課題はあるものの、グローバル市場は魅力的な機会を提供しています。デジタル決済のブレークスルーにより、より多くの中小企業から中堅企業、そして金融機関が、いまや世界経済に参加できるようになりました。国際決済銀行(Bank for International Settlements)によれば、越境決済の取扱高は、2027年までに$250兆に達する見込みであり、その一部には、この参加拡大が寄与しています。
たとえば、この技術により、オンラインの金融機関において、特定の口座に対して不正なアクセスを得る口座乗っ取り(アカウントテイクオーバー)を、ハッカーがより多く実行できるようになりました。FBI Internet Crime Complaint Centerは、今年すでに組織が数百万ドルの損失を被っている口座乗っ取り詐欺の増加について、最近警告しました。
国境を越えた支払いにおける詐欺対策には、より良い取引相手の確認が必要です
情報ハイウェイが切り開かれたことで、グローバル市場への新たな道が生まれ、多くのビジネスオーナーがこれらの新しいフロンティアに惹きつけられてきました。しかし、通貨の両替や商品の配送をはるかに超える、越境運用特有の独自の課題があります。企業が国境を越えて資金を動かし始めると、サイバー犯罪者にとって、ますます巧妙になっていることもあり、より多くの隙間が生まれます。
これらの問題の中心にあるのがカウンターパーティ(取引先)リスクです。現在の越境送金モデルでは、送金先はしばしば、手作業のコールバックとスプレッドシートに基づくプロセスによって確認されます。悪意のある行為者が現在手にしている技術を考えると、この分断されたプロセスの中でカウンターパーティを効果的に検証することは、重大な課題になっています。
これにより、犯罪者が悪用できる脆弱性が生まれました。これらの攻撃が組織を財務的およびレピュテーション上のリスクにさらすため、企業が検証プロセスを最適化できるソリューションを導入することが極めて重要です。
未解決のギャップ
課題はあるものの、グローバル市場は魅力的な機会を提供しています。デジタル決済のブレークスルーにより、より多くの中小企業から中堅企業、そして金融機関が、いまや世界経済に参加できるようになりました。国際決済銀行(Bank for International Settlements)によれば、越境決済の取扱高は、2027年までに$250兆に達する見込みであり、その一部には、この参加拡大が寄与しています。
しかし、これらの組織は、歴史的に対応が難しかったシステムのリスクにもさらされています。これらの問題の多くは、数十年にわたり国際決済を支配してきたコルレス(Correspondent)バンキング・モデルに起因しています。このモデルでは、複数の外国および国内の銀行が連鎖しながら、単一の支払いを完了させます。
この複雑なプロセスは、各機関がプロセスの自分の部分を実行し、かつ自らの方針と規制を遵守しなければならないため、送金の遅延をしばしば引き起こします。さらに、これらの支払いをリレーのように受け渡していくために必要な集中的な運用は、高い取引手数料につながります。
送金がルーティングされていく過程では、プロセス内における支払いのステータスや、それに影響する問題について可視性が欠けていることがよくあります。加えて、越境送金を処理する際には、各地域の規制要件や通貨要素を考慮する必要があります。
これらすべての問題により、国際取引は長期化し、費用もかかる取り組みになります。これらの機能の多くがいまだ手作業のプロセスで行われているため、その過程でのエラーや誤ルーティングが起こり得ることも、潜在的な問題として生まれます。
残念ながら、悪意のある行為者は越境送金を悩ませる課題を鋭く認識しており、それを悪用しようと積極的に動いています。TransUnionによれば、グローバル企業は2025年に詐欺により年間売上の平均7.7%を失っており、これは推計で$5340億($534 billion)に上ります。
「同じTransUnionのレポートによれば、米国企業は詐欺によって年間売上の平均ほぼ10%を失っています」とJavelin Strategy & Researchのシニア不正分析官であるJennifer Pitt氏は述べました。「世界で平均7%なのか、米国では10%に近いのかにかかわらず、企業の損益への影響は大きいです。すべての詐欺を防止できるわけではありませんが、予防と検証における未解決のギャップが、引き続き財務損失に寄与しています。」
