長引くコロナ禍の影響を受けて、オンライン取引の市場が活性化。それに比例するように、クレジットカードの不正取引の被害件数も増えている。一般社団法人日本クレジット協会の「日本のクレジット統計 2020年版」によると、2020年の番号盗用被害額は223.6億円に達しており、2015年からの5年間で約3倍に増加。また、2021年12月にフィッシング対策協議会に寄せられたフィッシング被害の報告件数も6万件超にのぼり、同年11月に比べて約1万5000件も増加しているのだ。
そうしたなかエルテスは、ネット通販をはじめとするオンライン取引での不正注文、不正アクセス対策に取り組む、かっこ株式会社(以下、かっこ)と資本業務提携を締結。双方のリスク検知領域を補完し合いながら、オンライン取引における幅広いセキュリティサービスを提供すると発表した。
ともにデジタルリスク対策に注力してきた2社の協業——。それによって、オンライン取引におけるセキュリティはどう変わっていくのか。また、ユーザーにはどういったメリットがもたらされるのか。その点について、かっこの執行役員である中沢雄太氏と、エルテスリスクコンサルティング本部の猪股裕貴に話を聞いた。
お互いの課題を解消する、相互補完的な提携
——まずは、今回の協業の目的について、簡単にご説明ください。
猪股 セキュリティ・ペイメント・データサイエンスの技術やノウハウで、オンライン取引における不正注文や不正アクセス・不正ログインの対策を支援してきたかっこと、デジタル空間上の情報分析やAIを活用したモニタリング技術を使って、幅広いデジタルリスクマネジメントを展開してきたエルテス。この両社がお互いの強みを発揮し、リスクの検知領域を相互補完することで、増加・複雑化するオンライン取引のリスクに対応していこう、というのがいちばんの目的です。
——協業することになった背景には、どのようなきっかけがあったのですか?
中沢 弊社の代表岩井が、エルテスの菅原社長と懇意にさせていただいております。そのため、以前から両者間で情報共有を行ったり、業務にまつわる課題などを相談する機会がありました。そして、幾度となくやりとりをし、お互いの技術やノウハウ、強みや課題についての知見が増えるなかで、「エルテスの技術とノウハウがあれば、かっこの課題が解消できるのでは?」「逆に、かっこの技術やノウハウがエルテスの課題解消に貢献できる場面もありそう」という考えが芽生えていった。それがプロジェクトのスタート地点です。
そこから協業について真剣に検討し、協議した結果、「オンライン取引におけるセキュリティ領域で相互補完的に提携すれば、両社ともこれまで以上に幅広いサービスが提供できるはず」という結論に至ったのです。
──かっことして抱いていた課題とは、何だったのでしょうか。
中沢 弊社は、オンライン取引にまつわる不正を検知するソリューションを主力製品として展開しています。ひとつは、ECサイトなどでの不正注文を検知する「O-PLUX」で、データサイエンスを活用し、クレジットカード不正、不正転売・悪質転売、後払いの未払いなどの不正被害の防止及び審査業務の自動化を実現するサービスになります。もうひとつは、金融サービスサイト、会員サイト、ECサイト等への不正アクセスを検知する「O-MOTION」で、こちらは漏洩してしまった個人情報を使ったなりすましのログインを検知するもの。おもに大手銀行やネット証券といった金融機関にご利用いただいています。
▷O-PLUXのサービス紹介ページ
▷O-MOTIONのサービス紹介ページ
また近年、ECサイトにおけるクレジットカード不正や個人情報漏えいなどの被害が増加・巧妙化していることを受けて、「O-PLUX」と「O-MOTION」にクラウド型WAF(Web Application Firewall)を組み合わせた網羅的なパッケージサービス「ECサイト鉄壁パック ※1」も開発・提供しています。
「ECサイト鉄壁パック」における不正検知の精度は非常に高く、その点には自信を持っているのですが、弊社のサービスは不正注文や不正アクセスがあって初めて効果を発揮する仕組み。根本的な対策を講じるのなら、不正注文や不正アクセスが起こる前段階でのリスク、すなわち個人情報が盗まれるような場面にも対応するべきではないか、という思いが常にありました。
──確かに、個人情報が盗まれなければ、不正注文や不正アクセスが起こる可能性は低くなります。個人情報の漏えいについて、目立った手口などはありますか?
