高度な不正利用防止ツール
Issuing の高度なツールを使用して不正利用を減らします。
Stripe Issuing の高度な不正防止ツールは、API シグナルとツールセットで取引の不正使用を特定し、防止します。このガイドは、これらのシグナルや機能を使用して、正当な取引への影響を最小限に抑えながら取引の不正使用を減少させる方法を理解するのに役立ちます。
高度な不正防止ツールを使用する
高度な不正防止ツールは、不正使用の防止に役立ち、Issuing オーソリの意思決定に織り込むことのできるリソースを提供します。詳しくは、リアルタイムのオーソリをご覧ください。
高度な不正防止ツールを使用すると、次のことが可能になります。
- オーソリごとに不正使用の傾向を評価するシグナルを受信できるため、より多くの情報に基づいたオーソリの承認と拒否の決定が可能になります。
- 発行されたカードが不正に使用されたという通知を受信し、高リスクのカードを事前にキャンセルして再発行できるようにします。
- オーソリの中でも SMS ベースの不正使用チャレンジをトリガーし、不正アクティビティを減少させ、正当な取引アクティビティに与える影響を緩和します。
オーソリのロジックにシグナルを使用する
最初のステップとして、Stripe API シグナルと照合してオーソリアクティビティと過去の取引の不正使用をバックテストし、ポートフォリオに設定する最適な承認と拒否のしきい値を決定することをお勧めします。
しきい値を設定する際は、会社のビジネスニーズに応じて、次の 3 つの結果のいずれかに設定します。
- 承認率の最大化: 取引の不正使用の増加を考慮せず、より多くのオーソリを承認したい場合に最適です。
- 不正使用の最小化: 不正使用を最小限に抑えたい場合に最適です。正当な取引でも拒否される可能性が高くなります。
- 承認率と不正防止の両立: 上記の 2 つのオプションを組み合わせて利用したい場合に最適です。
ほとんどの場合、不正防止と承認率の最大化は逆相関の関係にありますが、ポートフォリオの構成によっては両方を同時に適用できるしきい値を特定できることがあります。バックテストの経験が乏しい新規ユーザーの場合は、Stripe が推奨するしきい値を参照してください。不正使用の結果に基づいてシグナルを追加したり、パフォーマンスに基づいてしきい値を調整するなど、時間をかけてバランスを見直すことをお勧めします。
| 承認率を最大化する | 残高の承認率とリスク防止 | リスク防止効果を最大化する |
|---|---|---|
| 不正使用スコアが 75 を超えるオーソリをブロック | 不正使用スコアが 50 を超えるオーソリをブロック | 不正使用スコアが 25 を超えるオーソリをブロック |
また、Issuing ダッシュボードまたは API を使用して、サンドボックス環境で特定の不正シグナルによるオーソリをシミュレートすることにより、API の動作をテストすることもできます。
過去のアクティビティを Stripe API シグナルと比較するには、まず不正使用に関する不審請求が申請された取引を特定する必要があります。この取引は、evidence.reason が fraudulent と定義されています。次に、その取引セットと、各シグナルによってフラグが付けられた取引セットを比較します。両セットで取引が重複しているほど、今後シグナルが不審請求を予測する可能性が高いことを示します。
最近の取引の代表的なサンプルを分析するようにしてください。ただし、不審請求の申請が報告されるまでには数週間かかることを考慮してください。過去 60 日ではなく、過去 6 か月以内に発生した取引に絞って確認することをお勧めします。
たとえば、60 日前までの 90 日間を選択したとします。その期間内で、risk_level = high としてスコアリングされたオーソリのセットが、不正使用の不審請求の申請が発生した取引セットと比較されます。もしシグナルが、不審請求の申請に発展した取引の 90% にフラグを立て、残りをそうしなかった場合、そのインジケーターは信頼できる可能性が高いです。一方で、シグナルが、不審請求の申請に発展した取引の 5% しかフラグを立てなかった場合は、信頼性が低いといえます。
オーソリのロジックを定義する際、不正な不審請求の申請を正確に防止し、正当なオーソリへの影響を抑えるルールを実装する必要があります。精度は 10% 以内を保つようにしてください。つまり、ロジックによって拒否されたオーソリの 10 件に 1 件は実際に不正使用でなければなりません。
