決済詐欺防止:効果的な対策と見せかけだけの対策
2つの決済アプリ、同じ脅威、正反対の結果。一方には、親会社が顧客詐欺請求への対応を巡り2025年初頭に1億7500万ドルの支払いを命じられたCash Appがある。もう一方には、その年に1兆ドル以上を流通させながらも損失率を取引量の0.08%程度に抑えたPayPalがある。どちらも同じ詐欺師、同じ盗難カード、同じソーシャルエンジニアリングの手口に直面している。それなのに、なぜ一方は規制当局のプレスリリースに取り上げられ、もう一方は決算説明会の脚注に追いやられたのだろうか?
問題は予算ではなく、各企業がどの対策に注力しているかにある。決済詐欺防止策と称されるもののほとんどは見せかけに過ぎない。安心感を与え、スライドを埋め尽くすだけで、実際にはほとんど何も防げない。ごく少数の対策だけが、実際に効果を発揮する。PayPalとCash Appは、両者の違いを明確に示す好例だ。なぜなら、両社の場合、規制当局が評価を代行してくれたからだ。これは、何が有効で、何がひっそりと失敗に終わるのかを示す、実践的な手引書と言えるだろう。
決済詐欺が経済に与える損失は今いくらか
見出しに掲げられた数字は、あまりにも大きく、もはや呆然としてしまうほどだ。米連邦取引委員会(FTC)の消費者監視ネットワークによると、2024年に米国で発生した詐欺被害額は125億ドルに達し、わずか1年で25%も増加した。世界全体のカード詐欺被害額は334億1000万ドルに達し、そのうち約42%は米国によるもので、米国は世界のカード取引量の約4分の1を占めている。
より重要な事実は、総額の裏に隠されている。つまり、実際にお金がどこから流出しているのかということだ。報告された損失額の上位2位は、銀行振込(20億9000万ドル)と仮想通貨(14億2000万ドル)であり、クレジットカードではない。これは偶然ではない。これらの決済システムは、お金を迅速に移動させるために構築されており、回収するための仕組みは組み込まれていない。クレジットカードネットワークには、数十年にわたる紛争解決メカニズムが備わっている。一方、口座間送金には通常、そのような仕組みはない。不正行為は、最も取り返しのつかない経路をたどるのだ。
| メトリック(最新) | 形 | ソース |
|---|---|---|
| 米国における詐欺被害報告件数(2024年) | 125億ドル(前年比25%増) | FTC消費者監視員 |
| 最も損失の大きい方法:銀行振込 | 20億9000万ドル | FTC、2024年 |
| 仮想通貨の損失 | 14億2000万ドル | FTC、2024年 |
| 世界のカード詐欺による損失額、2024年 | 334億1000万ドル | ニルソン・レポート |
| 世界のカード詐欺における米国のシェア | 約42%(ボリュームの約26%) | ニルソン・レポート |
支払い詐欺の一般的な種類を、支払いを行う人別にランキング形式で紹介します。
どの詐欺対策ガイドを見ても、同じような12種類の攻撃タイプが羅列されているだけだ。もっと役に立つのは、実際に損失を被る人によって分類することだ。なぜなら、損失を被る人こそが、あなたが気にするべきかどうかを判断する基準となるからだ。一般的な決済詐欺では、損失を均等に分担するわけではない。
ビジネスメール詐欺と承認済みプッシュペイメント詐欺は、被害者を騙して自分で送金させ、被害者は通常お金を取り戻すことができないため、最も多い詐欺です。UK Financeは、2025年上半期だけでプッシュペイメント詐欺による被害額が2億5750万ポンドに達し、前年比12%増となったと報告しています。次に多いのはアカウント乗っ取りです。詐欺師が本物のアカウントに侵入して資金を抜き取るため、正当な所有者は自分がやったのではないことを証明しなければなりません。カード詐欺は広く蔓延していますが、消費者にとっては、ほとんどがチャージバックによって発行会社が負担しています。次に、フレンドリー詐欺があります。これは、実際の顧客が実際の購入に異議を申し立てるもので、eコマースのチャージバックの75%から79%を占め、加盟店が支払います。ディープフェイクとボイスクローン詐欺は、現在では金額は小さいものの急速に増加している新しい詐欺です。パターンは単純です。支払い方法の取り消しが困難であればあるほど、詐欺の被害は最も負担の少ない人に及ぶのです。
