回復の兆しが見えてきた国内旅行市場

日本の旅行市場におけるオンライン予約比率は既に4割を超えており、その比率は年々高まっている。国内大手のじゃらん（リクルート）、楽天トラベル、一休.comに加え、海外大手OTAのExpedia、Booking.comなども国内向けのサービスを充実させてきており、競争はますます激化している。

その中で独自のポジションを確立し、成長を続けているのが、株式会社Loco Partnersの運営するReluxだ。 安息（Relax）こそが贅沢（Luxury）であると実感できる、特別な旅の体験をお届けするため、顧客満足度の高い旅館、ホテルを厳選して宿泊予約サービスを提供する。2013年3月のサービス開始以来会員数は増加を続けており、現在250万人を超えた「。会員のイメージとしては30代から50代が6～7割を占め、男女比はほぼ半々。2020年1月にReluxが行った、オンラインアンケート調査によると^※、意外なことに半数以上の回答者が1年に5回以上旅行にいく方々であることがわかりました」（川口氏）

サイトの多国語対応や海外大手OTAのSkyscannerとの提携などインバウンドにも注力しており、海外からの利用者も増えつつあった。しかし新型コロナウイルス（COVID-19）感染拡大に伴う各国の渡航制限により、2020年7月時点で海外からの予約は厳しい状態だ。「とはいえ、海外から日本に来られないのと同様に、日本から海外にも行けないので、旅行の行き先は国内にシフトしています。政府によるGo Toトラベルキャンペーン開始以降から、客足は増加傾向にあります。日常から離れてリラックスしたいというお客様の要望は肌で感じますし、それが追い風になると信じてさまざまな取組を進めています」（川口氏）

急増するチャージバック発生でカード取引停止の危機

Reluxでは予約の際に、登録済みクレジットカードによる事前決済と現地決済を選択できる。決済の比率はサービス開始当初と比べると、クレジットカードによる事前決済を選択する利用者の割合が国内外問わず増加傾向にある。最初にクレジットカード決済代行事業者からチャージバックの通知を受けたのは2017年末のことだったが、その後急速に不正利用被害が増加。2018年には数百件ものチャージバックが発生した。

旅行業における不正利用には、いくつかの手口がある。一つは、作成したアカウントに支払いカードとして不正に入手したクレジットカード情報を登録して決済を行う手口だ。登録されるカード情報は、ダークウェブ等で販売されている流出カード情報の場合もあれば、店舗の従業員が顧客のカード情報を盗み見て悪用するケースなどさまざまだ。2020年6月には、アルバイト先のレジで記憶したカード情報を不正利用し、複数回に渡って航空券やホテルなどの支払いに合計1,000万円以上の不正利用をしていた事件が報じられた。「他社の事件ではありますが、このように多額の不正利用を繰り返すのは極めてまれだと思います。10万円以上の高い部屋を不正利用するケースとなります」（川口氏）

より被害が深刻なのが、「不正トラベル」と呼ばれる手口だ。旅行代理店になりすました犯人が割安な価格で旅行の申込みを受け付け、予約者から支払いを受ける。その後、予約者に代わってOTAにアカウントを作成し、旅行の手配を行うが、決済には不正に入手したカード情報を使用する。OTAに送信される予約者の情報は正しいので予約は正常に完了し、予約者は旅行サービスを受けられるが、後日不正利用が発覚してOTAにチャージバックが発生する。
「インバウンドの不正利用被害は、ほぼ不正トラベルの手口で、全体の約80%を占めていました。不正利用によるチャージバックはECにおけるリスクと認識していましたが、まさか旅行商品でこれほど不正利用があるとは正直思っていませんでした」（川口氏）業界全体でもこの手口は急増しており、2018年7月には日本サイバー犯罪対策センターが注意喚起を行っている。また、割賦販売法の実務上の指針となる「クレジット・セキュリティガイドライン」は、宿泊予約サービスをカード情報の不正利用における高リスク商材の一つと位置づけ、2020年9月末を期限になりすまし不正利用対策の対応完了を求めている。

