Caribou Coffee が reCAPTCHA Enterprise を活用して安全でスムーズなデジタル エクスペリエンスを創造した方法
Google Cloud Japan Team
※この投稿は米国時間 2021 年 8 月 31 日に、Google Cloud blog に投稿されたものの抄訳です。
多くの企業と同様に、Caribou Coffee もデジタル世界の流れに遅れを取らないよう常に進化と革新を続けています。昨年、お客様とのエクスペリエンスの多くがオンラインに移行しました。しかし仮想インタラクションが増加するのに比例して、試行される攻撃も増加しました。Caribou Coffee はお客様のエクスペリエンスを中断させることなく保護する必要がありました。本日は、Caribou Coffee が最も重要なウェブページの保護に reCAPTCHA Enterprise を選んだ理由をご紹介します。
最初に reCAPTCHA Enterprise を使用したのはお問い合わせページの保護でした。ここでお客様からの質問やフィードバックを受け付けています。次にお客様のロイヤルティ ページにも適用しました。このページで、常連のお客様は誕生日のドリンク サービスなどの特典を受け取ることができます。この 2 つのページに reCAPTCHA Enterprise を追加したのは、アカウントの乗っ取りの標的となっていたためです。この攻撃では、悪意のある攻撃者が、アカウントに侵入できるようになるまで盗んだ認証情報を繰り返し利用します。
ユーザーはパスワードの扱いに苦慮して、複数のサイトで同じパスワードを使用したり、単純なパスワードを設定したりするのが一般的ですが、これらのウェブページが、アカウントを乗っ取られやすい脆弱なページになってしまうのを防ぎたいと考えました。reCAPTCHA Enterprise を選んだ理由は、適応型リスク分析エンジンが Caribou Coffee がエンドユーザーのために構築したエクスペリエンスを邪魔することなく不正行為を検出する点に好感を持ったからです。また、reCAPTCHA Enterprise と合わせて、お客様がサインオンに成功するたびにログイン確認メールを送信しています。この 2 つを組み合わせることで、このページを標的としたアカウント乗っ取り件数は 0 件になりました。
この成果を得て、reCAPTCHA Enterprise で保護されるウェブページの数を増やしました。次に保護すべきなのはギフトカード引換のウェブページでした。このページはカーディングの脅威から保護しなければなりませんでした。この攻撃では、悪意のある人がクレジットカード番号を盗み、有効になっていることを確認したうえで盗んだ番号でプリペイド ギフトカードを購入します。
Caribou Coffee のギフトカードの裏面には、カード番号と PIN 番号が記載されています。ギフトカードの引換、現金のチャージ、残額の確認には、お客様がギフトカード番号と PIN 番号を入力する必要があります。
一部の古いバージョンのギフトカードには PIN 番号が記載されていないものもあります。そのため、お客様には選択肢がほとんどなく、不便を強いてしまっている状況でした。面倒でも実店舗に出向くか、カスタマー サービス チームに連絡するかの二択しかありませんでした。どちらもお客様の貴重な時間を奪ってしまう方法でしたが、それを解決してくれたのが reCAPTCHA Enterprise です。
reCAPTCHA Enterprise をギフトカード引換のウェブページにインストールした後、MFA(多要素認証)も追加しました。ギフトカード番号および PIN 番号が意図的あるいは意図せず繰り返し入力された場合は、エンドユーザーにメールが送信され本人確認が行われます。
メールに加え、reCAPTCHA Enterprise のリスクスコアを元に設定したしきい値も利用しています。0~1 の範囲のこれらのスコアでは、正当なお客様がウェブサイトを使用しているという確信の持てるスコアに合わせてウェブページを微調整できました。もしお客様の操作が当社のしきい値より低いスコアの場合、ウェブページの先へ進むことは許可されません。