これらの課題は、組織が国際取引における統制、リスク、摩擦(フリクション)に取り組む方法によって、さらに増幅されることがよくあります。
「一部の越境決済環境では、統制は存在しますが、今日の組織化された不正がどのように機能しているかに追いついていません」とPitt氏は述べました。「その結果、これらのギャップは犯罪ネットワークにより悪用されます。さらに、大規模な不正オペレーションの可能性も生まれます。消費者は一般に一定程度の摩擦を受け入れる姿勢があり、そしてある程度の摩擦は金融犯罪の予防に必要であることが多いです。」
「組織は、不正な活動を検知するために適切な量の摩擦をかける一方で、越境決済に対する需要も満たさなければなりません」とPitt氏は述べました。「消費者が、詐欺から守るために必要な摩擦には耐えられるということを認識すれば、越境決済に共通する透明性不足や本人確認(アイデンティティ検証)の欠如に対処することへの組織の自信が高まるはずです。適切に実装されれば、これらの統制は、組織がかつてそう考えていたような形で決済を妨げることはありません。」
テクノロジーによって強まる脅威
詐欺が現在の統制や防御を上回ってしまう理由の一つは、悪意のある行為者が、より効果的な技術にますますアクセスできるようになっていることです。
たとえば、この技術により、オンラインの金融機関において、特定の口座に対して不正なアクセスを得る口座乗っ取り(アカウントテイクオーバー)を、ハッカーがより多く実行できるようになりました。FBI Internet Crime Complaint Centerは、今年すでに組織が数百万ドルの損失を被っている口座乗っ取り詐欺の増加について、最近警告しました。
新興技術により、悪意のある行為者が、はるかに大規模にマルウェアやランサムウェアを作成し、展開できるようにもなっています。これらの攻撃の初期侵入ポイント、そして不正の試みの大半の入口は、フィッシングメッセージです。
過去のフィッシングメッセージは、タイプミスや文法上の誤りがあって見つけやすかったのですが、状況は変わりました。今日のフィッシング攻撃がより効果的である理由の一つは、悪意のある行為者が人工知能を活用していることです。AIによりサイバー犯罪者は、より良いメッセージを作成し、それを広範囲に送信できます。
SlashNextのレポートによれば、オープンソースのAIが2022年後半に公開されて以降、フィッシング攻撃は4,151%増加しました。フィッシングのほかにも、AIはディープフェイクによるなりすまし、シンセティック(合成)アイデンティティ、偽の書類の作成にも使われています。
技術的な巧妙さに加えて、不正はますます組織化された不正オペレーションによって実行されるようになっています。これらのシンジケート(犯罪集団)は、メッセージや攻撃を世界規模で展開するための装備が整っています。
この環境は、不正が組織や消費者にとって、さらに増し続ける形で難題になっています。Association for Financial Professionalsによれば、2024年に米国の組織の79%が、不正に関連する試みまたは実際の支払い詐欺のインシデントを報告しています。
これらすべての詐欺リスクは、資金を国境を越えて送る際にさらに悪化します。詐欺の脅威に加えて、組織は、マネーロンダリングやテロ資金供与のために越境チャネルを使用する組織的脅威行為者による脅威にも注意する必要があります。
「詐欺師やサイバー犯罪者は、組織が組織犯罪を特定する際に直面する制約、つまり越境における可視性のギャップなどを理解しています」とPitt氏は述べました。「検知をすり抜け、犯罪との距離を置くために、脅威行為者は頻繁に越境チャネルを使います。そして、詐欺とマネーロンダリングのインシデントがますます重なっているため、片方を検知できないことは、もう片方を検知できないことを意味します。だからこそ、チームが完全にサイロ化されていないことが重要なのです。」
「多くの組織は、いまだ別々のAML(マネロン防止)部門、不正部門、KYC(顧客確認)部門として運用しており、それぞれが異なるシステムやデータセットに依存しています」と彼女は述べました。「活動が機能横断ではなく孤立した形で見られると、リスクを正確に特定することが、とりわけリアルタイムでは著しく難しくなります。だからこそ、FRAMLアプローチ――不正とマネーロンダリングを統合したチーム――は、不正の専門家たちの間で今も強く議論され、検討されているのです。」
「詐欺防止やAMLのための規制は異なるかもしれませんが、あらゆる違法行為において顧客と活動を包括的に見通す必要性が、別チームを設けるための時代遅れな理由を上回ることが多いのです」と彼女は述べました。
