UPSIDER Tech Blog

法人カードの不正利用対策に挑む:その難しさと面白さ

Engineering

本記事は UPSIDER Tech Advent Calendar 2025 の3日目の記事になります。 2日目のAnti-Fraud(不正利用対策)チームの Tech Lead の Sho さんに引き続き、Anti-Fraud チームの EM のRyutaroが担当します。ぜひ2日目の記事もご覧ください!

UPSIDERのアドベントカレンダー2025 では、Tech・Corporate・Bizの3つに分かれて、それぞれのチームメンバーが日替わりでさまざまな内容をお届けします。

Techはこちら: UPSIDER Tech Advent Calendar 2025 - Adventar
Corpはこちら: UPSIDER Corp Advent Calendar 2025 - Adventar
Bizはこちら: UPSIDER Biz Advent Calendar 2025 - Adventar

法人カードの不正利用対策という仕事は、外から見ると「地味」に見えるかもしれません。 しかし、日々この領域に向き合っているとわかるのは、ここには 攻撃者との知恵比べ、データから行動意図を読み解く推理性、そして 事業の健全性を支える技術的挑戦 が詰まっているということです。

一方で、不正利用対策は非常に難しい領域でもあります。不正は常に新しい形で現れ、正解は昨日と今日で全く違う。誤検知を下げれば見逃しが増え、見逃しを減らせばユーザー体験が損なわれる。そして法人カードには個人向けカードとまったく異なった複雑性があります。

本記事では、法人カードの不正利用対策を1年以上やってきたエンジニアから見た、この領域に対するその難しさと面白さをご紹介いたします。

法人カードの不正利用

法人クレジットカードにおける不正利用と聞いて、皆さんは何を思い浮かべますか?
代表的なものは下記になります。

  • 第三者利用(フィッシングやクレジットマスター攻撃等によるカード番号盗用)
  • 社内不正(社員が私的利用や不正な経費計上を行うケース)
  • 与信枠の貸し倒れ
  • マネーロンダリング

これらの不正利用に対してそれぞれ対策を行い、被害が発生しないよう、もしくは被害を最小限にできるようにプロダクト開発を行っています。

不正利用対策の"難しさ”

法人カードの不正利用対策を語る上で、まず理解しておくべきポイントがあります。それは、法人カードの不正は個人カードとは性質が大きく異なるということです。

利用者は個人ではなく組織

法人カードの利用者は「個人」ではなく「組織」になります。そのため、組織による利用を大前提とした決済であることを考慮する必要があります。

例えば、利用目的が事業(ビジネス)に関連しているかだったり、事業の仕入れやサービスの利用のため個人カードよりも高額な決済が発生します。

そのため、一概に高額な決済があったから不正利用と判定してブロック!というわけにはいきません。ビジネス上大きくアクセルを踏み込むために高額な決済をすることは起こり得ます。しかし、不正利用の高額決済を見逃してしまうとユーザーだけでなく、 UPSIDER自体の事業インパクトに繋がります。事業の命運を握っていると言っても過言ではありません。

攻撃が進化し続けるため正解がない

一般的なプロダクト開発では、仕様・要件があり、それを実装しテストし改善していくという最適化の方向性があります。

しかし不正対策では、昨日の最適解が明日の不正を見逃すことがあります。

  • ルールを厳格にした瞬間、攻撃者が別の道を見つける
  • モデルをチューニングした直後に攻撃パターンが変わる

常に相手が新しい手法を用いてくるため、「完成」がありません。この正解のない道を進まないといけないのはとても難しい道のりです。

不正リスクとUX・事業インパクトのトレードオフ

不正利用の検知では常に誤検知(False Positive)と見逃し(False Negative)が存在します。

誤検知が増えるとユーザー体験に悪影響があり、見逃しが増えると不正被害が増えてしまいます。そうなると、事業自体へのインパクトが発生してしまいます。

法人カードでは各企業における利用パターンも違い、一般解が通用しません。どのポイントを最適化すべきかは不正利用対策の大きな課題になります。

技術だけではない組織的な難易度

不正利用対策はプロダクト開発だけでは完結しません。もちろん他の領域でも同じものはありますが、色んな組織的な連携が必要となります。

  • 不正利用対策
  • カスタマーサポート
  • 法務
  • 会計・経理
  • 与信・審査

など、多数のチームと連携が必要になります。

例えば、不正利用が発生した際には、

  1. カスタマーサポートがユーザー対応
  2. 不正利用対策チームが該当決済の調査・判断
  3. 必要があれば法務が補償可否の確認対応
  4. 補償金や不正利用金額の経理処理
  5. 与信への影響確認