不正使用されたカードを特定して再発行する
高度な不正防止ツールは、Stripe の発行したカードが不正使用されたと疑う場合に、Cards API を通じてお客様に通知します。これで、今後の不正利用がより防止されるようになります。上記の事態が発生した場合、自動的にカードをキャンセルし、再発行することをお勧めします。詳しくは、カードの再発行をご覧ください。
リスクの高いシナリオで SMS ベースの不正使用チャレンジを送信する
高度な不正防止ツールの API シグナルを使用しても、オーソリを承認するか拒否するかは必ずしも明確ではありません。
- カード保有者のオーソリを拒否すると、重要な購入に利用できなくなる可能性がある。
- カード保有者が、異常と思われる正当な支出アクティビティ (海外へのビジネスなど) に定期的に関与している。
- オーソリは一見すると正当なものであるが、ユーザーはプラットフォームを初めて使用するため、追加の審査を必要とする。
不正使用チャレンジを行うことで、オーソリに対して追加の確認を実施しながら、正当なカード支出への影響を軽減することができます。不正使用チャレンジがトリガーされると、オーソリはいったん拒否され、カード保有者の電話番号宛てに SMS を送信して、オーソリの正当性を確認するよう求めます。
- 不正使用者は登録されている電話番号にアクセスできない限り、このステップを完了できず、不正使用が停止します。
- SMS の不正使用チャレンジの送信に成功すると、正当なカード保有者はプロンプトに入力し、オーソリを再試行して 2 回目のオーソリを実行できます。これにより、カード保有者が販売時点で足止めされ、重要な購入ができなくなるリスクが軽減されます。
詳しくは、不正使用チャレンジをご覧ください。
高度な不正防止ツールの機能
| 機能 | カテゴリー | 説明 |
| 不正利用に関するチャレンジ | API ツール | SMS を使用したオーソリの確認をトリガーします。これにより、リスクの高いオーソリアクティビティに追加の確認を実施できます。 |
| 不正リスク評価 | オーソリシグナル | Stripe ML モデルは、各オーソリのリスク度をスコア化し、承認するか拒否するかの評価に役立ちます。 |
| 加盟店の不審請求リスク | オーソリシグナル | Stripe が作成した会社経歴に基づく、Issuing オーソリ時のアクワイアラの不審請求リスク。リスク値が高いほど、オーソリによって不審請求が申請される可能性が高くなります。オーソリ時に利用可能です。 |
| カードテスティングリスク | オーソリシグナル | オーソリがカードテスティングイベントの一部である確率。リスク値が高いほど、カードテスティングが行われる可能性が高くなります。オーソリ時に利用可能です。 |
| 不正使用による不審請求の申請の確率 | オーソリシグナル | 不正使用の場合に、オーソリに対して不審請求が申請される確率。オーソリに不審請求が申請される可能性が高い場合は、不正使用が発生した場合の回収の確率が高くなります。オーソリ時に利用可能です。 |
| セキュリティが侵害されたカードに関するアラート | カードシグナル | リスクイベントでカード詳細が侵害され、将来の不正アクティビティのリスクが高まっているかどうかの Stripe の評価。 |
不正利用に関するチャレンジ
不正使用チャレンジでは、リスクが高い可能性のあるオーソリを完全に拒否することを希望しない場合に、追加で SMS による確認をリクエストすることができます。
不正防止の過程で誤検出による支払い拒否が発生する可能性があります。カード保有者が誤検出による支払い拒否を無効にし、カードの無効化を抑制できるようにするために、SMS による確認をトリガーできます。
SMS による確認は、支払い拒否の上書きオプションとして機能します。カード保有者にとっては以下のようなプロセスになります。
- オーソリを試行したが、不正使用関連の拒否を受ける。
- Stripe に登録されているカード保有者の電話番号宛てに送信された SMS に返信することで、不正利用に関するチャレンジを正常に完了します。
- オーソリを再試行し、承認を受けます。
不正利用に関するチャレンジを有効にすると、Stripe は高いリスクがあると判断したオーソリに対して SMS による確認を自動的に起動します。