手作業プロセスからの脱却
越境送金の脅威が意味するのは、グローバル市場に参入しようとする組織は自分自身を守る必要があるということです。これは、組織をより大きなリスクにさらす手作業プロセスから離れることを意味します。
「自動化とデータ可視化ツールは、カウンターパーティを素早く特定し、それらが互いにどう結び付いている可能性があるのかを把握するうえで非常に役立ちます」とPitt氏は述べました。「これらのツールは、最終的に人が大量の、一見無関係に見える情報を理解しようとして手作業で分析するだけの静的データに頼るよりも、組織犯罪グループをより簡単に見つけられることがよくあります。」
脅威行為者が高度な技術にアクセスできる以上、組織は自分たちを守るためにテクノロジーを取り入れなければなりません。詐欺攻撃を作るためにAIが悪用されているとしても、疑わしい活動を特定し、フラグ付けするためにAIを使うこともできます。
「氏名や生年月日、写真、および/またはSSN(社会保障番号)のようなアイデンティティ要素における再利用を、複数の口座にわたって検知できれば、シンセティックなアイデンティティだけでなく、マネーミュール(資金運び屋)口座――現在詐欺およびマネーロンダリングに使われている高リスクの典型パターン――の特定にも役立ちます」とPitt氏は述べました。
国際取引における最も重要な課題の一つは、取引の相手方が、その当人であると主張する人物であることを確認することです。コルレスバンキング・モデルでは、各当事者が受取人の本人確認を確実にするために、一連の手作業の照合を行います。
しかし、これらすべての確認の後には、銀行はしばしば、カウンターパーティが善意で行動していることを信じる形に委ねられます。
「依然として多くの金融機関が、主な方法として人の目による審査を用い、手作業中心の本人確認に大きく依存しています」とPitt氏は述べました。「書類の偽造が進歩したことで、詐欺師が、支店内の担当者がIDや書類を偽造の兆候について手作業で点検するような弱い検証プロセスを含む、脆弱な検証プロセスをすり抜けられる説得力のある偽の本人確認書類を作ることが、より簡単になりました。」
「多くの金融機関は、レガシーなKYCチェック(顧客確認)が『一度だけ』――通常はオンボーディング時――その後は年次でしか行われないという運用に、まだ依存しています」と彼女は述べました。「KYCチェックは、各顧客を理解することだけに焦点を当てるべきではなく、取引を行う相手方をリスクベースで捉える必要もあります。ある銀行は顧客だけを、真空の中で見るように考えており、全体として包括的に見ていません。さらに、相手方を十分に調査しない銀行もあります。」
リスク管理の礎
これらの課題に対処するため、LSEG Risk IntelligenceはGlobal Account Verification(GAV)プラットフォームを開発しました。GAVは、APIベースで、かつポータルからアクセスできるソリューションであり、45か国以上にわたってリアルタイムに銀行口座の保有を検証します。
GAVプラットフォームは、資金を払い出す前にカウンターパーティの口座詳細を組織が確認するのを支援し、APP詐欺、失敗した支払い、そしてPSD3、NACHA、PSR1におけるコンプライアンス上のリスクを大幅に低減できます。
このプラットフォームは、グローバル市場に魅力を感じている一方で、越境決済の実態には警戒感を抱いている組織にとって、ゲームチェンジャーです。
「カウンターパーティを理解することは、各顧客を理解するのと同じくらい重要です」とPitt氏は述べました。「関連するカウンターパーティに対して、実質的にはリスクベースのミニKYCプロセスを行い、さらに、カウンターパーティが異なる口座保有者とどのようにつながり得るのかを理解することで、金融機関は組織犯罪や不正グループを特定しやすくなります。」
「口座保有者が誰で、どのような相手と取引しているのかを精査できることは、基本的なリスク管理実務の重要な礎になり得ます」と彼女は述べました。「コンプライアンス要件を満たせない場合、同意命令、訴訟、罰金、レピュテーション上のリスク、そして顧客の離反といった重大な結果につながり得ます。」
0
0
タグ: AutomationCounterparty RiskCross-Border PaymentsDigital PaymentsEmerging TechnologyFraudLSEGRisk Management