Cash App:不正防止の舞台裏における事例研究
大規模な不正防止対策がどのようなものかを見たいなら、Cash Appを見てみるといい。規制当局が到着した時点で、Cash Appには約5600万のアクティブアカウントがあり、洗練された使いやすいアプリを提供していた。しかし、画面の裏側にある地味な仕組み、つまり本格的な調査、機能する電話回線、そして不正送金は会社が解決すべき問題だという意識が欠けていたのだ。
規制当局が実際に発見したこと
2025年1月、消費者金融保護局(CFPB)は、Cash Appの親会社であるBlockに対し、1億7500万ドル(被害を受けたユーザーへの1億2000万ドルの返還と5500万ドルの罰金)の支払いを命じた。その文面はじっくり読む価値がある。CFPBは、同社が自社に有利になるように詐欺報告を「意図的にずさんな調査方法」で処理したと述べた。詐欺通報窓口に電話をかけた顧客は、録音されたメッセージに繋がるだけで、何年もの間、オペレーターと話すことは全くできなかった。同じ月、48の州の規制当局の連合は、マネーロンダリング対策の不備に対して別途8000万ドルの罰金を追加した。合計で約2億5500万ドルの損害賠償額となる。これは巧妙なハッカーの仕業ではない。電話に出ることを任意と決めた企業の仕業なのだ。
不可逆的なP2P転送が構造的な欠陥である理由
執行の裏には、設計上の選択がある。Cash Appは、現金のように口座間で資金を移動させる。一度資金が引き落とされると、それを取り消すカードネットワークは存在しない。誰かが騙されたりハッキングされたりするまではそれで問題ないが、そうなると「現金と同じ」というモデルは「自己責任」に変わってしまう。連邦法(規制E)は、銀行や決済アプリに対し、不正な電子送金を調査し、利用者に全額を補償することを義務付けている。私が繰り返し指摘するのは、今回の失敗がいかにありふれたものだったかということだ。つまり、情報漏洩ではなく、不正送金を顧客の問題として扱うという決定だったのだ。消費者金融保護局(CFPB)はこの決定を違反とみなした。
PayPalの不正検出の仕組みは実際どのように機能するのか
PayPalは「成功事例」としてよく挙げられるが、マーケティング上の説明は間違っている。PayPalは不正行為とは無縁ではなく、そうでないふりをすることは真の教訓を覆い隠すことになる。PayPal自身の提出書類によると、2025年の取引損失と信用損失は17億2000万ドルに達し、前年比19%増加している。PayPal内部では不正行為が依然として横行しているのだ。重要なのは、その後に何が起こるかである。
可逆性レイヤーとしての買い手と売り手の保護
PayPalは、取引の両当事者を保護するために、製品に取引の取り消し機能を組み込みました。対象となる購入には購入者保護が付帯し、販売者にも独自の保護が提供され、その上に紛争解決および請求手続きが用意されています。不正行為が発生した場合、システムは多くの場合、購入者を困らせることなく返金または取引を取り消すことができます。これはまさにCash Appに欠けていた機能です。Cash Appは高額で動作が遅く、例外的なケースも多く、PayPalには多くの苦情が寄せられています。しかし、「煩雑な紛争解決手続き」と「電話がつながらない」は、同じ種類の失敗ではありません。
取引時の機械学習によるリスクスコアリング