中沢 増えているのは、フィッシング詐欺が不正注文や不正アクセスにつながるケースですね。コロナのワクチン接種や給付金の特設サイトを装ったメールでフィッシングサイトに誘導し、個人情報やカード情報を詐取するなど、最近は手口も巧妙化しています。消費者の目線で考えると、一時的な損失に加えて、個人情報を抜き取られることで継続的なリスクに脅かされる。また、EC事業者の立場で考えれば、自分たちの会社名を騙ったフィッシング詐欺が行われるリスクもあるので、十分な注意が必要でしょう。
実際、この半年ほどはクライアントから「不正注文や不正アクセスだけではなく、フィッシング対策もお願いできないか」とご相談いただくことも増えており、そこもまとめてフォローできるソリューションを構想していました。
──フィッシング対策ということでいえば、エルテスはフィッシングサイトの発生情報やSNSにおけるなりすましアカウントの発生情報などを検知することが可能なサービス「Webリスクモニタリング ※2」を提供しています。
中沢 その通りです。まさに「Webリスクモニタリング」こそが、弊社のサービスに欠けていた部分にぴたりとはまってくれそうだ、と考えていました。
──エルテスが抱えていた課題についてもお聞かせください。
猪股 わたしたちの事業の柱である「Webリスクモニタリング」には、オンライン取引での不正注文、不正アクセス対策に対して、大きくわけてふたつのアプローチで貢献できると考えています。まずひとつ目は、「なりすまし」フィッシングメールの検知。犯罪組織は、金融機関やフリマサービス事業者などを装ったメールやSMSで、ユーザーをフィッシングサイトに誘導しようとしますが、そうしたメールを受け取ると「こんなメールが来た」とSNSに投稿する方が少なからずいらっしゃる。私たちはそれを早急に検知して、お客様に報告しています。
続いてふたつ目は、新しく立ち上がったフィッシングサイトのドメインの監視。フィッシングサイトのドメインには特徴があって、本家のドメインに限りなく似せたドメイン名を利用するケースが非常に多いんです。たとえば、アルファベットのl(エル)とi(アイ)とを置き換えて偽装するような形ですね。そうした特徴に注目すれば、立ち上がったばかりのフィッシングサイトを検知することができます。
とはいえ、中沢さんがおっしゃっていたようにフィッシングの手口は年々巧妙化しており、犯行組織との攻防はいたちごっこの状態。こちらがいくら網をかけても、あの手この手でかいくぐられてしまいます。だからこそ、網をくぐり抜けた犯行組織が、入手した情報を不正に利用するのを防ぐソリューションが必要であり、それこそが弊社の課題となっていました。
──かっこの技術やノウハウがあれば、その課題はクリアできそうです。
猪股 弊社が入り口を防御し、かっこさんが出口を防御する。そんな仕組みを構築すれば、より精度の高いソリューションが提供できるはずです。
セキュリティ領域にとどまらない協業の可能性
──両社の協業から生まれる新たなサービスは、かっこの「ECサイト鉄壁パック」とエルテスの「Webリスクモニタリング」を掛け合わせたものがベースになると考えてよいのでしょうか?
