高度な不正利用防止ツールベータ
Stripe Issuing の高度な不正利用防止ツールは、取引の不正利用を特定および防止するうえで役立ちます。Stripe が提供するリアルタイムの Webhook 機能を使用して、API でオーソリを承認または拒否できます。
このガイドは、これらのシグナルと機能を使用して、正当な取引への影響を最小限に抑えながら取引の不正利用を減少させる方法を理解するのに役立ちます。
概要
Issuing の不正利用防止ツールを使用すると、オーソリごと、またはカードごとに、以下の API ベースのシグナルに無制限にアクセスできます。
事前対応型制御: オーソリ前に不正利用を防止 | |
3D セキュア (3DS) | オンライン購入のカード保有者の本人確認を行います。 |
リアルタイム管理: オーソリ時に不正利用に対処 | |
Stripe Defense Layer | Stripe のリスクモデルに基づき、リスクの高い取引を自動的にブロックします。 |
不正利用に関するチャレンジ | SMS を使用したオーソリの確認をトリガーします。これを使用して、ユーザーの本人確認を行ったり、ユーザーが Stripe を確認したりできるようにします。 |
オーソリシグナル | |
オーソリ後の制御: 将来の不正利用を軽減します | |
セキュリティが侵害されたカードに関するアラート | カードがカードテスティング攻撃で不正にアクセスされたかどうかを Stripe が評価します。 |
組み込み
オーソリの際に情報に基づいた決定を行うには、リアルタイムの Webhook オーソリロジックを更新してこれらのシグナルを組み込みます。Stripe が推奨する設定をご確認ください。
包括的な不正防止対策
Stripe は、支出管理、不審請求の申請の申告、トークン管理、カード管理ツールなど、不正利用に関連する機能へのアクセスを提供します。Stripe Issuing の包括的な管理設定とツールで不正利用に対処する方法をご確認ください。
3D セキュア (3DS)
3DS は多要素認証を使用して、カードが物理的に存在しないオンライン取引の不正利用を削減します。3DS はオンライン決済フローでビジネスによって開始され、多要素認証 (通常、SMS またはメールベースで Stripe が送信するワンタイムパスコードを使用) の実行を要求します。
3DS 確認と SCA 準拠によるオンライン不正利用の防止
多くの場合、カード非提示取引でのオンライン不正利用による損失の責任は加盟店が負います。自社を守るため、ビジネスは 3DS 認証を開始して不正取引を受け付ける可能性を減らすことができます。加盟店が 3DS 認証を開始する場合、Stripe カードが 3DS に登録されているのであれば、カード保有者はこの確認ステップを完了する必要があります。イギリスとユーロ圏では、3DS は強力な顧客認証 (SCA) の規制要件を実装するための標準です。
カードの登録をリクエストする
3DS を使用するには、サポートを通じて Issuing アカウントの登録をリクエストする必要があります。登録が完了すると、加盟店が 3DS をリクエストするオーソリの追加確認をトリガーするようにカードが設定されます。
3D セキュアを使用したカード保有者認証について詳細をご確認ください。
Stripe Defense Layer
Stripe が専有する監視機能により、高リスクである可能性が非常に高い取引を特定し、収益に影響する前に取引を拒否できます。Stripe Defense Layer はすべての Issuing ユーザーを対象としているため、損失に対する責任を変更することなく、不正利用のリスク軽減に役立ついくつもの自動制御機能を備えています。考慮事項の中でも特に、 Stripe は次のようなオーソリのブロックを試行します。
- カードテスティングと見受けられる
- Stripe のリスクモデルに基づき、リスクが非常に高いと判断される
通常、これらの対策によって影響を受けるのは、オーソリのうちのごく小さなサブセット (0.5% 未満) です。
不正利用に関するチャレンジ
不正利用に関するチャレンジでは、リスクが高い可能性のあるオーソリを完全に拒否したくない場合に、SMS を使用した確認の追加をリクエストすることができます。
不正防止の実践では、偽陽性による支払い拒否が発生する可能性があります。カード保有者が偽陽性による支払い拒否の可能性を覆し、カードの無効化を抑制できるようにするために、SMS ベースの検証を起動できます。
SMS による検証は、支払い拒否の上書きオプションとして機能します。カード保有者の場合、ワークフローは以下のステップで構成されます。
- オーソリを試行したが拒否される。
- SMS による確認メッセージ (Stripe に登録されているカード保有者の電話番号宛てに送信) による確認に成功する。
- オーソリを再試行し、承認を受ける。
このワークフローを有効にするには、Stripe が管理する SMS の表示か、ユーザーが管理する SMS の表示を使用します。
Stripe が管理する SMS の表示
Stripe は、リスクが高いと見なしたオーソリに対して SMS による確認を自動的に開始します。カード保有者が 60 分以内に確認を正常に完了すると、その加盟店とカード保有者の組み合わせが 7 日間許可リストに追加され、後続のオーソリを実行しリスク固有の拒否を上書きできます。Stripe のリスクしきい値に満足していて、Stripe に確認後のオーソリと SMS アラートのステータスの照会プロセスの管理を任せることを希望する Issuing ユーザーでしたら、このオプションの使用をお勧めします。
