151
  2018年07月02日    

Shopifyで不正注文を検知する方法

EC事業者が頭を悩ませる不正注文/不正顧客の基本的な検知方法をまとめました。

Jason Sio

EC事業者の悩みのタネである不正注文/チャージバック


現在、企業が海外展開する機会は多く存在しています。Eコマース(EC)市場も拡大を続けており、2016年にはアメリカでは42.2億ドル(年15%成長)、同年に日本は1千億ドルの売上を計上しています。サービスを海外に展開することで国際的にブランドを成長させることができますが、別の問題にも頭を悩ませることになります。あまり認知されていない問題ではありますが、EC事業者がいずれ経験することになるのは、「不正注文や入金取り消し(チャージバック)」の問題です。

入金取り消しは、「過失」と「意図的な不正」の2つの主なカテゴリーに分類することができます。前者は、顧客が請求書を見て身に覚えのない支払いがあると勘違いし、知らないうちにあるいは同意なく購入してしまったと思い込んだときに起こり、顧客はカード会社に電話して払い戻しを依頼します。後者は顧客がクレジットカード会社に電話して虚偽による返金を試み、意図的に行う不正を指します。幸いなことにこのタイプの不正は比較的少ないですが、一方、難しい問題として、この不正は察知しにくく予防できないことが挙げられます。

ほとんどのケースでは、過失による不正はいち早く顧客にメールや電話をすれば解決できます。日本の「誠実な文化」のおかげで、国内のみで販売をしている事業者のほとんどが入金取り消しは未経験あるいは比較的新しいものと思われます。

意図的な不正は、情報を偽造するか盗んだ支払い情報を使って会社から製品やサービスを騙し取ろうという悪意があるときに起こります。不法な行いに使われる様々な攻撃方法の詳細について深入りすることはしませんが、ダークウェブでクレジットカード番号リストを買うものから、個人のペイパルやアマゾンペイ等の支払いアカウントへのログイン情報を取得するだけのものまで多岐に渡ります。幸い、これらのほとんどは事業者が注意すべき点を知り、正しいツールを持っていれば防ぐことができます。を予知するためにできることは全て行いますが、完璧なシステムではありません。

Shopifyには基礎的な不正検知ツールが備わっている


ある注文が正規なものかどうか判断する際、最も頼りになるものはデータです。Shopifyは基礎的な不正検知に関して優れた拡張性を誇る、非常に数少ないプラットフォームの一つであり、追加拡張アプリも常時増加しています。Shopifyが自社内で開発した不正予知システムツール一式により注文の一般的な安全性に関する基本情報が提供され、これに何百万ものShopifyの集合データを組み合わせることにより、事業者が取引の安全性判断する一助になります。このようにShopifyは、事業者が不正を検知するためにできることは全て行いますが、一方で完璧に不正を防げるシステムにはなっていません。

不正検知には、顧客の名前、発送/請求先住所等の基礎情報の確認が重要

Shopifyの機能を活用することに加えて、自身で各種情報を確認して不正検知をすることも重要です。注文した方の名前におかしい場所はありませんか?理解不能な箇所などありますか?オーダーが不正注文であることを示す最も分かりやすい情報として、「苗字と名前が同じであるかどうか」、が挙げられます。同じである場合には、システムの弱点をテストするためのスクリプトである可能性が高いと考えられます。

発送先/請求先住所を確認して注文の適切性を判断するのは少々難度が高いのですが、グーグルサーチ/グーグルマップに住所をコピー&ペーストしてみることで少なくとも住所が有効であるかを迅速に判断することができます。また、グーグルストリートビューを使えば、住所が少なくとも住宅か商業用かを確認することができます。詐欺を行なっている者が、どこの場所をも示さないランダムな住所を入力していることがある為、この手法でその旨が確認できるかもしれません。

また、電話番号で不正を検知することにも少々コツが必要ですが、「電話番号の最初の数桁」は、注文の適切性を判断する上で、とても貴重な情報を提供してくれます。全ての電話番号には必ず国番号が伴っており、最初の数桁がそれに該当します。その為、この国番号が発送先住所とマッチしない場合には危険信号かもしれないと判断できます。参考までに国外の国番号の事例を出すと、シンガポール等いくつかの国では携帯と固定電話の番号フォーマットを分けており、アメリカの番号は「エリアコード」によって、その電話番号が登録されている市のレベルまでピンポイントで判別することができます。改めて、国番号/エリアコードが発送先住所とマッチしない(もしくはシンガポールの電話番号が3xxx-xxxxのように3で始まりVOIP番号であることを示している場合)は、懸念材料となります。

