトリックスが可能にするという。
「スレットメトリックスの『デジタル・アイデンティティ・ネットワーク』を使うことで、本人特定と不正検知の自動化が実現できます。個人と端末、認証情報、脅威のふるまいなどをさまざまな要素で機械判定し、正常なユーザーと不正ユーザーを識別することで、優良顧客には煩わしい追加認証を強要する必要もありません。つまり、認証や購入プロセスがシンプルで利便性の高いECサイトでも、安全性を強化できるということです」(平井氏)
ECサイト側にスレットメトリックスの特定のタグを追加しておけば、ユーザーがページを読み込むと自動的にそのデバイスの属性情報がスレットメトリックスのサーバーに送られる。そこで解析・判定したリスクスコアに応じて、優良顧客なら追加認証を省略、不正ユーザーなら拒否し、疑わしいアクセスに対してのみ追加認証と連携する、といった適切な対応が可能となる。
高精度な判定を可能にするデバイス/ユーザーの識別技術
安全性を確保するうえでは、もちろん優良顧客と不正ユーザーの判定が正確に行えることが前提となる。スレットメトリックスの判定精度の高さを支えているのが、デバイスおよびユーザーを識別・特定する技術だ。
デバイスについては、Cookieで生成される「Exact ID」とともに、独自技術によりCookie消去などの影響を受けず恒久的に割り当てられる固有の「Smart ID」を組み合わせて識別。さらに、顧客固有の登録番号やログインIDと連携して割り当てられるID「スレットメトリックス ID」により、ユーザー(人)を特定・識別する。
これら3つのIDと任意で提供されたメールアドレスやログインIDなどの関連性を示した相関図を表示し、不正の傾向を可視化することも可能だ。相関図では、人物固有のスレットメトリックス IDとデバイスIDやメールアドレスなどの各要素が線でつながっており、線の太さは相関関係の強さ(利用頻度)を表す。たとえば、正常なユーザーならデバイスやメールアドレスは1~数個程度、相関関係の線も太くなるはずだ。逆に、それらの要素の数が異常に多く相関関係の線が細い場合には、不正利用の疑いが強くなる。デバイスのExact IDがたびたび変更されているような場合も同様だ。
ユーザーの利便性は高いものの安全性が不十分なECサイトは多い。逆に、安全性を強化したことで利便性が損なわれてしまったECサイトもあるだろう。いずれにとってもスレットメトリックスの活用は、ECビジネスの利益向上に注力しつつ、不正防止と安全性を強化するための改善策となるのではないだろうか。
