オーソリシグナルベータ
オーソリシグナルを使用して、十分な情報に基づいたリアルタイムの判断を下します。
オーソリ時に、お客様が十分な情報に基づいた決定を行うために使用できるシグナルのセットが提供されます。
確認用データ
Stripe では、実行されるオーソリごとに毎回、決済時に提供された値と、登録されている値とを比較します。以下に関して不一致を検出した場合、Stripe はお客様に通知します。
- CVV2 (またはセキュリティコード)
- カードの有効期限
- 請求書の住所
- 請求先の郵便番号
- PIN 番号 (入力された場合)
不正行為を特定する
登録されているカード詳細と決済時に入力されたカード詳細の不一致を見つけ出すことで、不正行為の特定に役立つ場合があります。以下はその例です。
- 請求先の郵便番号と決済時に提出された郵便番号が一致していなければ、カード保有者の郵便番号を把握していない不正利用者がカードを盗んで、そのカードを購入に使おうとした可能性があります。
- 登録されている CVV2 と決済時に入力された CVV2 が一致していなければ、カード番号に関連付けられたセキュリティコードを知らない不正利用者が、さまざまなカード番号を繰り返し試して有効な番号を見つけようとしていた可能性があります。
オーソリを拒否する
お客様におけるリスク許容度とオーソリの特性 (対面であるかオンラインであるかなど) に応じて、確認用データの値に不一致が見つかればオーソリを拒否できます。
不正利用に関する不審請求の申請についての評価
不正利用に関する不審請求の申請の可能性について Stripe が行う評価では、不正利用が発生したときにオーソリに対して不審請求の申請が行われる可能性があるかどうかを評価します。
オーソリにおける不審請求の申請の可能性に基づき、十分な情報に基づく判断を下す
オーソリ時に不正利用が発生した場合に、オーソリに対して不審請求を申請できるかどうかを把握していることで、十分な情報に基づく判断を下すことができます。たとえば、次のように、そうでなければ「中程度のリスク」に分類されるオーソリを考えてみてください。
- 不正利用が発生した場合にオーソリに対して不審請求を申請できることが分かっていれば、これを承認できます
- (不正利用が発生した場合に) オーソリに対して不審請求を申請できないことが分かっていれば、オーソリを拒否するか、リクエストよりも低い金額のみを承認できます
Stripe は、オーソリの特性 (3DS が使用されているか、チップ付きのカードが提示されたかなど) を比較することで、不正利用に関する申請の可能性を評価します。不審請求の申請時に発生することを事前に判断するために、不審請求の申請に関するネットワーク規則に基づいてこの評価が行われます。
不審請求が申請される可能性を判断する
不正利用が発生した場合にオーソリにおける不審請求の申請の可能性を判断するには、Authorization オブジェクトの fraud_disputability_likelihood フィールドを調べます。このフィールドには、オーソリに対して不審請求の申請が行われる可能があるかどうかを示すさまざまな列挙値が入力されます。Stripe では、すべてのオーソリに対し、very_、neutral、または very_、あるいは unknown のラベルを付けています。
- オーソリが
very_のスコアを受け取ると、このオーソリに基づいて提出された不審請求の申請がカードネットワークによって受け入れられる可能性は高くなります。カードネットワークがlikely very_のオーソリの場合の不審請求の申請を拒否することはほとんどありません。拒否となる場合は、一般に、例外的な状況がその原因です。このような状況には、カードで不正利用に関する不審請求の申請が 2 回行われた場合や、Visa が定めている所定期間内にカードにとって許容される不審請求の申請件数を超えている場合などが含まれます。likely - オーソリのスコアが
very_の場合、不審請求の申請はほぼ常に、カードネットワークによって自動的に拒否されます。unlikely - オーソリのスコアが
neutralの場合、 Stripe では、その不審請求の申請の結果はさまざまな要因によって異なると評価します。これまでのところ、このような不審請求の申請がカードネットワークに受け入れられる可能性は高くなっています。ただし、この動作はいずれかの時点で変更される可能性があります。
不正利用による不審請求の申請の可能性について詳細をご確認ください。
高リスクのビジネスに関するアラート
Webhook 通知を使用して、オーソリに関連するビジネスのアクワイアリングに関する詳細なリスク評価を受け取ります。
リスクレベルに基づき、十分な情報に基づく判断を下す
ビジネスのリスクレベルと、不審請求が申請される可能性に関するデータがあれば、十分な情報を得たうえでどのオーソリを承認または拒否するかを判断できます。この判断を行うために、Stripe は過去の不審請求の申請率をなどのデータを含めて、Stripe Issuing のビジネスに対するすべてのアクワイアリング取引アクティビティーを評価します。
リスクレベルを判断する
リスクレベルを判断するには、Authorization オブジェクトの risk_assessment.merchant_dispute_risk ハッシュフィールドを調べます。以下の例は、各値の使用方法を示しています。
レスポンスの例
リスクが低い (通常の) 取引:
{ "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU", "object": "issuing.authorization", // ... "risk_assessment": { "merchant_dispute_risk": { "risk_level": "normal", "dispute_rate": 5 } } }
リスクが高い取引:
