取引詐欺の検知に使うSQLパターン

• 詐欺検知は機械学習よりも先に、テーブルと結合を正しく押さえ、速度・位置・金額・加盟店・時間帯の異常パターンをSQLで見つけることから始まる場合が多い
• Velocity は短時間に同じカード保有者の取引が集中する区間を見つけるもので、時間ウィンドウ・しきい値の調整と誤検知ホワイトリストが必要
• Impossible travel は LAG() と距離計算により、Chicagoでの決済の7分後にLos Angelesで決済されるような物理的に不可能な移動を、強いクローンカードのシグナルとして捉える
• 金額異常 は $1.00、$99.99、$499.99 のようにカードテストやルール回避を示唆する価格帯を探すが、給付取引にはあまり当てはまらない
• 加盟店の急増、通常時間帯外の取引、ウィンドウ関数の派生カラムを組み合わせると、取引を複数シグナルでスコア化でき、反復サイクルを数週間から数時間へ短縮できる

取引データから不正の兆候を見つけるSQLパターン

• 詐欺検知は機械学習やグラフデータベースよりも先に、正しいテーブルと結合、そして異常な取引パターンを見つけるSQLから始まることが多い
• クレジットカード、医療請求、EC、POS、政府支援の給付プログラムのように、お金が動きログが残るデータに適用できる
• 新しいデータセットでは通常、速度、物理的に不可能な移動、金額異常、加盟店集中、異常時間帯、ウィンドウ関数ベースのシグナルの順でパターンを積み上げていく

1. Velocity: 短時間で過剰な取引

• 盗まれたカードやアカウントを素早く使い切ろうとする場合、同じカード保有者に短時間で取引が集中するパターンが現れる
• 基本クエリでは直近30日間の取引を時間単位でまとめ、cardholder_id ごとの取引数が基準を超える区間を探す
• 重要な調整値は 時間ウィンドウの大きさ と 取引数のしきい値
  • 1分、5分、1時間版を並行して回して比較できる
  • カードテスト組織は数秒で取引を集中させ、給付不正の組織は半日かけて動くこともあるため、スケールが異なる
• 正常ユーザーでも基準を超えることがある
  • 自動販売機を管理する運営者
  • プリペイドカードを大量チャージする人
  • 最初の探索後には、このような誤検知対象のホワイトリストが必要になる
• スライディングウィンドウ方式では COUNT(*) OVER (...) RANGE BETWEEN INTERVAL '5 minutes' PRECEDING AND CURRENT ROW で直近5分以内の取引数を計算する
• QUALIFY は Snowflake, BigQuery, Databricks, Teradata で動作する
  • Postgresではクエリ全体をCTEで包み、外側でフィルタリングする必要がある

2. Impossible travel: 物理的に不可能な移動

• 1枚のカードがChicagoで決済された7分後にLos Angelesで決済されていたら、そのどちらかは偽物である可能性が高い
• このパターンは クローンカード を見つける強いシグナルで、1枚のカードが数分で遠く離れた2地点に存在する正当な理由はほとんどない
• クエリでは LAG() で直前取引の時刻と位置を取得し、現在位置と直前位置の間の距離と時間を計算する
• haversine は 大圏距離 (great-circle distance) を計算する関数
  • ほとんどのデータウェアハウスで提供されている
  • なければ自分で書ける程度の関数でもある
• 例のしきい値は 600mph
  • 商用ジェット機の巡航速度が約575mphなので、飛行機でも不可能な速度という意味になる
  • 100mphに下げると高速な地上移動も拾えるが、実際の航空旅行者や親が子どもを車で送迎する正常取引まで引っかかり始める
• 同系統で追加で見られるシグナルもある
  • 5分以内に同じ州の離れた2都市で取引があれば、地域クローン組織を示唆する可能性がある
  • 1時間以内に複数のZIPコードで取引があれば、1地域で動くスキマー組織を示唆する可能性がある
  • 10分以内に国境を越える取引は、国際組織のシグナルになりうる

3. Amount anomalies: 特定金額帯の異常取引

• 不正ではよく見られるが、通常利用ではまれな 金額パターン がある
• 例の条件では次の金額帯を探す
  • $1.00, $5.00, $10.00
  • $99.50 以上 $100.00 未満
  • $499.50 以上 $500.00 未満
• 小さな整数ドル金額は、たいてい カードテスト のシグナル
  • カード番号ダンプで得た番号が実際に使えるか確認した後、再販売しようとする流れである
  • 実際のカード保有者がちょうど $1.00 の商品を買うケースはまれ
  • コーヒーは $4.73、給油は $52.81 のように、ぴったり丸い金額ではない可能性が高い
• しきい値直下の金額には別の意味がある
  • $99.99 は、多くの場所で $100 から本人確認が必要になるラインを避けようとする形かもしれない
  • $499.99 は、$500 のATM日次上限を避けようとする形かもしれない
  • 取引者がルールを知っていて、その下にとどまっているシグナルになる
• 給付取引では 丸い金額パターン はあまり役に立たない
  • 給付は同じ形でカードテストされない
  • 通常は重複受給者のほうが重要なシグナルになる