日本では全ての固定電話番号には市外局番がついています。東京は3で始まり、名古屋なら52です。050で始まる電話番号はIP電話として知られており、070から090で始まるものは携帯の番号です。

IP Tracker

不正検知におけるもう一つの重要ポイントは、顧客のIPアドレスを見ることです(IPアドレス確認ツールは http://www.ip-tracker.org/ 等を活用するとよいでしょう)。顧客のIPアドレスを見るには注文ページに行き、その不正分析箇所を見れば顧客が注文した際のIPアドレスを確認することができます。Shopifyは注文がされるたび毎回IPアドレスを記録します。IPトラッカーツールにIPアドレスをコピー&ペーストするだけで注文の一般的な詳細を把握することができます。顧客のIPアドレスを見るには注文ページに行き、その不正分析箇所を見れば顧客が注文した際のIPアドレスを確認することができます

上記でいくつかの不正検知方法を紹介しましたが、一定の基準を元に注文の不正を判断することは時として非常に難しいということを理解しておくのは重要なことです。不正と出た判定が誤りなことすらありえますし、さらには、全てのデータが正確であるにも関わらず、不正取引とのメールが届くこともあります。取引が正規のものに見えながらも、なぜかデータは違うことを示している場合には、顧客に直接問い合わせることをお勧めします。

また、不正注文などのリスクを追いつつも、見込み客を逃さない為に、多くのEC事業者は不正リスクに経済的に耐えうるよう備えた「クッション(バッファ)」を設けています。入金取り消しのケースが発生した際には経済的な損害を受けつつも、このクッションで補填することで事業の安定性を保つことができます。このクッションは製品価格に上乗せすることで作るのがよく、保険として商品価格に0.5%程度を上乗せすることをお勧めします。そうすれば、将来的に入金取り消しを受けることがあっても、会社が赤字に陥る心配をせずに済みます。

初めて入金取り消しを経験すると、EC事業者の多くに防止/検知/解決のための時間やお金、ストレスがかかり、戸惑うことと思います。不正注文が起こることを100%防止する完全な方法はなく、入手できるデータを見つつ、最善の判断を下すことでしかリスクを最小限にすることはできないのです。
この不正のリスクや損害を減少させるためには、顧客とのコミュニケーションが常にカギとなります。何かがおかしいと思ったら、注文自体をキャンセルして返金するなどの施策をとると良いでしょう。なんとなくでも不正注文が怪しまれる場合には、その注文を処理するより、お断りすることも選択肢にいれるべきです。

不正防止のためのShopifyアプリ「Beacon(ビーコン)」


上記のように、Shopifyのツールや、各種情報を自身で確認しつつ不正防止/不正検知をすることも可能ですが、アプリ等で自動検知/防止をするのも一つの方法です。例えばBeacon(ビーコン)、は不正受注とチャージバックを防⽌するためのShopifyアプリです。 販売者が適切な判断が出来るよう、ビッグデータを利用することで危険性の高い取引を特定し報告します。より効率よく正確に不正検知を行いたい場合などに利用してみてください。

著者(Beacon開発者)による追記:
私とチームはグローバルECに5年間携わってきました。そしてこの2年間、マシンラーニングを組み込み、事業主が不正データを簡単に管理できるShopifyアプリ「Beacon」の調査や開発を行ってきました。そして今回、テスト期間を経てShopifyアプリストアでBeaconをリリースしました。事業者のみなさまが入金取り消しや不正注文に悩むことなく、事業を世界展開する一助となれることを願っています。

参考リンク:
https://www.emarketer.com/Article/Worldwide-Retail-Ecommerce-Sales-Will-Reach-1915-Trillion-This-Year/1014369
https://www.creditcards.com/credit-card-news/credit-card-security-id-theft-fraud-statistics-1276.php




キュレーター紹介

no comments

SNSでthreedotfiveをフォローしよう!