カード保有者が 60 分以内に確認を完了すると、企業はそのカードの許可リストに 7 日間記載されます。この期間中の後続のオーソリでは、不正使用に関連する拒否は発生しません。
詳しくは、不正チャレンジフローをご覧ください。
オーソリシグナル
オーソリでは、リアルタイムの Webhook レスポンスで、十分な情報に基づいて承認するか拒否するかを決めるために使用できる総合的なシグナルのセットが提供されます。
| シグナル | 説明 |
|---|---|
| 不正リスク評価 | Stripe ML モデルは、各オーソリの不正リスクをスコア化し、承認するか拒否するかの評価に役立ちます。 |
| 加盟店の不審請求リスク | Stripe が作成した会社経歴に基づく、Issuing オーソリ時のアクワイアラの不審請求リスク。リスク値が高いほど、オーソリによって不審請求が申請される可能性が高くなります。オーソリ時に利用可能です。 |
| カードテスティングリスク | オーソリがカードテスティングイベントの一部である確率。リスク値が高いほど、カードテスティングが行われる可能性が高くなります。オーソリ時に利用可能です。 |
| 不正使用による不審請求の申請の確率 | 不正使用の場合に、オーソリに対して不審請求が申請される確率。オーソリに不審請求が申請される可能性が高い場合は、不正使用が発生した場合の回収の確率が高くなります。オーソリ時に利用可能です。 |
不正リスク評価
不正使用リスク評価に関心をお持ちの場合は、アクセスをリクエストしてください。
加盟店の不審請求リスク
オーソリに関連する、加盟店のアクワイアラーまたは売り手の詳細なリスク評価を受け取ります。
リスクレベルに基づき、十分な情報に基づく判断を下す
アクワイアリング加盟店のリスクレベルと不審請求の申請の可能性に関するデータがある場合は、多くの情報に基づいたうえでオーソリの承認を決定できます。この判断を行うために、Stripe は過去の不審請求の申請率をなどのデータなどを参照して、Stripe Issuing のビジネスに対するすべてのアクワイアリング取引アクティビティを評価します。
加盟店の不審請求申請リスクは、特定のアクワイアリング加盟店の Stripe Issuing でのあらゆる取引アクティビティにおける不審請求の申請率とリスクを示します。この値が高いほど、その加盟店は過去のオーソリで不審請求の申請を頻繁に行っていたことになります。この値は、特定のアクワイアリング加盟店での最初のカード支払いを承認するかどうかを決定する際に役立ちます。
リスクレベルを判断する
リスクレベルを判断するには、merchant dispute risk (加盟店の不審請求リスク) ハッシュを調べます。以下の例は、各値の使用方法を示しています。
レスポンス例
通常リスクのオーソリ (過去、この加盟店のオーソリで不審請求の申請に発展した割合が 5%):
{ "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU", "object": "issuing.authorization", // ... "risk_assessment": { "merchant_dispute_risk": { "risk_level": "normal", "dispute_rate": 5 } } }
高リスクのオーソリ (過去、この加盟店のオーソリで不審請求の申請に発展した割合が 57%):
{ "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU", "object": "issuing.authorization", // ... "risk_assessment": { "merchant_dispute_risk": { "risk_level": "high", "dispute_rate": 57 } } }
詳しくは、加盟店の不審請求リスクをご確認ください。
カードテスティングリスク
カードテスティングは不正使用の一般的な形態であり、不正使用者が盗難されたカード番号をテストしたり、有効な番号が見つかるまでプライマリーアカウント番号 (PAN) を繰り返し試行する行為のことを指します。テスターは、この有効な PAN を確認の管理が緩いビジネスに対して使用しています。これに対抗するため、Stripe はお客様がカードテスティング攻撃を受けている可能性を評価し、お客様に代わって対応することで、API を介してインシデントの重大度を通知します。さらに、Stripe は攻撃中にセキュリティ侵害されたカードの有無を確認します。
