後払い(BNPL)は、特に信用取引に慎重なミレニアル世代とZ世代の消費者層の間で人気が急上昇しています。2025年までに6,800億ドルの取引量が見込まれる中、フィンテックのスタートアップ企業や老舗金融機関が、独自のサービスでこの流れに参入しています。
しかし、他の新興テクノロジーのトレンドでも見られるように、急速な成長は新たな課題をもたらします。
多くの業界専門家は、消費者金融保護局(CFPB)によるBNPLベンダーへの最近の調査を業界最大の逆風として指摘するだろうが、規制当局と業界関係者が懸念すべきもう1つの分野がある。それは詐欺だ。サイバー犯罪はしばしば経済動向のバロメーターとして機能するが、BNPL市場が急成長を続ける中で、詐欺師たちはその恩恵を受けている。
詐欺師たちは、ダークウェブのマーケットプレイスに活動の場を移すのではなく、暗号化されたメッセージアプリという、人目につく場所に潜んでいます。彼らはこれらのプラットフォーム上の公開フォーラムを通じて協力し、新たな戦術でBNPLプロバイダーを標的にしています。
決済詐欺は主流になりつつあり、インターネットに接続できる人なら誰でも参加できます。しかし、プラットフォームが自社のサービスからこれらの詐欺フォーラムを削除することを期待するのではなく、BNPLプロバイダーとそれを利用する小売業者は、リスクがどの程度あるかを正確に理解することで、自社の資産を強化することができます。
では、こうした新たな詐欺の手口とは一体どのようなものなのでしょうか?そして、プロバイダーはどのようにしてそれらから身を守ることができるのでしょうか?詳しく見ていきましょう。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
ダークウェブ対ディープウェブ:詐欺サービス化の台頭
ダークウェブは長年にわたりサイバー犯罪の温床となり、情報漏洩を狙う詐欺師たちのオアシスとなってきました。しかし、近年のダークウェブマーケットプレイスへの取り締まり強化により、サイバー犯罪者は新たな、そして目立たないハブへと目を向け、違法行為に手を染めるようになりました。
悪意のある犯罪者は、Telegramなどの安全なメッセージングアプリを標的に違法行為を行っています。検索エンジンにインデックスされないディープウェブの一部である安全なメッセージングアプリは、匿名性を維持したいプロの犯罪者にとっての隠れ家となっています。
これらのフォーラムにおいて、詐欺師たちは攻撃戦略を進化させてきました。情報へのアクセスを売買するだけでなく、サイバー犯罪者は詐欺をサービスとして宣伝し始めています。
一例として、サイバー犯罪者がレストランやフードデリバリーサービスから情報を盗むTelegramの手口が挙げられます。窃取した情報(ログイン認証情報やクレジットカード番号など)を使って飲食物の注文を代行できると宣伝することで、好機を狙った客に大幅な割引価格で食事を提供するのです。
サイバー犯罪者は、食事をしようとしていた客から暗号通貨で支払いを受け取り、盗んだクレジットカードの詳細やハッキングしたアカウントを使って食事を購入し、客のいる場所まで配達します。
こうした詐欺の危険性は、Telegramに限らず、容易に模倣できることです。暗号化されたアプリは、詐欺師にとって盗んだ情報へのアクセスを宣伝するための安全なプラットフォームとなります。偽のCOVID-19ワクチン接種カードの提供から、暗号資産取引所における顧客確認(KYC)を回避するための手法の共有まで、詐欺師は暗号化されたプラットフォーム上でFraud-as-a-Service(詐欺行為をサービスとして提供するサービス)を提供することで、あらゆる市場で利益を上げることができます。
BNPLセクターのリスク
詐欺師が暗号化アプリで成功を収めていることから、BNPLプロバイダーに狙いを定めているのは当然のことです。サイバー犯罪者は、3,000人から125,000人の登録者を抱えるTelegramの主要な詐欺フォーラムで詐欺行為を宣伝しています。
このような手口は、悪意のある人物が主に2種類の盗難情報、すなわちユーザー認証情報と使用できないクレジットカード情報にアクセスすることで可能になります。不正に入手した認証情報を利用した詐欺は、右の図のような形で、悪意のある人物が盗難アカウントを利用して標的にできる米国の小売業者のリストを提供している様子を示しています。
これらのエージェントは、小売業者の Web サイト、BNPL プロバイダーのユーザー アカウント、電子メールの詳細など、さまざまな種類の盗難情報へのアクセスを提供します。
多くの場合、彼らは休眠中のYahoo!やAOLのメールアドレスに関連付けられたBNPLアカウントへのアクセスを販売しています。これらのアカウントを利用することで、個人は取引に代金を支払う意思なくBNPL商品を購入することができ、代金はアカウントの所有者かBNPLプロバイダーのいずれかが負担することになります。
BNPL詐欺のもう一つの手口は、データ漏洩やプライバシー重視のメッセージングアプリの詐欺フォーラムなどを通じてダークウェブで入手した、使用不能のクレジットカード番号を販売することです。個人が情報を購入すると、その情報を使って不正なBNPL購入を行うことができます。クレジットカード番号が無効になっているため、後々購入は失敗すると分かっているからです。
このスキームは、初回の分割払いをすぐに回収しないBNPLプロバイダーや、承認フローが最適ではないBNPLプロバイダーに対してよく利用されます。しかし、クレジットカードが取引で承認されると、購入者の問題ではなくなります。小売業者またはBNPLサービスプロバイダーがクレジットカードを処理できない場合、損失は小売業者またはBNPLサービスプロバイダーが負担することになります。
攻撃からの防御
残念ながら、暗号化されたメッセージングフォーラムにおけるこの種の詐欺行為を阻止することはほぼ不可能です。Telegramはこうしたグループを認識しているようですが(詐欺グループが削除された事例もいくつかあります)、それだけではこの行為を阻止するには不十分です。1つのグループが閉鎖されるとすぐに、別のグループが作成され、違法な情報共有の終わりのないサイクルが続いてしまいます。
こうした詐欺に対抗する唯一の方法は、BNPLベンダーが自社のプラットフォームとネットワークにおける不正行為に対抗するための適切な防御戦略を確実に構築することです。課題は、ベンダーが取引量の急増に対処しているため、不正防止対策の規模を拡大できることです。
ここで自動化が重要な役割を果たすことができます。多くの不正対策チームはリソースが不足しており、プラットフォーム上で行われるすべての取引を分析する能力がありません。自動化と膨大なデータを組み合わせることで、システムは購入に関する数千もの異なるシグナルをリアルタイムで分析できるようになります。
新たな配送先住所や異なるクレジットカードを使用しているアカウントなど、疑わしい取引が特定されると、処理前に不正対策チームにフラグ付けされます。これにより、不正対策チームはすべての購入を精査することなく、疑わしい注文のみを分析できるようになります。
BNPL市場の今後
BNPL市場がCFPBの調査に対応する中、プロバイダーは自社のプラットフォーム上で発生する詐欺行為の阻止に注力することが不可欠となるでしょう。一度でも詐欺行為に遭遇すると、消費者は競合他社へと流れてしまう可能性があるため、最終的に勝利を収めるのは、詐欺行為に効果的に対処できるベンダーとなるでしょう。
BNPLセクターにとって幸いなことに、トレンド市場における詐欺の増加は目新しいものではありません。ベンダーにとっての第一歩は、自社のプラットフォーム上で詐欺が発生していることを認識し、それを阻止する方法を理解することです。