4. Suspicious merchants: 加盟店単位の異常集中

• 給油機のカードリーダーのように、特定リーダーがスキマーに感染すると、1件ではなく数十件の不正につながることがある
• そのリーダーを数週間使ったすべてのカードが、誰かのデータベースに入ってしまう可能性がある
• 加盟店の観点では、短期間に互いに無関係なカードの数が通常より大きく増え、取引金額も大きくなる形で現れる
• 単純なしきい値の例では、直近7日間について加盟店ごと・時間単位でまとめ、次を計算する
  • ユニークカード数
  • 全取引数
  • 総取引金額
  • ユニークカード数が20を超え、総額が $5000 を超える時間帯を探す
• 固定しきい値には規模補正の問題がある
  • Costcoなら90秒でこの基準を超えられる
  • 古書店ならほとんど超えない
• より良い方法は、各加盟店をその加盟店自身の過去ベースラインと比較すること
  • 直近60日間の取引を時間単位でまとめる
  • 各加盟店の過去168時間バケットを基準に平均ユニークカード数を計算する
  • 現在のユニークカード数が過去平均の3倍を超える区間を探す
• 168時間バケットとは 過去7日間の時間単位区間
  • 日次・週次の季節性が重要だから
  • 同じコーヒーショップでも火曜14時と土曜9時ではベースラインが異なる
• 出発点としては 通常の3倍 を使える
  • アラートが過剰にあふれない程度には緩い
  • 実際に異常な時間帯を捉えるには十分厳しい

5. Off-hours: 個人の通常利用時間外の取引

• ほとんどの人には支出習慣がある
• 9時から5時まで働く人が突然午前3時に給油し始めたら、カードが他人に使われているか、旅行中である可能性がある
• 旅行中かどうかは、ほかのシグナルで追加確認できる
• クエリでは直近90日間についてカード保有者ごと・時間帯ごとの取引数を求め、取引が2回以上あった時間帯だけを通常時間帯として認める
• その後、新規取引の時刻がそのカード保有者の earliest_hour と latest_hour の範囲外であれば検知する
• 内部クエリの「その時間帯に2件以上」という条件が重要
  • 3か月前にたまたまあった深夜の給油1件が通常時間帯に含まれるのを防ぐ
  • 基準を「一度あったこと」ではなく 実際の習慣 に合わせる
• 欠点は 履歴データが必要 な点
  • 新規アカウントにはベースラインがない
  • 新規アカウントには全ユーザーの時間帯パターンを使うか、数か月分たまるまでこのパターンをスキップできる

6. ウィンドウ関数でシグナルを組み合わせる

• ウィンドウ関数パターンは独立した不正タイプというより、前の5つのパターンを組み合わせ可能なシグナルにするための準備作業
• 取引ごとに次の派生カラムを作っておける
  • 直前取引からの経過時間: timestamp - LAG(timestamp)
  • 加盟店が変わったか: 直前の merchant_id と現在の merchant_id を比較
  • 直近24時間の累計金額: SUM(amount) OVER (...)
  • その日の何件目の取引か: ROW_NUMBER()
• こうしたカラムをマテリアライズしておくと、不正ルールは単純な フィルタ式 にまで縮まる
• カードテスト組織は次の条件で見つけられる
  • その日の5件目以降の取引
  • 直前取引から60秒未満
  • 加盟店が直前取引と異なる
• 新しい不正仮説をエンジニアリングチケットではなくSQLフィルタで表現できれば、反復サイクルは 数週間から数時間 に縮まる
• 結果として、より多くの不正をより速く検知できる

パターンを組み合わせて使う方法

• どれか1つのパターンだけでは十分ではない
• 各パターンには明確な限界がある
  • Velocityには、自動販売機運営者のような誤検知がある
  • 地理的に不可能な移動は、1つの大都市圏内で起きる不正を見逃す
  • 金額異常はカードテストの文脈以外ではあまり当てはまらない
  • 異常時間帯ルールには履歴が必要
• 実務では全パターンを回し、各取引を複数シグナルにまたがってスコア化する方法が機能する
• 3つか4つのシグナルに引っかかる取引は、ほぼ常に不正
• 1つのシグナルだけに引っかかる取引は、旅行中の正常なカード保有者によるイレギュラーな利用かもしれない
• 不正検知を初めて始めるなら Velocityから 始めるのがよい
  • 有用な量の不正をあぶり出せる
  • 正常な活動は比較的あまり拾わない
  • 実行コストも低い
• すでに1から5までそろっているなら、次の投資先は ウィンドウ関数ベースの生カラム
  • 一度作っておけばチームのすべてのアナリストが使える
  • 次の不正パターン追加が別プロジェクトではなくなる

注意点

• NULL処理

  • 実際の取引テーブルはSQL入門書のように NULL を使わないことが多い
  • 多くのレガシーシステムでは、「終了日なし」に 9999-12-31、「開始日なし」に 0001-01-01 のような センチネル値 を使う
  • IS NULL でフィルタすると、このような行を静かに見落とすことがある
  • 特定テーブルの慣習を確認してから WHERE 句を書く必要がある

• 誤検知

  • どのルールでも、異常だが合法である行動をする実際のカード保有者を捕まえる可能性がある
  • フラグが付いた案件には 人によるレビュー が必要
  • 実際に不正だったものとそうでないものを基準にしきい値を調整するフィードバックループが必要
  • 単一ルールで自動ブロックすると顧客を失う可能性がある

• 個人情報

  • データにPIIが含まれるなら、適用される データ利用ポリシー を守らなければならない
  • まず匿名化またはサンプルデータで作業し、本番データは承認後に使うべき

• コスト

  • 大きなパーティションに対するウィンドウ関数は安価ではない
  • 先に日付範囲をフィルタしてからウィンドウ関数を適用する必要がある
  • データセット全体の2年分の取引に対して先に LAG() を実行し、その後で WHERE を付けると、ウェアハウスクレジットの予算を大きく消費しかねない