どの業種が不正で最も多くを失うのか、そしてなぜパターンが異なるのか
収益に対する不正損失の割合が最も高い5つの業種——iGaming、暗号資産/Web3、FinTech、AdTech、Eコマース——の内訳と、それぞれを標的にする構造的要因を分析します。
すべての業界が同じ不正の状況に直面しているわけではありません。もともとプロの不正オペレーションにとってより魅力的な攻撃対象領域の上に乗っている業界もあれば、防御が弱くても攻撃の量を制限する特性を持つ業界もあります。
本稿は、収益に対する不正関連の損失の割合が一貫して最も高い5つの業種——iGaming、暗号資産/Web3、FinTech/融資、AdTech、Eコマース——を順に見ていき、各業種を攻撃者にとって魅力的にする構造的要因を説明します。自社が見ている不正損失の数字が自分のカテゴリーで典型的なのか、それとも何かがおかしいのかを理解しようとするプロダクト、オペレーション、リスクのリーダーに向けて書かれています。
なぜ不正は均等に分布しないのか
攻撃者はユニットエコノミクスで動きます。あらゆる不正オペレーションの計算は「攻撃のコスト<抽出される価値」です。この不等式の右辺を最大化する業種が、最もプロの注目を集めます。
価値の抽出を決める構造的要因は3つあります。
要因1:収益化の速さ。攻撃者はどれほど速く不正の成功を現金に変えられるか。iGamingは収益化が速い(ボーナスを請求し、賭け条件を消化し、出金する)。Eコマースは収益化が遅い(商品を注文し、受け取り、転売する)。暗号資産は極めて速い収益化がありうる(エアドロップを請求し、DEXで売る)。速い収益化ほど、より洗練されたオペレーションを引き寄せます。
要因2:単位あたりの価値。1件の成功した不正イベントの金銭的価値はいくらか。合成ID融資不正は、成功した1件のバストアウトあたり15K〜25Kドルを抽出するかもしれません。ボーナス悪用は、アカウントあたり50〜500ユーロを抽出するかもしれません。クリック不正は、クリックあたり数セントですが膨大な量で抽出します。単位あたりの価値が高いほど、より集中した攻撃を引き寄せ、高量・低価値のカテゴリーはより産業的な自動化を引き寄せます。
要因3:検知の難しさ。不正が正当な行動に紛れる業種は防御が難しくなります。合成IDは、書類が本物に見え、12〜18か月間は行動が正常に見えるため難しいのです。共謀は、各プレイヤーが個別には正当に見えるため難しい。クリック不正は、個々のクリックが正常なユーザーの行動に見えるため難しいのです。
以下の5業種は、これら3つの要因のうち少なくとも2つで高いスコアを示します。不正問題を抱える業種はこれだけではありません——消費者向けのあらゆるプラットフォームが何らかの問題に直面します——が、これらは計算が最も強く攻撃者に有利に働く業種です。
iGaming:GGRの8〜20%
規制当局が開示を求めるため、金額が最も多く議論される業界です。規制された法域の成熟したiGaming市場は、通常、粗利益(GGR)の8〜15%を不正関連の問題で失います。成熟度の低い市場や防御の弱い事業者は、最大20%を失うこともあります。
構造的要因:
- 高いボーナス予算がボーナス悪用を引き寄せる。事業者は収益の5〜15%をウェルカムボーナス、リスクフリーベット、プロモーションのオファーに費やします。ボーナス予算は標的です。攻撃者は複数アカウントを作成し、これらのオファーを繰り返し請求します。
- 賭けと出金を通じた速い収益化。ボーナスの請求、最低賭け、出金——不正から現金までの総時間は多くの場合、日単位ではなく時間単位です。これにより、アカウントあたりの価値が中程度でもオペレーションは経済的に効率的になります。
- 成熟した攻撃者インフラ。iGamingは10年以上にわたって主要な標的でした。プロのボーナスファーミングのオペレーションが大規模に存在します。KYC回避サービスは成熟した産業です。書類の入手市場が確立されています。
- プレイヤー保護規制が攻撃者の優位を生む。事業者はユーザーへ積極的にチャレンジすることに摩擦を抱えます(誤検知が苦情と規制当局の注目を生む)。攻撃者は防御に対して反復することに、より少ない摩擦しか感じません。
損失を牽引する不正カテゴリー:ボーナス悪用と複数アカウント不正(最大量)、ポーカー形式での共謀、リスクフリーベットの悪用、入金のあるアカウントへのアカウント乗っ取り。それぞれ異なる対策を要します。
正直な評価:ほとんどの事業者は自らの不正率を過小に計測しています。捕らえたものを数え、捕らえられなかったものを見逃します。実際の率は、報告された数字より通常1.5〜2倍高いのです。