など、案件によってはもっと複雑な対応が必要だったり、経営陣による判断が必要となる場面もあります。このような組織的横断が発生するのも難しさの一つです。

不正利用対策の”面白さ”

これまで不正利用対策における難しさを紹介してきましたが、今度は面白さについて紹介いたします。

攻撃者の意図を読み解く推理ゲーム性

不正利用の大前提として、必ず攻撃者がいます。そのため、不正利用の対策を考える上で攻撃者の立場になって物事を見てみるというのが重要になってきます。簡単に言うと、攻撃者との知恵比べです。

  • 昨日防いだ攻撃は、今日また違う形で来る
  • 攻撃者はルールの裏をかいてくる
  • ちょっとしたプロダクト仕様の変化が攻撃者に悪用される

上記のような事象は日常茶飯事です。ただ、攻撃者は機械ではなく人間です。そのため、行動には必ず意図があります。それを紐解いていき推理していく過程は面白さがあります。

技術・データ・事業・心理など多くが交わる領域

不正利用対策の領域は非常に多くの要素が必要となる領域です。

  • データ分析
  • 機械学習
  • リアルタイム処理
  • 非同期処理
  • 各事業のドメイン知識
  • 攻撃者心理の洞察
  • 組織的横断

他にも色んな要素があると思いますが、これらすべてが必要になる領域は他にありますでしょうか。色んな要素を学び、日々の業務に活かすことは大変ですがとてもやりがいがあります。

成果がダイレクトに事業インパクトに繋がる

難しさでもお伝えしましたが、逆を言うと不正利用対策は事業インパクトを与えることができます。

  • 1件の不正利用を防ぐだけで、数百万以上の被害を回避
  • 誤検知が減れば UX 向上
  • 不正検知によりユーザーへ安心を届けられる

不正利用対策の改善は事業インパクトに繋がる形で成果を残すことができます。
これは不正利用対策に関わるメンバーにとって大きなやりがいになります。

不正利用対策に挑む価値

ここまで不正利用対策に関して色々と語りましたが、不正利用対策は事業を守る最後の砦です。不正が起きれば損失が発生し、信用にも傷がつき、プロダクトの信頼性も揺らぎかねない領域です。なので、起こってから考えるのでは遅いのです。
また社会的にも意義が大きいと考えています。不正利用は最終的に誰かが損をする行為です。だからこそ、不正利用を減らすことは企業だけでなく社会的な価値があると考えます。

もちろん技術的な視点では、決済を防ぐためのリアルタイム処理、データ分析、機械学習など色んな技術が必要となる領域なため、自分自身が経験したことのない技術に挑戦する楽しさがあります。不正利用対策はプレッシャーも大きく、難易度も高い領域ですが、その分、他の領域では得られない経験ができていると感じています。

おわりに

不正利用対策という領域における難しさと面白さをそれぞれ紹介しましたがいかがでしたでしょうか。この記事を読んで少しでも不正利用対策に興味を持っていただけたら嬉しいです。
今後もこの領域における知見を深めていき、技術だけでなく組織や事業の目線からより良い不正利用対策を実現していけるように日々頑張っていきます。

UPSIDERアドベントカレンダー2025

株式会社UPSIDERのメンバーがお届けする、#UPSIDERアドベントカレンダー2025。Biz・Tech・Corporate の3つに分かれて、それぞれのチームメンバーが日替わりでさまざまな内容をお届けします。内容は仕事に限らず、日々の学びや経験、好きなこと、趣味の話、ふと思ったこと など、自由に…!UPSIDERで働くメンバーの “素顔” が垣間見えるような、そんな企画になっています。気軽に読みながら、メンバーそれぞれの雰囲気を感じていただけたら嬉しいです。

adventar.org adventar.org adventar.org

We Are Hiring !!

株式会社UPSIDERでは現在積極採用をしています。 ぜひお気軽にご応募ください。

herp.careers

herp.careers

UPSIDER Engineering Deckはこちら📣

speakerdeck.com