SaaS決済

ベロシティチェックとは何ですか?

著者: Oleksandra Butenko, コピーライター

監修者: George Ploaie, 最高執行責任者 (COO)

ベロシティチェックとは

ベロシティチェックとは何ですか?

速度チェックとは、企業が目標とする期間にわたって特定の顧客行動の頻度を監視する、リアルタイムのリスク評価の仕組みです。顧客が1秒間に複数回の支払いを行おうとするなど、設定された制限を超える頻度で発生する活動を、システムがフラグ付けしたりブロックしたりすることで対処します。

SaaSのサブスクリプション決済において、速度チェックはなぜ重要なのでしょうか?

SaaS製品の販売に関連するウェブページは、その特徴的な公開性(および通常、初期サービスとのやり取りにパスワードを必要としないこと)から、自動化されたソフトウェアの初期アクセスポイントとして認識されることがあります。速度チェックを導入することで、少なくとも最も頻繁に発生する3つの不正利用カテゴリに対処する手段が得られます。

  •       カードテスティングとは、自動化されたシステムを利用して、不正に入手した多数のカード番号をマーチャントの決済ポータル経由で送信し、それらのカードが有効であるか(稼働状況)を確認する行為です。マーチャントの運用コストには、決済手数料やチャージバックに関する経済的負担などが含まれます。
  •       クレデンシャルスタッフィングでは、ボットが自動化されたログインシーケンスを実行し、事前のデータ収集によって取得された大量のユーザー名とパスワードがSaaSプラットフォーム内で機能するかどうかをテストします。
  •       スクリプトを介して多数の一時的な無料アカウントが作成されることで、正規のサブスクリプションなしに、クラウドコンピューティングやスクレイピングツールなどの様々な有料サービスへのアクセスが可能になります。現時点では、これらのユーザーは無料で機能を利用できており、将来的な収益化は見込まれていません。

速度チェックにはどのようなデータが利用されますか?

非常に強力なベロシティルールは、「クリック」の頻度のみに注目し、さらに身元関連情報の組み合わせを調査して、自身を偽装しようと懸命に試みる詐欺師を捕らえます。

  • トランザクションログ:システムは、個人の単一のクレジットカード番号、アカウントID、または請求先住所が特定の期間内に使用された頻度を表示します。
  • デバイスフィンガープリント: ハードウェア、ブラウザバージョン、画面解像度の正確な組み合わせを記録します。2分間の時間枠内でブラウザプロファイルが20回使用され、複数の異なるユーザー名が伴うシナリオは、ブロック分類の結果とみなされます。
  • IPジオロケーション:同じIPアドレスからリクエストが送信された回数。システムはまた、ニューヨークでのログインに続き5分以内に東京からのログインがあった場合のように、“impossible travel”として発生を検出するように設定されています。
  • メール行動の分析:一時的なメールプロバイダーのみで、または(例:[email protected][email protected]などの)同じ基本メールアドレスの異なるバリエーションを介して登録されている特定数のアカウントの行動を調査すること。

 

SaaS課金スタックにおいて、ベロシティチェックをどのように実装しますか?

企業の規模に応じて、エンジニアリングチームは通常、主要な2つの実装オプションのいずれかを選択します。

  • 決済サービスプロバイダーダッシュボードは、初期段階でのカードテスティングの試行に対処するルールを定義する機能を提供します。この機能の使用は、主要システムへの変更や追加のプログラミングを伴いません。
  • カスタムメイド不正チェック(専用API)顧客の行動がお客様の請求システムに到達する数ステップ手前で、それを傍受し、外部の不正対策ベンダーにAPIリクエストを送信する権利があります。この分析レベルは、アプリケーション内の詳細なデータ追跡と複雑な履歴的意思決定に基づいており、決済プロセスがさらに進む前に、許可するかブロックするかを決定します。

誤検知による拒否を急増させることなく、ベロシティルールをどのように調整しますか?

特定のルールセットは、正規のユーザーがアクセス上の障害(例えば、パスワード忘れやインターネット接続の制限など)を経験する可能性のある状況を特定します。ここでは、ルールを微調整するためのいくつかのヒントをご紹介します。

  • 過去の基準値を確認する:例えば、大量発生時における顧客ログを確認することで、実際のユーザー活動に関する洞察を得る。 大規模な製品発表、人間が最大どれくらいの速度で作業できるかを確認します。初期の 不正利用制限 一般的な人間のしきい値を超えるレベルで設定できます。
  • 動的なローリングウィンドウを使用する: 真夜中を過ぎてカウントをリセットする代わりに、ローリングタイムウィンドウ(例:60秒のウィンドウあたり最大3回の試行)を導入します。
  • ユーザーの信頼レベルで分ける: 認識されている、長期間ログインしているユーザーにはより速い速度チェックを許可し、一方、未登録のユーザーには厳格な速度チェックを強制します ゲストチェックアウト または新規アカウント。

 

「ベロシティチェック失敗」エラーとは何ですか、そしてどのように対応しますか?

この兆候は、特定の期間中に設定された最大しきい値を超える入力リクエスト量と関連しています。単純で一般的なエラーメッセージ(その後の試行をブロックすることと組み合わせて)は、不正なエンティティにセキュリティ対策の一面を知らせる可能性があります。この組み合わせは、認証済みユーザーのエクスペリエンスにも影響を与えます。オーバーフローに対処する効率的な方法の1つは、〜を導入することです。 CAPTCHA または 多要素認証(MFA)、そうすることで、少なくとも一時的にボットの自動化が停止し、人間ユーザーが作業を完了できるようになり、その場を切り抜ける手段も与えられるためです。

結論

確認速度は、現代のSaaS請求インフラストラクチャにとって重要な第一の防御線です。ユーザーイベントの頻度とローリングタイムウィンドウのリアルタイム測定により、ソフトウェアプラットフォームは悪意のある自動化を特定・軽減し、システムの過負荷を防ぎ、特定の処理関連のペナルティを回避できる可能性があります。​‍​‌‍​

準備はよろしいですか?

私たちは皆様と同じ道を歩んできました。18年間の経験を共有し、皆様のグローバルな夢の実現をサポートいたします。
モザイク画像
ja日本語