🌙

BIN × IPアドレス × 時間帯で不正を検知する実務テクニック

に公開
FinTech
idea

BIN × IPアドレス × 時間帯で不正を検知する実務テクニック

決済不正は
「BIN」「IPアドレス」「時間帯」 の3つを組み合わせるだけで
驚くほど高精度に“予兆”を検知できます。

本記事では、
一般公開されている情報だけを使って、
実務でよく使われる 不正検知フレームワーク を紹介します。

※ 特定企業のデータや非公開のルールは一切含みません。

🎯 不正検知の基本式

不正検知は 単一の指標 では難しいですが、

BIN × IP × 時間帯

の3要素を掛け合わせると、
一気に “怪しい行動” が浮かび上がります。

リスクスコア = BINリスク × IPリスク × 時間帯リスク

実務では、このスコアを

  • アカウント作成
  • 購入処理
  • MVNO申込
  • サブスク登録
    などに使います。

1. BIN リスクの見方(ブランド性質+発行国)

BIN からわかるのは、

  • ブランド(VISA / Mastercard / JCB)
  • クレカ / デビット / プリペイド
  • 発行国(国内 / 海外)

実務では特に 海外プリペイド が高リスクです。

BIN の一般的なリスク例(概念)

BINタイプ リスク
国内クレジット
国内デビット 中〜低
国内プリペイド
海外クレジット 中〜高
海外プリペイド

※ あくまで一般論

BINでよくある“不正の前兆”

✔ 国内サービスなのに海外BINだけが連投
✔ プリペイドBINだけが短時間に大量試行
✔ 深夜に Master 系 BIN が集中
✔ VISA の海外BINからの不自然な試行が増える

BIN だけでも「怪しい空気」が出ます。

2. IPアドレスの見方(国・ASN・プロキシ判定)

IP からわかるのは:

  • 国(GeoIP)
  • ネットワークタイプ(モバイル回線 / 固定回線)
  • ASN(通信会社)
  • データセンターIPかどうか
  • プロキシ・VPN・Tor の使用有無

一般に…

IPタイプ リスク
国内モバイル回線(docomo / au / SoftBank)
国内固定回線 低〜中
海外IP
データセンターIP(AWS / GCP / Linode etc)
VPN・プロキシ
Tor 最高リスク

IP でよく出る不正の兆候

  • 深夜〜早朝に「同一IPでBINを複数試行」
  • モバイルIP → 決済OK
    データセンターIP → 決済NG
    など明確な差が出る
  • 国切り替え型VPNを使い、数秒ごとに国が変わる
  • 商用VPN経由の不正テスターが大量試行

IP の “挙動の荒さ” は明確に不正の兆候になります。

3. 時間帯の見方(不正の“行動パターン”)

時間帯には明確な傾向があります。

不正が最も動く時間帯(一般論)

  • 深夜1:00〜5:00
  • 土日の未明
  • 日本時間の朝方(海外の夜)

理由:

  • BOT・スクリプト試行が多い
  • 海外不正者の時間帯
  • CSも業務時間外で“逃げ切りやすい”

時間帯での異常パターン例

  • 国内向けサービスなのに深夜帯に BIN 試行急増
  • 特定ブランド(Master プリカ)が深夜に不自然な増加
  • 同一IPで 1〜3分ごとに BIN を変えて試行

時間帯は “背景行動の説明力” が高い指標です。

4. BIN × IP × 時間帯 を掛け合わせるとどうなる?

ここが本題。

この3つは、単体でも強いですが、
掛け合わせると一気に “不正の形” が浮かび上がります。

例1:

深夜 × 海外IP × 海外プリペイドBIN

→ 言うまでもなく、ほぼ不正。
→ 申込・購入前に自動ブロック推奨。

例2:

深夜 × データセンターIP × MastercardプリペイドBIN

→ BOTの決済テストの可能性が高い
→ レート制限 or CAPTCHA が有効

例3:

平日昼 × 国内固定IP × 国内デビット

→ ほぼ正常
→ 通過率を上げたい(UX向上)

例4:

正常だった国のIP → いきなりEU圏 → 直後にBIN試行

→ VPNスイッチングの疑い
→ アカウント凍結候補

例5:

数分おきにBINを変えて試行  
+ 深夜帯  
+ すべて同じIP

→ BINテスト攻撃
→ APIレート制限やIPブロックが有効

5. 実務での対策フロー(安全な範囲で)

不正が疑われるパターンは
概念としてこのあたりの対応が一般的です:

  • IPごとのリクエスト制限(Rate Limit)
  • 海外IP → 追加認証
  • プリペイドBIN → 上限金額の調整
  • 深夜帯の大量試行 → 自動ブロック
  • データセンターIP → CAPTCHA

※ これは一般論であり、
事業特性に合わせて調整が必要です。

6. スコアリングモデル(シンプル版)

最低限の実務モデルとしては、
以下のような “足し算型” が有効です。

score = 0

if BIN_risk == "high": score += 30
if IP_risk == "high": score += 40
if time_risk == "high": score += 20
if same_ip_many_trials: score += 50
if vpn_or_proxy: score += 60

if score >= 80:
    block()
elif score >= 50:
    require_verification()
else:
    allow()

これだけで
「怪しい行動は止める、正常ユーザーは通す」
がかなり実現できます。

まとめ

BIN × IP × 時間帯 の3軸は

  • 不正対策
  • MVNOの申し込み審査
  • ECのチャージバック防止
  • サブスクの課金成功率向上

など、実務に非常に効果があります。

特に、

  • 海外プリカの連投
  • 深夜帯のBINテスト
  • VPN / プロキシの切り替え
  • データセンターIPからの大量試行

などは明確な前兆として現れるため、
早期のブロックが有効です。

3つの指標は単体でも強力ですが、
掛け合わせると “不正の姿がそのまま見える” レベルに化けます。

次回予告

次の記事では、

「BIN判定をシステムに組み込むときの実装パターン(Cloudflare Workers / Lambda / Edge)」

を紹介します。

https://jpbinlookup.com/

Discussion