Reluxで不正利用が急増した2018年は決済代行事業者からカード取引停止の警告を受けた。クレジットカードによる事前決済ができないと、旅行に多額の現金を持ち歩きたくない利用者のニーズに応えられない。また海外からの利用者の利便性が大きく損なわれる。「チャージバックによる金銭的な損失と、カード取引停止による機会損失。2つのリスクに、いよいよ本気の対策が必要だと思いました」（川口氏）

ルールをハックする本気の犯罪者には機械学習が有効

まずは、不正利用が多発するWebサイト経由の予約を対象に、3Dセキュアを導入した。現在、不正利用はbotやプログラムによる操作が容易なWebサイト経由が圧倒的に多い。「決済の途中で3Dセキュアのパスワードが必要になることで、正規のお客様の離脱の懸念は当然ありました。でもこのままではカード取引が停止されてしまうので、選択の余地はありませんでした」（川口氏）同時に、人力によるパトロール（金額などから怪しい取引を抽出し、ユーザ情報を元に電話確認を行い不正な予約をキャンセルする）、現在利用している決済代行事業者が提供する不正利用検知ツールなど、複数の対策を導入した。

さらなる対策として、他社事例を参考にいくつかの不正検知ソリューションを比較していた時に、同じKDDIグループの1社からSiftを紹介された。「他のソリューションと違うと思ったのが、ルールベースではなくユーザの行動を分析して不正利用の疑いを抽出する点でした。本気の犯罪者はルールをハックしますから、ルールベースのシステムでは常に先回りしたアップデートが必要で工数がかかります。話を聞く限りでは、Siftはデータの蓄積による機械学習で精度が向上し、工数がかからない点が先進性・優位性があり、筋の良いソリューションだと思いました」（川口氏）また、比較していた製品では、時間帯によってAPIの連携動作が遅くなり、ユーザビリティに影響があるという評判もあり、Siftの試験導入を決めた。

チャージバックの前兆となる不正アカウント作成を発見

2019年秋から不正取引検知「Payment Protection」とアカウント乗っ取り検知「Account Takeover」の2つのサービスの試用を開始した。ある程度データが蓄積された2019年の年末、マクニカの技術担当者がミーティングの席上でベトナムのIPアドレスから数百件もの不正アカウント作成が行われていることを指摘した。不正アカウント作成は、カード不正利用や不正トラベルに共通する前段階の事象となるため、不正アカウント作成を発見できればチャージバックに至る事態を未然に防ぐことができる。「実際に決済が発生する前に網をかけられるという点でSiftの有効性を実感しました」（川口氏）トライアルの結果、導入するサービスを不正アカウント検知「Account Abuse」に切り替え、2020年5月に正式運用を開始した。
現在はWebサイト経由の会員登録について、Account Abuseから戻されるリスクスコアを人が確認し、スコアが大きい取引を不正とみなして確認と停止の措置を行っている。「不正を許してしまえば、1取引で数万円の損失なので、多少人手をかけても採算は取れる。それでも、Siftの導入で怪しいアカウントを探すために必要な工数は明らかに減っています」（川口氏）さまざまな国から作成された月数十件の不正アカウントの登録を発見できているが、正規の利用者のアカウント登録を誤って判定してクレームになったようなことは一度もなく、満足しているという。

インバウンド需要の復活に備え、防御を固める時

「今後はSiftの適用範囲を広げていきたい。将来的には、Payment Protectionの導入により、Siftのスコアに基づくクレジットカード取引の判定で、グレーなものにのみ3Dセキュアを要求したり、不正利用と判定したアカウントは自動停止するところまでを目指したい。またOTAの多くが利用している決済代行サービスStripeとSiftのAPI連携にも大いに期待している。ユーザビリティを損ねず正しい決済だけを承認することで、Siftの導入効果を最大化していきたいと考えています」（川口氏）最終的には、不正利用対策にかける工数を現在の2～3割程度まで削減することを目標にしている。

現在は新型コロナウイルス感染拡大によるインバウンド需要の低迷により、Reluxの不正利用も減少している。「それでも将来、インバウンド需要が復活すれば、旅行業ではまた同じことが必ず起こる。その時に備えて、今は防御を固める時。Siftはその要として貢献してもらえると考えています」と川口氏は語る。