Caribou Coffee にとって、ブランドのイメージは非常に重要です。したがって、MFA とメール送信だけではなくお客様に届くメールの見栄えをコントロールできることも評価のポイントでした。Caribou Coffee は、自社のロゴと “CariBLUE” のカラーパターンでメールをカスタマイズしました。さらに、Google が当社のメール設定をすべて尊重しつつ Google サーバーからお客様へメールを送信してくれたことも評価しています。
reCAPTCHA Enterprise による多要素認証と組み込まれたリスクスコアの統合は、セキュリティ チームの抱える問題を減らし、カスタマー サービス チームとの関係を改善しました。また、ギフトカードの残高照会の失敗件数はほぼ 0 件となりました。発生件数の低さは、正当なお客様による照会であることを意味しています。なぜなら、不正なスクリプトや悪意のある人物によるヒットであれば膨大な件数になるはずだからです。ウェブページにアクセスしているお客様が正当であれば、攻撃の調査や対応ではなく、先を見越した予防的な活動にセキュリティ チームの時間を充てることができます。
さらに、カスタマー サービス チームには、reCAPTCHA Enterprise によりカーディングが検出および阻止されて、有効なギフトカードの使用が許可され、築き上げたお客様のエクスペリエンスが損なわれないという点が喜ばれました。また、ギフトカード引換ページでもカスタマー サービス チームの時間の節約にもつながりました。
ウェブサイトで 1 日に 50 件のカード照会があり、お客様担当者が 1 件の電話に 8 分かかるとすると、ひと月に 1,200 分になります。これを 1 年に換算すると 5 週間分の時間削減となり、この分を他のカスタマー サービスに当てることができます。たとえば、お客様担当者がギフトカード関連の問題でお客様のサポートに時間をとられなくなり、電話の保留時間が減ります。それから、コーヒー会社の一員として私自身気に入っているのは、カスタマー サービス チームがお客様からのコーヒーに関する質問やフィードバックを中心に電話対応できている点です。
reCAPTCHA Enterprise のリスクスコアを使用して、ギフトカード引換ページのアクションを解釈するだけでなく、理由コードも活用しています。理由コードはすべてバックエンドでログに記録され、セキュリティ チームのみがギフトカードの検索や残額の移行など、ウェブサイト上での特定の操作に対して具体的な理由コードが表示される原因を確認できます。お客様には一般的な Caribou Coffee のエラー メッセージが表示されます。
リスクスコアと同様に、理由コードもお客様のウェブページ使用可否を判断するのに役立ちます。ギフトカードの検索、ログイン、パスワードの再設定、残額の移行などの操作によって、予期しない使用パターンやトラフィック量過剰といった特定の理由コードが発行された場合、そのユーザーがウェブページで操作を続行することを禁じます。
reCAPTCHA Enterprise を使用するにあたり、ドキュメントとドキュメント内のサンプルを活用することで簡単にスタートできました。ダッシュボード上で評価を作成し、その調査結果を解釈するのにも労力はかかりませんでした。また、すべてのトークンを取得するノード パッケージに対応する必要がないことも素晴らしいポイントです。
reCAPTCHA Enterprise を使用し始めてから、当社ウェブページを攻撃する最も一般的な方法のオンライン詐欺は劇的に減少し、カスタマー サービス チームや他の部門は優先度の高い業務に時間を割けるようになりました。reCAPTCHA Enterprise を使用することで、理由コードやリスクスコアを用いて理解しやすく有用なフィードバックを得ることができます。このコードやスコアは、インシデントが発生してから対応するのではなく、未然に防ぐための予防的なウェブページへの関与をサポートします。結論として、reCAPTCHA Enterprise を使用することで、Caribou Coffee は最も大切にしている原点に立ち返ることができました。その原点とは、"GOOD" の連鎖反応を引き起こし、日々の喜びとなるエクスペリエンスを創造することです。
-Caribou Coffee、デジタル エクスペリエンス部門シニア ディレクター Eric Caron