カードテスティングのリスクに基づき、十分な情報に基づく判断を下す
Stripe は、特に明白なカードテスティングのシナリオには自動的に介入します。Stripe では、過度に慎重になることを避けるため、中程度のリスクの状況においてバランスのとれたアプローチを採用しています。このようなケースでは、オーソリやカード保有者の詳細など、さまざまな要素を慎重に考慮する必要があります。そのため、オーソリをブロックするかどうかを判断する前に、関連するすべての考慮事項を慎重に評価することをお勧めします。
Stripe はカードテスティングのリスクを評価する際に、特定の銀行識別番号 (BIN) や企業に関連付けられた、「カードが存在しない」ことによる支払い拒否の頻度と金額の評価を行います。このような支払い拒否が最も決定的で重要な兆候とされているのは、通常のカード支払い拒否と比較して、速度と頻度が顕著な増加を示しているためです。
カードテスティングのリスクを判断する
カードテスティングのリスクを判断するには、card testing risk (カードテスティングリスク) ハッシュを調べます。以下の例は、各値の使用方法を示しています。入力にあたり、以下のフィールドが用意されます。
- 無効なアカウント番号の支払い拒否率: 同じ企業で発生した、過去 1 時間のカード番号が存在しないことによる支払い拒否の割合。成功率が高いほど、カードテスティングアクティビティが発生する確率が高くなります。これは、不正使用者がさまざまなカード番号の組み合わせを試して、正しい組み合わせを予想している可能性があることを意味します。
- 無効な認証情報の拒否率: 同じ企業で過去 1 時間に発生した、誤った確認データ (CVV や有効期限など) による拒否の割合。この割合が高いほど、不正使用者が確認の必要な企業で有効なカード情報を使用しようとする確率が高いことを意味します。また、この値が非常に高い場合、不正使用者は有効な PAN を持っている可能性が高いが、有効な検証データを提供できない可能性があります。
レスポンス例
通常リスクのオーソリ:
{ "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU", "object": "issuing.authorization", // ... "risk_assessment": { "card_testing_risk": { "risk_level": "normal", "invalid_account_number_decline_rate_past_hour": 2, "invalid_credentials_decline_rate_past_hour": 1 } } }
高リスクのオーソリ:
{ "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU", "object": "issuing.authorization", // ... "risk_assessment": { "card_testing_risk": { "risk_level": "highest", "invalid_account_number_decline_rate_past_hour": 79, "invalid_credentials_decline_rate_past_hour": 83 } } }
カードテスティングのリスクについて詳細をご確認ください。
不正使用による不審請求の申請確率
Stripe の不正使用による不審請求の申請確率は、不正利用が発生したときにオーソリに対して不審請求の申請が行われる可能性があるかどうかを評価します。
オーソリにおける不審請求の申請の可能性に基づき、十分な情報に基づく判断を下す
オーソリ時に不正使用が発生した場合に、オーソリに対して不審請求を申請できるかどうかを把握しておくことで、十分な情報に基づく判断を下すことができます。「通常のリスク」に分類されるオーソリを例に考えてみましょう。
- 不正使用が発生した場合にオーソリに対して不審請求を申請できることが分かっていれば、これを承認できます。
- (不正使用が発生した場合に) オーソリに対して不審請求を申請できないことがわかっている場合は、オーソリを拒否するか、追加の確認のために不正使用チャレンジを開始するかを選択できます。