ユーザーが管理する SMS プロンプト
オーソリの Webhook に拒否の決定と、SMS による確認のリクエストで応答できます。これらのシナリオでは、SMS メッセージを起動する自社のロジックを定義できます。SMS メッセージの起動ロジックを自分で管理することを希望する Issuing ユーザーには、このオプションの使用をお勧めします。
不正利用に関するチャレンジのフローと独自のロジックを定義するの詳細についてご確認ください。
オーソリシグナル
オーソリでは、リアルタイムの Webhook を介して十分な情報に基づいた決定を行うために使用できる包括的なシグナルのセットが提供されます。
オーソリシグナルについての詳細をご確認ください。
シグナル | 説明 |
---|---|
確認用データ | セキュリティーコード、有効期限、請求先住所、郵便番号、PIN (入力した場合) が、登録されているものと一致しているかどうか |
不正利用に関する申請の可能性 | 不正利用が発生したときにオーソリに対して不審請求が申請されるかどうか |
高リスクの加盟店に関するアラート | 取引における加盟店のアクワイアリングに伴う不審請求の申請リスク |
カードテスティングのリスク | オーソリが不正なカードテスティングイベントの一部であるかどうかの評価 |
Stripe のリスクスコア
Stripe はさまざまなリスクシグナルを使用してオーソリのリスクレベルを評価し、その評価を API を使用してお客様が利用できるようにします。オーソリを承認するか拒否するかを決める際には、Stripe の評価をお客様の意思決定ロジックに組み込むことができます。
Stripe のリスクスコアについての詳細をご確認ください。
セキュリティが侵害されたカードに関するアラート
Stripe は、カードが不正に利用された可能性があると判断した場合、API によりお客様に通知します。そのため、お客様はカードの取り消しと再発行、不審請求の申請、カード保有者への通知を行うことができます。
以降の不正利用を防止し、カード保有者への連絡を開始する
侵害された疑いのあるカードを取り消すことは、最初の不正利用アクティビティーで侵害された PAN の、それ以降の不正利用を防ぐために役立ちます。これらのインジケーターを使用して、カード保有者とのやり取りと再発行ワークフローを開始できます。Stripe は、カードテスティング攻撃で有効な PAN が正常に使用されたことを、承認されたオーソリを通じて確認した場合、そのカードに侵害された可能性があるというフラグを指定します。
リスクを軽減して対応を講じる
激しいカードテスティング攻撃 (risk_assessment.card_testing_risk.risk_level
が elevated
または highest
に設定されると定義) を受けている間に Stripe がオーソリの成功を確認すると、Card オブジェクトの fraud_warning.type
フィールドには card_testing_exposure
と入力されます。started_at
値は、カードテスティング攻撃中のオーソリが成功した日付に相当します。カードテスティング攻撃でカードが複数回影響を受けた場合、値は最初の攻撃の最初のタイムスタンプにデフォルトで設定されます。Stripe により type
フィールドに card_testing_exposure
が入力されたら、カード保有者に連絡し、カードを取り消し、新しいカードを発行することをお勧めします。そうすることで、不正行為者が不正利用に使用できる有効な PAN だと認識した可能性の高い対象での以降のオーソリのリスクが軽減されます。
セキュリティが侵害されたカードに関するアラートについての詳細をご確認ください。
推奨される設定
開始するには、以下の設定をビジネスニーズに合わせて有効にしてください。これらの設定は、お客様のビジネスモデル、地域、またはカード保有者の行動に合わせてカスタマイズされていない可能性がありますが、Stripe のツールを使用する際の方向性の参考となる情報源として使用できます。これらのしきい値の調整についてサポートが必要な場合は、Stripe にお問い合わせください。
承認率に最適化 | 残高の承認率とリスク防止 | リスク防止に最適化 | |
---|---|---|---|
事前対応型制御 | |||
3D セキュア (3DS) | 登録する | 登録する | 登録する |
リアルタイムの Webhook コントロール | |||
Stripe Defense Layer | デフォルトで有効 | デフォルトで有効 | デフォルトで有効 |
不正利用に関するチャレンジ | デフォルトで有効、Webhook でトリガー | オプション | オプション |
オーソリシグナル | |||
Stripe のリスクスコア | スコアが 75 を超えたらオーソリをブロック | スコアが 50 を超えたらオーソリをブロック | スコアが 25 を超えたらオーソリをブロック |
オーソリ制御後 | |||
セキュリティが侵害されたカードに関するアラート | 入力されている場合はキャンセルしてカードを再発行 | 入力されている場合はキャンセルしてカードを再発行 | 入力されている場合はキャンセルしてカードを再発行 |
Issuing の高度な不正利用防止ツールは現在、ベータユーザーに限定されています。ベータにご参加いただくには、Issuing の顧客である必要があります。ベータへのアクセスをリクエストするには、Stripe アカウントにログインしてページを更新してください。詳細は Stripe にお問い合わせください。