中沢 基本的にはそう理解していただいて結構です。
猪股 私たちの担当領域についていえば、例えば新しいフィッシングサイトを検知した場合、ただちにかっこと情報を共有し、同時にクライアント(EC事業者)にも報告します。その後、消費者への適切な注意喚起の方法や、フィッシングサイト閉鎖のための情報開示請求の方法などのコンサルティングを実施。立ち上がったフィッシングサイトへの対策を一括して行う流れを目指します。
中沢 そうやってエルテスから情報を提供してもらったうえで、モニタリングのルールをチューニングすれば、出口における検知の精度が格段に上がる。協力し合いながら、画期的な仕組みに仕上げたいですね。
また、業務提携の話が持ち上がったのが昨年の8月。そこから急速に計画が進展したので、お互いの得意領域、技術やノウハウの全貌など、把握しきれていない部分もあるんですよね。ですから、将来的にはオンライン取引におけるセキュリティ領域以外で協業していく可能性も、大いにあると考えています。
すべての人が、安心してネットショッピングできる世の中に
──最後になりますが、今回の協業をきっかけとして、将来的に実現したい野望などがあれば聞かせてください。
猪股 私たちの企業理念に「デジタルリスクと戦い続ける」とあります。デジタル化で生まれた新たなリスクに立ち向かっていく。今回の取り組みもそのために大切な一歩だと思っています。日本における個人情報の不正利用を減らし、みなさんが安心してインターネットを使える世の中にしたい。それが最終的な目標です。
今回の対談でも、たびたびフィッシング詐欺について触れましたが、いまは百貨店からメールが届いただけで、「これはフィッシングサイトかもしれません」と警告され、受け取った側も「本物なのか?」と疑心暗鬼に陥ってしまうような時代です。だからこそ、あらゆるフィッシングメール、フィッシングサイトの情報を分析し、どれがフィッシングサイトなのかを正しく判定できるアルゴリズムを開発することが、私たちの使命だと思うんです。
そして、それをメールのドメイン事業者などに提供すれば、メール受信時の警告の精度がぐんと上がるはずですし、ユーザーの側も安心してリンクをクリックできるようになる。かっことエルテスが協力すれば、そうしたストレスのないネット環境がつくれると確信しています。
中沢 そう言っていただけるのは、とてもうれしいですね。猪股さんがいうように、フィッシング詐欺は右肩上がりで増え続けています。それにともなって、世の中には「フィッシングにひっかからないためにはユーザー側のリテラシーを上げるべき」といった論調も増えてきました。でも、本当にそれだけでいいのでしょうか。ECサイトなどでショッピングをするときは、リテラシーうんぬんを抜きにして、実店舗のように「気軽に試せて買える」ほうが楽しいとは思いませんか?だからこそ、エルテスとの協業では「気軽に試せて買える」ような環境をぜひとも実現させたい。
社名であるかっこという言葉は、記号のかっこから取っています。かっこは、最初と最後が対になり、囲んだ言葉を強調する役割を果たしたり、顔文字にも使われるなど状況に合わせて、様々な形をとります。私達は、常に世の中の課題に対して自らを変化させながらも最初から最後まで伴走し、データサイエンスの力でともに前進したいという想いを大事にしています。今回のエルテスとの取り組みも、私たちの強みを活かしながら、EC事業者、そしてその先の消費者に向けて、最適な形に変化し、安心安全に貢献していきたいと思います。
===
※1 かっこが提供する国内導入数№1(株式会社東京商工リサーチ「ECサイト不正検知サービスに関する調査」2021年5月末日時点)の不正注文検知サービス「O-PLUX」と、不正アクセス検知サービス「O-MOTION」にクラウド型WAFを組み合わせ、ECサイトをターゲットとした様々なサイバー攻撃をまとめて対策できるセキュリティパッケージのこと。今回の取り組みにより、より広い範囲で不正対策が可能になった。
▷ECサイト鉄壁パックのサービス紹介ページ
※2 SNSやメディアからオープンな情報を24時間365日体制でモニタリングし、事業者にとってリスクとなる情報を検知した場合は、緊急通知や沈静化までの初期対応の支援を行うサービス。フィッシングサイト発生に関する情報や、リード獲得上でのリスク情報(公式SNSにおけるなりすましアカウント発生等)も検知可能だ。
▷Webリスクモニタリングのサービス紹介ページ
プロフィール
中沢雄太(Yuta Nakazawa)
かっこ株式会社 執行役員 事業開発担当 決済関連会社でカスタマーサポートを担当。 創業メンバーの1人で、後払い決済に対する知見が豊富。大手企業の決済コンサルティングを担当し、システム企画から導入後の運用まで幅広く関わった後に、決済コンサルティング、不正アクセス検知サービス「O-MOTION」の事業部長として従事し、現在は執行役員 事業開発担当として、新規事業の企画開発を担う。
猪股裕貴(Yuki Inomata)
リスクコンサルティング本部第1カスタマーサクセス部長 2015年、新卒でエルテス入社後、カスタマーサクセス担当として500社以上の企業案件に従事。2021年に現職に就任し、日々変化するデジタルリスクの中で、事業活動を通して企業を取り巻くリスクとその対応策を開発、提供を行っている。