{ "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU", "object": "issuing.authorization", // ... "risk_assessment": { "merchant_dispute_risk": { "risk_level": "high", "dispute_rate": 47 } } }
加盟店の不審請求の申請リスクについて詳細をご確認ください。
カードテスティングのリスク
カードテスティングは一般的になっている不正利用形態であり、不正利用者が、盗難されたカード番号をテストしたり、有効な番号が見つかるまでプライマリーアカウント番号 (PAN) を繰り返し試したりします。また、この有効な PAN を、確認の制御が緩いビジネスに対して使用します。これに対抗するため、Stripe はお客様がカードテスティング攻撃を受けている可能性を評価し、お客様に代わって対応し、API を使用してインシデントの重大度をお客様に通知します。さらに、Stripe は攻撃中にセキュリティが侵害された可能性があるカードがないかも評価します。
カードテスティングのリスクに基づき、十分な情報に基づく判断を下す
Stripe は、特に明白なカードテスティングのシナリオには自動的に介入します。Stripe では、過度に慎重になることを避けるため、中程度のリスクの状況においてバランスのとれたアプローチを採用しています。このようなケースでは、オーソリやカード保有者の詳細など、さまざまな要素を慎重に考慮する必要があります。そのため、オーソリをブロックするかどうかを判断する前に、関連するすべての考慮事項を慎重に評価することをお勧めします。
Stripe はカードテスティングのリスクを評価する際に、特定の銀行識別番号 (BIN) や加盟店に関連付けられた、「カードが存在しない」ことによる支払い拒否の頻度と金額の評価などを行います。このような支払い拒否が最も決定的で重要な兆候であるのは、通常のカード支払い拒否と比較して、速度と頻度が顕著な増加を示しているためです。
カードテスティングのリスクを判断する
カードテスティングのリスクを判断するには、Authorization オブジェクトの risk_assessment.card_testing_risk フィールドを調べます。以下の例は、各値の使用方法を示しています。以下のフィールドも用意されています。
invalid_: 支払い拒否に、存在しない PAN が含まれている場合、 Stripe はこの値を計算して返します。account_ number_ decline_ rate_ past_ hour invalid_: PAN は存在する (または過去に存在した) ものの、セキュリティコード、有効期限、郵便番号など、ほかの確認に失敗し場合に、 Stripe はこの値を計算して返します。credentials_ decline_ rate_ past_ hour
レスポンスの例
リスクが低い取引:
{ "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU", "object": "issuing.authorization", // ... "risk_assessment": { "card_testing_risk": { "invalid_account_number_decline_rate_past_hour": 5, "invalid_credentials_decline_rate_past_hour": 3 } } }
リスクが高い取引:
{ "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU", "object": "issuing.authorization", // ... "risk_assessment": { "card_testing_risk": { "invalid_account_number_decline_rate_past_hour": 79, "invalid_credentials_decline_rate_past_hour": 83 } } }
カードテスティングのリスクについて詳細をご確認ください。
推奨される設定
開始するには、以下の設定をビジネスニーズに合わせて有効にしてください。これらの設定は、お客様のビジネスモデル、地域、またはカード保有者の行動に合わせてカスタマイズされていない可能性がありますが、Stripe のツールを使用する際の方向性の参考となる情報源として使用できます。これらのしきい値の調整についてサポートが必要な場合は、Stripe にお問い合わせください。
| 承認率に最適化 | 残高の承認率と不正利用防止 | 不正防止に最適化 | |
|---|---|---|---|
| 確認用データ | mismatch の値でブロック | mismatch の値でブロック | mismatch と not_ の値でブロック |
| 不正利用に関する申請の可能性 | アクション不要 | 不正利用が疑われる場合は very_ の値でブロック | 不正利用が疑われる場合は very_ の値でブロック |
| 高リスクの加盟店に関するアラート | 不正利用が疑われる場合は high の値でブロック | high の値でブロック | high の値でブロック |
| カードテスティングのリスク | アクション不要 | 不正利用が疑われる場合は high の値でブロック | 不正利用が疑われる場合は elevated および high の値でブロック |
オーソリシグナルは現在、ベータユーザーに限定されています。ベータにご参加いただくには、Issuing の顧客である必要があります。ベータへのアクセスをリクエストするには、Stripe アカウントにログインしてページを更新してください。詳細は Stripe にお問い合わせください。