暗号資産とWeb3:Sybilに脆弱な配布で50〜80%
高不正リストへの最も新しい参入者であり、間違いなく最も極端なものです。トークンローンチ、NFTミント、エアドロップ、その他の配布メカニズムでは、配布の50〜80%が正当な参加者ではなくファーミングのオペレーションに流れることが日常的に起きています。
構造的要因:
- 配布イベントは大規模で、速く、高価値。トークンローンチは数時間で5,000万〜5億ドルの価値を配布するかもしれません。攻撃の窓は狭いですが、賭かる価値は膨大です。
- コンポーザビリティが自動化を有利にする。Web3の設計思想は許可不要のアクセスを重視します。Web3を強力にするのと同じ特性が、攻撃者にとって魅力的にします——伝統的な金融が要求する摩擦なしにプロトコルとやり取りできるのです。
- Sybil耐性は構造的に難しい。1,000のウォレットを支配する1つの主体と、それぞれ1つのウォレットを支配する1,000の別々の主体を区別することは、根本的な暗号学的問題です。標準的なアプローチ(活動の証明、ソーシャルグラフ、オンチェーンのレピュテーション)はいずれも既知の回避法を持ちます。
- アンチディテクトブラウザのインフラがWeb3に適応した。iGamingのボーナスファーミングで使われるのと同じツールがWeb3の配布ファーミングに機能し、Web3プラットフォームは防御が弱い傾向があるため、しばしばより効果的です。
不正カテゴリー:トークン配布へのSybil攻撃、事前に温めたウォレットによるエアドロップファーミング、中央集権型取引所でのKYC回避、DEX上の偽の取引量、詐欺ウォレットの帰属。それぞれ異なる問題であり、それぞれ異なる対策を要します。
正直な評価:エアドロップでの50〜80%というファーミング率は広く報告されており、Tracioが顧客の導入で見るデータと整合しています。積極的に防御しないプロトコルは、配布の大半がファーマーに届くと予想できます。適切に防御するプロトコルは、これを90%以上の正当な配布へ反転できます。
FinTechと融資:ポートフォリオの3〜10%
消費者向け融資、BNPL、ネオバンク、決済プラットフォーム、暗号資産とFinTechの橋渡しを含む広いカテゴリーです。損失はサブカテゴリーによって大きく異なりますが、統合された業界平均はポートフォリオの3〜10%あたりに位置します。
構造的要因:
- 1件あたりの価値が高い。合成ID融資不正は、成功した1件のバストアウトあたり15K〜25Kドルを抽出します。決済手段のあるアカウントへのアカウント乗っ取りも同様の額を抽出しうる。1件あたりの価値が洗練された攻撃オペレーションを正当化します。
- KYCが誤った安心感を生む。書類検証は軽率な不正者を捕らえ、洗練された者を見逃します。KYC産業は成熟していますが、KYC回避産業も同様です。書類の入手市場やアイデンティティ・アズ・ア・サービスのオペレーションが標準的な検証を破ります。
- 信用調査機関のデータはリアルタイムに遅れる。信用調査機関は24〜72時間のサイクルで更新します。攻撃者はこの窓をローンスタッキングに悪用します——1時間以内に複数の貸し手へ申込みを提出し、どの機関もまだ他を見ていないため、すべてが承認されるのです。
- フレンドリー不正とチャージバック悪用。FinTech不正の少なくない部分は消費者が起こすものです。正当な顧客が返金を得るために商品を保持したまま取引に異議を唱えたり、正当な購入について不正を主張したりします。
不正カテゴリー:アカウント乗っ取り(最大量)、合成ID(1件あたり最大価値)、ローンスタッキング(融資商品に特有)、カード非提示不正、フレンドリー不正とチャージバック悪用。カテゴリーの構成は商品タイプによって劇的に異なります——消費者向け貸し手の不正状況は、決済処理業者のそれとは異なって見えます。
正直な評価:FinTech事業者は、規制当局が求めるため、他の業種よりも厳密に不正を計測する傾向があります。公表される数字はiGamingよりも信頼できます。3〜10%のレンジは正直な計測を反映しており、根底の損失は、防御の弱い事業者でも通常このレンジを大きく超えません。商品の上限、アカウントレベルの不正管理、信用調査機関の連携がアカウントあたりのエクスポージャーに上限をかけるからです。
AdTech:広告費の15〜30%
根底の市場が最大であるため、絶対額が最も大きい業種です。世界の広告不正損失は2025年に840億ドルと推定され、2026年には1,000億ドルを超えると予想されています。研究によって、広告費のうち不正で失われる割合は15%から30%までさまざまに見積もられています。
