クレジットカードの不正利用対策として、クレジットカードの発行会社で導入している決済に関する不正検知システムは、長い歴史があります。この不正検知を専門で行われていた方に教えてもらったことがありますので、ご紹介します。

情報漏洩ではないかという加盟店への指摘のほとんどはクレジットカード会社からの情報分析が端緒になっています。クレジットカード会社はどのようにして加盟店からの漏洩を発見するのでしょうか。まずは不正検知システムについて説明します。不正検知方法はカード会員の通常利用と違った利用やカード犯罪の傾向をルールとして投入された不正検知システムによって不正兆候が検知されます。例えば今までほとんどカード利用歴のない会員のカードで連続して同一金額の利用があった場合や早朝・深夜に新幹線回数券のまとめ買いやたばこのカートン買いについても時間軸や商品コード・利用金額などをルールという形で不正検知システムに犯罪傾向を入力することで不正兆候を検知します。会員登録住所と離れた場所でのカード利用、例えば私は東京都内に在住していますが、札幌の家電量販店から私のクレジットカード番号による売上データが計上されてきたら普通におかしいですよね。もしかしたら札幌に出張して家電店で購入することもあるかもしれませんが、明らかに地理的に不審なデータとなります。このような普段使いとは違うカード利用内容がルールとして投入され不正検知システムはアラームを発信することになるのです。この普段使いと違うカードの利用情報については、インターネット取引の場合も全く同様で、実店舗で使われるかEC加盟店で使われるかの違いしかありません。

クレジットカード会社にはCPP（Common Purchase Point）という考えがあります。不正利用のデータを分析し、それぞれの過去における利用先を調査・特定して発見された共通の利用元がカード情報流出元の可能性が高いとする考え方です。この考えに基づいて情報漏洩時、不正検知システムが働くと以下の流れになります。

1. 不正利用被害発生、不正内容精査（不正内容には同一利用先・同一金額という傾向がみられる）、被害者のクレジットカード利用状況からCPP先を特定する。
2. CPP先に於いて同時期にクレジットカードを利用された会員の直近のクレジットカード利用履歴を検証することにより同一の不正利用の全体像を取りまとめる。
3. CPP先加盟店に対してある特定期間に利用した会員が同一の被害発生の事実があるので当該期間前に、利用者情報が格納されているサーバーに対して不審な履歴が残っていないかどうか調査依頼を行う。

この加盟店への調査依頼により情報漏洩の事実が発覚することになります。
不正検知システムはクレジットカードの利用ログ全ての情報を持っているので、そのログ情報を不正利用というポイントで絞り込みし犯罪行動を暴き出すことができるのです。

今まで説明してきましたようにクレジットカードの不正利用は、カード情報が詐取され偽造カードが作成された後、あるいはカード情報が漏洩してネット利用された後、そのカード利用のふるまいから不正を検知しています。しかし最近では犯罪者が不正にカード情報を利用しようと、インターネット上へ情報を発信した時に、利用を事前に止める方向になっています。
例えばフィッシングによりクレジットカード番号等の個人情報が洩れて不正利用される場合、個人が犯罪被害対象となっているため、企業側の啓発活動により個人の意識を多少高めることができても、フィッシング被害そのものを止めることはできません。
不正利用を止めるためには、フィッシングで詐取された会員情報、口座情報、クレジットカード情報が実際に犯罪に使われるときのトランザクション動向のふるまいを検知することにより、取引を中断させて被害を防ぐしかありません。このトランザクション動向つまり、犯罪者が発信するIPアドレス情報や国情報、その他の情報における違和感を検知するソリューションが多くのベンダーより販売され犯罪抑止のために活用されています。

企業の不正対策の担当者にとって、業界は異なるかもしれませんが、不正検知において長い歴史のあるクレジットカードの考え方や取組は、参考になる部分が多くありますので、一度調べてみることをお勧めします。