第二層は検出です。PayPalは、デバイス、場所、履歴、速度、行動など、数百ものシグナルに基づいてリアルタイムで取引を評価し、資金が移動する前に不審な取引を特定します。その結果、損失率は総決済量の0.08%前後で推移しており、過去最低水準に近い水準を維持しています。ただし、絶対的な損失額は規模の拡大に伴って増加しています。この2つの数字を合わせて見ると、真実が見えてきます。つまり、取引量が増えれば不正利用による損失額も増えますが、適応型スコアリングによって損失率を低く抑えているのです。このシステムは魔法ではありません。ただ、維持管理されているだけなのです。
効果的な方法:不正行為を減らすためのベストプラクティス
では、実際に数字を動かす要因は何でしょうか?ベンダーの資料を取り除いて、真に不正を防止する対策を見てみると、それらは簡潔で退屈なものです。それらに共通する特徴は、単一の静的なゲートに頼るのではなく、適応するか、あるいは独立した2つ目のチェックを追加することです。
多要素認証は、最も安価で効果の高いセキュリティ対策です。マイクロソフトは、MFAが自動化されたアカウント侵害の試みの99.9%以上を阻止し、侵害されたアカウントのほぼすべてがMFAを有効にしていなかったと報告しています。機械学習によるトランザクションスコアリング、デバイスフィンガープリンティング、行動バイオメトリクスは、固定ルールでは見逃されるパターンを検出します。ある銀行は、行動分析を導入した後、不正損失を約35%削減したと報告していますが、この数値はベンダーが報告したものであり、絶対的なものではなく、あくまで目安として読むべきです。3 -D Secure 2による強力な顧客認証は、カード決済に検証ステップを追加します。摩擦コストはかかりますが(認証試行の約5回に1回は失敗します)、責任を転嫁し、盗難カードの使用の相当部分を阻止します。オンボーディング時の顧客確認(KYC)チェックと速度制限が、このリストを締めくくります。
| コントロール | それが止めるもの | 証拠 | 評決 |
|---|---|---|---|
| 多要素認証 | アカウント乗っ取り | 自動化された攻撃の99.9%以上をブロックします(マイクロソフト) | 作品 |
| 機械学習/行動スコアリング | 異常な取引 | PayPalスタイルの損失率は0.08%前後 | 作品 |
| 3-Dセキュア2 / SCA | 盗難カードの使用 | 責任移転;約5人に1人が放棄 | 摩擦を伴う動作 |
| デバイスフィンガープリンティング | 常習詐欺師 | 業界標準信号 | 作品 |
| オンボーディング時のKYC | 合成同一性 | 規制基準 | 作品 |
セキュリティ対策の見せかけ:不正対策が機能しない
今度は予算の無駄遣い、つまり不正防止のように見えるが実際にはほとんど効果のない対策について見ていきましょう。セキュリティ質問はその最たる例です。回答(母親の旧姓、初めて飼ったペットなど)は推測可能、スクレイピング可能、あるいは侵害される可能性があり、米国の標準化団体であるNISTは現在、知識ベース認証を有効なログイン要素として正式に禁止しています。これは「セキュリティ層を追加する」のではなく、偽りのセキュリティ層を追加するだけです。
SMSワンタイムコードは、次の罠です。多要素認証のように見えますが、攻撃者がSIMスワップで盗むことができる電話番号に依存しており、業界調査によると、SIMスワップは最初の試みで約80%の確率で成功します。FBIは、2024年だけで約2600万ドルのSIMスワップ被害を報告しています。また、学習しない静的なルールのみのエンジンや、不正が人間の目に触れる前に処理されてしまう遅い手動レビューキューもあります。最もコストのかかるパフォーマンスは、Cash Appが教えてくれたことで、送金をデフォルトで取り消し不可能にして、それをスピードと呼ぶことです。エンジニアは、取り消し可能性を設計上の摩擦として扱いがちですが、被害者にとってはそれがまさに問題なのです。
アカウント乗っ取り詐欺:モデルが分裂する場所