構造的要因:
- ボットトラフィックが入札前のシグナルでは正当なトラフィックに見える。Impervaが報告するインターネットトラフィックの49.6%が自動化されているという数字はベースラインです。広告で収益化された在庫に限れば、攻撃者が広告で収益化された宛先を特に標的にするため、その割合はしばしばより高くなります。
- バリューチェーンに複数の当事者がいることが説明責任のギャップを生む。広告主→アドエクスチェンジ→SSP→パブリッシャー→ユーザー。不正が起きると、各当事者は他を責める動機を持ちます。検知の責任が不明確です。
- 入札後の分析は支払い後に不正を捕らえる。支配的な検証モデル(MOAT、IAS、DV)は、インプレッションが配信されカウントされた後に分析します。不正が確認される頃には、予算はすでに費やされています。入札前の検知が過小投資の層です。
- ドメインなりすましがSSPの信頼を悪用する。SSP経由でプレミアムドメインの在庫を買うのは便利ですが、攻撃対象領域を生みます。なりすまし業者は在庫を偽り、SSPは検証が弱いことがあり、広告主は怪しい宛先のインプレッションにプレミアム価格を支払います。
不正カテゴリー:クリック不正(有料広告をクリックするボット)、インプレッション不正(偽の閲覧)、コンバージョン不正(アフィリエイトネットワークでの偽のコンバージョン)、ドメインなりすまし、広告スタッキング、ピクセルスタッフィング。それぞれ異なる検知アプローチを要します。
正直な評価:AdTechは、洗練された買い手と洗練されていない買い手のギャップが最も大きい業種です。専任のブランドセーフティチームを持つ大手広告主は不正の大半を捕らえます。代理店を通じて運用する中小の広告主は、しばしば広告費の25%以上を、それと気づかないまま失います。カテゴリー全体の平均が高いのは、部分的にはロングテールの防御が弱いためです。
Eコマース:収益の3〜8%
大規模マーケットプレイスから単一商品のShopifyストアまでにわたる、最も広い業種です。業界全体の不正損失は、カテゴリー横断で収益の3〜8%と推定され、サブセグメントによる分散が大きいものです。
構造的要因:
- プロモ予算が悪用を引き寄せる。ウェルカム割引、紹介クレジット、ロイヤルティプログラム、季節のプロモーションは、攻撃者が標的にする予算を生みます。プロモーション不正利用はiGamingのボーナス悪用と同じパターンをたどりますが、1件あたりの価値は低く、量は多くなります。
- 返品不正は業界構造的なもの。寛大な返品ポリシーは競争上の必須条件ですが、悪用可能でもあります。ワードローブ返品、空箱返品、フレンドリー不正のチャージバック。返品の5〜10%が不正と推定されます。
- カード非提示決済がカードテスティングを魅力的にする。攻撃者は盗まれたカード番号をEコマースの決済に対して大規模にテストし、より大きな購入に使う前に、どのカードがまだ使えるかを特定します。ほとんどのEコマースプラットフォームは、それと気づかないまま相当量のカードテスティングのトラフィックを受けています。
- 限定販売への在庫スナイプ攻撃。スニーカー、ゲーム機、限定NFT——在庫が希少で需要が高いところではどこでも、自動化された購入が並行する再販市場を生みます。
不正カテゴリー:プロモーション不正利用、返品不正、カード非提示決済不正、カードテスティング、保存済み決済手段のあるアカウントへのアカウント乗っ取り、在庫買い占めボット。構成は商品タイプによって劇的に異なります——高級ファッション小売業者の不正状況は、一般的なShopifyストアのそれとは異なって見えます。
正直な評価:ほとんどのEコマース事業者は、不正損失を他の損失カテゴリーときれいに分離していません。チャージバックは事業コストとして扱われます。返品不正は正当な返品と混ざります。プロモーション不正利用はマーケティングのパフォーマンス指標に隠れます。3〜8%のレンジは真剣な事業者が計測するものを反映しており、厳密さに欠ける事業者は、見えないより高い実損失を抱えることがしばしばです。
これらの業種に共通するもの
攻撃メカニズムは異なるものの、高不正の5業種は、なぜ標的になるのかを説明する4つの特性を共有しています。
共通要因1:高速度の資金移動。速い収益化(iGaming、暗号資産)、大きな1件あたりの価値(FinTech)、あるいは膨大な総計の価値(AdTech、Eコマース)のいずれかです。
共通要因2:脆弱性としての複数アカウント不正。5業種すべてが、1つの主体が複数アカウントを作成し、本来ユーザーごとに意図された価値を抽出する攻撃に脆弱です。ウェルカムボーナス、エアドロップ、無料トライアル、プロモコード、新しい与信枠。
