Visaのみならず、Mastercardも不正を単なる脅威ではなくビジネス機会と捉えている。2024年12月、同社はAIを駆使するサイバーセキュリティ企業 Recorded Future(レコーデッド・フューチャー)を26億5000万ドル(約3700億円)で買収した。この企業は世界50カ国で1900社の顧客を抱え、年間収益は3億ドル(約420億円)に上る。実はこの買収が表に出る以前からMastercardはRecorded Futureと提携し、カード情報が侵害されそうなときに銀行へ早期警告を行うサービスを展開しており、その結果、危険性が高いカードの特定数は2倍に増えたという(同社は2024年の総収益280億ドル[約3兆9000億円]のうち、セキュリティサービスが占める額を公表していない)。
Mastercardは自社ネットワークにおいて10年以上前からAIを活用し、不正取引を検知してきたと、同社北米サービス担当エグゼクティブ・バイスプレジデントのランジタ・アイヤーは語る。Visaと同様、ネットワーク全体で行われる取引を監視し、AIによって怪しい動きを探知している。近年では、生成AIを使って特定の加盟店がある時間帯に本来どの程度の売上を上げるはずかを予測し、実際の取引パターンが大きく逸脱した場合に、不正の兆候として通知する仕組みを導入し始めたという。
さらに昨年、Mastercardは銀行向けに強化版の「Decision Intelligence Pro」を提供し始めた。これは購入内容、加盟店、カード保有者、その他の要素を基にAIが各取引をリアルタイム(50ミリ秒未満)で分析し、リスクスコアを算出するシステムである。不正をより多く見つけ出すと同時に、正当な取引が誤ってブロックされる割合を減らすことが売りだ。
こうしたAI主体のシステムが数多く存在したとしても、最終的には消費者自身の行動が詐欺を可能にし、あるいは抑止することになる。「データやインフラを守ったとしても、最も脆弱なのは消費者自身なのです。彼らのセキュリティ意識を高めるための『パッチ』は存在しません」とジャバラは言う。そのためソーシャルエンジニアリングやフィッシング、スミッシングなどが大規模に広がっているという。TransUnionは2024年に18カ国の成人を対象とした調査を行い、49%が同年第2四半期中にメール、オンライン、電話、SMSのいずれかで詐欺の標的にされたと回答したと報告している。
増えているフィッシング詐欺のひとつに、偽のキャンセル通知がある。購入や予約したものが「リンクからログインしなければキャンセルされる」として誘導し、ログイン情報を盗み取る手口だ。
今月初めにVisaが発表した「詐欺撲滅チーム」(元法執行機関の専門家やAI開発者、データ可視化の専門家を含む)について、ジャバラは興味深い事例を挙げる。詐欺師が出会い系サイトから「本人確認ページ」に見せかけたフィッシングリンクを送り、クリックしたユーザーを意図しない月額制プランに登録させるという手口だった。同チームがこの詐欺を解析し、データから類似の偽装行為をしている「加盟店」を洗い出したところ、1万2000もの業者が関与していることが判明した。
こうした詐欺が急速に広まっている背景には、「詐欺のサービス化」がある。VisaやMastercardが不正対策の専門知識を外部に売るように、詐欺師たちも新手の詐欺手口を他の詐欺師に提供しているのだ。「詐欺師は非常に頭が切れて、かつクリエイティブなのです」とインは指摘する。
インは「これは終わりのない戦いです」とは語る一方で、不正抑止業界にも悪意ある攻撃者を封じ込める新たな手段を生み出す力があると見ている。TransUnionが現在、顧客企業と進めているのは「即時決済が当たり前の時代だからこそ、追加の手続きなどの一定の『面倒』を導入する」という取り組みだ。正当な利用者を遠ざけない程度に少しだけ手間を増やすことで、詐欺師へのハードルを上げる。インは「これで詐欺の被害に遭う可能性が下がると理解してもらえれば、消費者はある程度の『面倒』を受け入れてくれるはずです」と楽観的に見ている。
