ハクソク

世界を動かす技術を、日本語で。

Stripeは「フレンドリーフラウド」に優しい

2026年5月27日原文(gingerlime.com)

概要

  • Friendly fraud (フレンドリーフラウド)の実態と課題を解説
  • Stripe など大手決済プロバイダーの対応の限界を指摘
  • 小規模事業者が チャージバック詐欺 に直面した体験談
  • 機械学習型不正検知 の期待と現実のギャップ
  • 今後の課題と問題点を整理

フレンドリーフラウドと決済システムの限界

  • Friendly fraud とは、顧客自身が正規のカードで商品を購入し、後から虚偽の理由でチャージバック(支払い取消)を申請する詐欺手法
  • 決済システムや Stripe のような大手プロバイダーでも根本的な防止は困難
  • 商品(Ciglue:シガーグルー)を購入し、配送証明も提出したが、顧客が虚偽の主張でチャージバック
  • 顧客は「銀行のミス」と説明しつつ、実際は意図的な詐欺行為
  • 銀行は顧客側に有利な判断を下し、販売者側は 返金・商品・送料・手数料 すべてを失う

Stripeの対応と現状の課題

  • 販売者が 証拠 (配送・顧客対応・利用規約)を提出しても、銀行の判断が最終決定
  • Stripeは他の加盟店に対して チャージバック悪用顧客 の情報共有や内部対策を行わない方針
  • Stripeの Radar (不正検知サービス)は、ネットワーク全体のシグナルを活用するとうたうが、実際は個別加盟店の範囲でしか対策できない
  • 他の加盟店では同じ顧客による詐欺が再発するリスク
  • Radarによる 顧客ブロック も有料アップグレードが必要なケースが多い

フレンドリーフラウドの本質的な難しさ

  • 取引自体は正規であり、配送先やカード情報も一致しているため、事前検知が困難
  • 悪用は 後からのチャージバック申請 という形で現れる
  • 新たな証拠が後日判明しても、提出期限やシステム上の制約で対応困難
  • 小規模事業者は銀行や決済プロバイダーに対して 交渉力が極めて弱い

まとめと今後の課題

  • フレンドリーフラウドは「友好的」どころか、 販売者にとって深刻な損害 をもたらす実害
  • Stripeなど決済プロバイダーの現状の仕組みでは、 被害拡大の抑止が不十分
  • ネットワーク全体での 不正利用者情報の共有や再発防止策 の強化が課題
  • 小規模事業者が安心して取引できる環境整備の必要性

Hackerたちの意見

Stripeは明らかにフレンドリーフラウドに関するデータを記録してるよね。少なくとも、Visaのコンペリングエビデンス3.0を実装してるし、(https://support.stripe.com/questions/how-does-stripe-support...)Stripeサポートからのメッセージのスクリーンショットを載せてないから、彼らが何かあいまいで法的に問題のないことを言って、あなたを追い払おうとしてたんじゃないかな。それが怒りのブログ記事に変わったんだと思う。

そのリンクによると、顧客のあなたとの未争議の取引が4〜12ヶ月前にあった場合、その争議の取引が実際には正当だったことを示すかもしれないけど、この記事は争議のある購入を1〜2週間以内にしかしていない人についてのものだね。

何が言いたいの?Stripeが何を言ったかが重要だと思う?彼らが何を言えば、怒りのブログ記事を正当化しなかったと思う?

ストライプは明らかにフレンドリーフラウドに関するデータを記録してるね。私がストライプに対して唯一気になるのは、更新するつもりのないサブスクリプションのカード情報を削除できないこと。サービスの請求ページで更新しない設定にはしてるのに。

彼らはあなたを追い払うために、慎重に曖昧で法的に compliant なことを言ってたんじゃないかな。問題を完全に無視すること自体が欺瞞なら、それは特に大きな改善じゃないよね!

彼らの返答をそのままシェアするのは全然構わないよ。かなり長いやり取りだったからね。最新のメールの一部を紹介するけど、これが彼らが俺が提供した証拠を使わないことをはっきり示してると思う。「あなたのフィードバックはしっかり受け止めて、チームに伝えます。取引後の悪用検出についてのあなたの指摘は正当です。Stripeは強力なネットワークレベルの詐欺検出を持っていますが、確認された詐欺の商人提供の証拠を活用して、より広い商人エコシステムを守ることにはギャップがあるようです。直接的な証拠を持つ商人からのこの種のフィードバックは、これらのシステムを改善するために貴重です。」

私はSaaSを運営していて、たまにこういうことがあるんだ。基本的なルールとして、チャージバックがあったら、その顧客をデータベースから完全に禁止する必要があるよ。具体的には:- カード禁止 - メールアドレス禁止 - アクセスの指紋を取って禁止 これをやっておけば、再度サインアップや商品購入を試みたときに同じトラブルを避けられるから、めっちゃ楽になるよ。

iOSアプリの場合はDeviceCheckを使ってね。Uberはアカウント間で禁止するためにこれを使ってるよ。

そんなポリシーを持つなら、正当な顧客サポートの問い合わせには迅速に対応した方がいいよ。

悪用する人たちは簡単にこれを回避できるよ。結局、少数の人たちが全ての悪事を働いてるんだ。

その3つの識別子は、高度なユーザーによって簡単に変更できるよね。「アクセスをフィンガープリンティングする」ってどういう意味?オンデマンドのフィンガープリンティングみたいなこと?ブラウザのフィンガープリンティングしか見たことないんだけど。

私は不正なチャージバックに遭ったことがある(購入が無許可だったという主張で、その人がクラスに直接現れた)けど、さらに悪いのは、彼らがLinkを通じて支払ったから、Stripeが2FAで彼らを確認していたってこと。誰か、Stripe(または競合他社)が「今年、この商人に対して> xチャージバックを申請したカードの取引を拒否する」という設定を提供しない理由を説明してくれない?

Hacker Newsで議論の続きを見る