Stripe は、オーソリの特性 (3DS が使用されているか、チップ付きのカードが提示されたかなど) を比較することで、不正使用による不審請求の申請確率を評価します。不審請求の申請発生した場合に何が起こるかを積極的に判断するために、不審請求の申請に関するネットワーク規則に基づいてこの評価を行います。
不審請求が申請される可能性を判断する
不正使用が発生した場合に、オーソリに対する不審請求の申請確率を判断するには、fraud disputability likelihood (不審請求の申請確率) フィールドを調べます。このフィールドには、オーソリに対して不審請求の申請が行われる可能があるかどうかを示すさまざまな列挙値が入力されます。Stripe では、すべてのオーソリに対し、very_、neutral、very_、あるいは unknown のラベルを付けています。
- オーソリが
very_のスコアを受け取ると、このオーソリに基づいて提出された不審請求の申請がカードネットワークによって受け入れられる可能性は高くなります。カードネットワークがlikely very_のオーソリの場合の不審請求の申請を拒否することはほとんどありません。拒否となる場合は、例外的な状況がその原因であることが一般的です。このような状況には、カードで不正使用による不審請求の申請が 2 回行われた場合や、Visa または Mastercard が定めている所定期間内にカードが許容する不審請求の申請件数を超えている場合などが該当します。likely - オーソリのスコアが
very_の場合、不審請求の申請はほぼ常に、カードネットワークによって自動的に拒否されます。unlikely - オーソリのスコアが
neutralの場合、その不審請求の申請の結果はさまざまな要因によって評価されています。これまでのところ、このような不審請求の申請がカードネットワークに受け入れられる可能性は高くなっています。ただし、この方法はいずれかの時点で変更される可能性があります。
ほとんどの Issuing アクティビティは very_ に分類されていますが、これらの各値が入力される頻度は、Issuing アクティビティの構成によって異なります。たとえば、オンラインのオーソリは、対面のオーソリよりも very_ 値が指定される可能性が高くなります。詳しくは、不正使用による不審請求の申請確率をご覧ください。
セキュリティが侵害されたカードに関するアラート
Stripe は、カードが不正に利用された可能性があると判断した場合、API によりお客様に通知します。これにより、お客様はカードの取り消しと再発行、不審請求の申請、カード保有者への通知を行うタイミングを知ることができます。
以降の不正利用を防止し、カード保有者への連絡を開始する
侵害された疑いのあるカードを取り消すことは、侵害された PAN の、今後の不正利用を防ぐために役立ちます。これらのインジケーターを使用して、カード保有者とのやり取りと再発行ワークフローを開始できます。Stripe は、リスクイベントでカードが不正使用されたことを確認すると、そのカードに不正使用のフラグを立てます。
リスクを軽減して対応を講じる
以下の 1 つ以上のリスクイベントでカード番号または PAN が不正にアクセスされた可能性があると Stripe が判断した場合、Stripe はそのカードを不正に使用されたものとしてマークします。
- オーソリ成功時にカードテスティング攻撃を受けた
- 過去のオーソリを試みていないことをカード保有者が SMS を通じて確認した
- 過去にカードの不正使用による不審請求が申請された
- PAN がダークウェブ検索で見つかった
リスクイベントが発生すると、Stripe は fraud warning (不正使用の警告) ハッシュを更新してお客様に通知します。started_at 値は、リスクイベントが発生した日付に対応します。後続のリスクイベントが発生すると、両方の値が更新され、最新のイベントが反映されます。
いずれかの値が入力されている場合、Stripe はカード保有者に連絡し、カードをキャンセルして、新しいカードを発行することを推奨しています。これにより、購入に使用できる有効な PAN による後続の不正使用のリスクを軽減できます。
Stripe ダッシュボードで高度な不正防止ツールを使用する
Stripe ダッシュボードで高度な不正防止ツールの認証シグナルを使用する場合に備え、Stripe はルールエンジンを用意しています。アクセスをリクエストするには、Stripe サポートのお問い合わせフォームから Stripe にご連絡ください。