アカウント乗っ取り詐欺は、この議論全体を最も明確に検証できる事例だ。なぜなら、両社とも全く同じ攻撃に直面するからだ。つまり、犯罪者が実際のユーザーの認証情報を入手し、資金を移動させようとする。入力は同じでも、出力は全く異なる。
予防策としては、強力な多要素認証(SMSコードではなく)を強制し、所有者と一致しないログインの行動シグナルを監視し、不審なアクセス速度を抑制するという対策が確立されている。しかし、予防策には必ず多少の漏れがあり、次に問題となるのは、漏れが生じた場合にどうなるかということだ。PayPalの取り消し機能と異議申し立てプロセスは、乗っ取られたユーザーに元の状態に戻る道を与えている。一方、Cash Appは、不正送金はユーザー側の問題であるという従来の姿勢により、ユーザーを窮地に追い込んだ。まさにこの姿勢こそが、セキュリティインシデントを1億7500万ドルの賠償請求事件へと発展させた原因である。同じ詐欺事件でも、結果は正反対。コードではなく、ポリシーの選択によって決まったのだ。
| フロント | ペイパル | キャッシュアプリ(2025年以前) |
|---|---|---|
| マネーモデル | 台紙付き、リバーシブル | 口座間送金、取り消し不可 |
| 詐欺が襲いかかるとき | 購入者/販売者保護、紛争解決経路 | ユーザーの問題として扱われる |
| 検出 | リアルタイム機械学習リスクスコアリング | 限定的、成長優先 |
| 不正行為に関するサポート | 請求手続き(時間はかかるが、確実に進む) | 何年も使えない電話回線 |
| 規制記録 | 損失率は約0.08%で、提出書類に記載されています。 | 消費者金融保護局(CFPB)による1億7500万ドルの命令と、州による8000万ドルの罰金。 |
詐欺被害に遭った後の対処法
検出は仕事の半分に過ぎず、規制当局が実際に評価するのは対応の半分です。不正送金がすり抜けてしまった場合、米国の決済アプリにおける法的最低基準は規制Eです。つまり、速やかに調査を行い、送金が不正であった場合は利用者に全額を補償しなければなりません。そのためには、徹底的な調査、連絡可能な担当者、そして時間的制約が必要です。Cash Appの1億7500万ドルの請求は、ハッキングされたこと自体とは関係ありません。問題は、その後の同社の対応、あるいは対応拒否でした。壁を作るだけでなく、対応策を構築することが重要です。
不正行為の動向:予防策はどこへ向かうのか
次の段階は、両陣営が同じ武器で戦う軍拡競争だ。生成AIは、最も急速に拡大している攻撃ベクトルを支えている。デロイトは、米国におけるAIを利用した不正行為による損失が2023年の123億ドルから2027年には約400億ドルに増加すると予測しており、ディープフェイクを利用した詐欺による損失は、業界の推定では2025年には数十億ドルに達すると見込まれている。同じ技術が、最高の防御策も生み出している。ニルソン・レポートは、AIがカード業界史上最強の不正対策モデルを生み出したと評価している。より速く反復できる方が勝ち目であり、まさにそれが静的な防御策が失敗に終わり、適応的な防御策が成功する理由なのだ。
これは、決済詐欺防止にとって何を意味するのか
PayPalとCash Appから学ぶべき教訓は、「テクノロジーにもっと投資しろ」ということではありません。両社とも多額の投資をしました。成功の鍵は、地味で目立たないものです。それは、取り消し可能性、説明責任、そして見せかけではなく適応する少数のコントロールです。大げさな演出は安上がりですが、規制当局が1億7500万ドルの費用を課すまでは、その安上がりさは変わりません。ですから、上記の表と照らし合わせて自社のシステムを監査し、唯一重要な質問を自問自答してください。不正送金を取り消せなかったり、顧客が強盗被害に遭った際に電話に出られなかったりするなら、決済詐欺防止策は講じていません。あるのはロゴだけです。