共通要因3:現代の自動化に対する検知の難しさ。5業種のどれも、KYC単独やIPブロック単独では防御できません。すべてが、より単純な防御では見逃すパターンを捕らえるためにデバイスインテリジェンスを含む多層検知を要します。
共通要因4:計測への過小投資。これらの業種のいずれでも、典型的な事業者は実際の損失が正当化する以上に厳密さの低い計測をしています。ダッシュボード上の数字は通常、実際の数字の60〜70%です。隠れた損失は、経営陣にまったく可視化されないまま蓄積します。
5業種すべてに効くもの
5業種すべてにわたって有効な検知アーキテクチャは、防御される具体的な不正カテゴリーにかかわらず、共通の要素を共有します。
要素1:基盤としてのデバイスインテリジェンス。複数アカウント検知、ATO防御、Sybil耐性、クリック不正防止は、いずれも同じデバイスを複数のセッション、アカウント、アクションをまたいで識別する能力から恩恵を受けます。これは最も普遍的な構成要素です。
要素2:アカウント横断の紐付け。単一プラットフォーム内で、「異なる」アカウントが根底の特性を共有していることを特定するのは決定的に重要です。複数のプラットフォームにわたって(匿名化された顧客横断のシグナルを通じて)、同じアプローチが連携したキャンペーンを捕らえます。
要素3:リアルタイムの判定。不正が起きた後にそれを検知する防御は、返金請求や信用調査機関への報告には有用ですが、損失を防ぎません。重要な判断の瞬間(サインアップ、請求、ログイン、取引)でのリアルタイム検知こそが、実際に損失の数字を動かします。
要素4:多層アーキテクチャ。現代の攻撃者に対して単一のシグナルは持ちこたえません。ネットワークシグナル、デバイスシグナル、行動シグナル、整合性チェック、プラットフォーム横断のインテリジェンス——その組み合わせこそが機能します。
要素5:ポリモーフィックなクライアント側コード。攻撃者は静的な検知をリバースエンジニアリングし、回避策を出荷します。コードをローテーションすることで、それを効果的に行う時間を彼らから奪います。
次に何をすべきか
これら5業種のいずれかで事業を営んでいるなら、3つのアクションが即座に価値を生みます。
アクション1:正直に計測する。自分のカテゴリー特有のメカニズムにわたって、不正率をサンプル監査してください。結果はおそらくあなたを驚かせるでしょう。最初の正直な計測は、居心地の悪い会話を強いるため最も難しいものですが、他のすべての基礎です。
アクション2:最も効果の高い防御ポイントを特定する。iGaming:サインアップとボーナス請求。暗号資産:配布イベントの検証。FinTech:ログインと融資申込み。AdTech:入札前のインプレッション評価。Eコマース:決済と返品。
アクション3:そのポイントに多層検知を導入する。単層の防御は洗練された攻撃者に対して失敗します。持ちこたえるアーキテクチャは多層であり、層をまたぐ整合性チェック、ポリモーフィックなクライアントコード、顧客横断のシグナル共有を備えています。
正直な期待:導入は、多くのプラットフォームで最初の90日間に不正損失を50〜80%改善します。ベースラインの防御が優れた成熟したプラットフォームはより小さな改善を、成熟度の低いプラットフォームはより大きな改善を見ます。ROIの計算はあらゆる業種で成立します。検知インフラのコストは、そこそこの収益規模を超えるどのプラットフォームにとっても、不正損失に比べればごくわずかです。
Tracioの位置づけ
Tracioは、高不正の業種のために専用に作られたデバイスインテリジェンスです。そのアーキテクチャは、5業種すべてにわたって持ちこたえるシグナル——ネットワーク、デバイス、行動、整合性、顧客横断——を、iGaming、暗号資産、FinTech、AdTech、Eコマース向けの業種特化のルールテンプレートとともにカバーします。
導入は高速です。ページ上に1つのSDK、判断ポイントでのサーバーサイドの検証呼び出し。ポリモーフィックなJavaScript層は毎日ローテーションします。判定は50ミリ秒未満で返ります。
無料プランは月2,500件の検証をカバーします——トラフィックの一部で意味のあるパイロットを実行し、あなたの実際の不正率を示すデータを生むのに十分です。
あなたの不正率が実際にどう見えるか、ご覧になりたいですか。
無料トライアルを開始——2,500件の検証が無料、クレジットカード不要。デモを予約して、あなたの業種に特有の不正パターンを当社チームと一緒に確認してください。