「3Dセキュア2.0」でカード不正使用を駆逐できるか | PCI DSS Ready Cloud

2017.03.03

「3Dセキュア2.0」でカード不正使用を駆逐できるか

  • このエントリーをはてなブックマークに追加

カード偽造に代わって急増するオンライン不正被害

クレジットカードの不正使用を防止するには、発行カード及び加盟店の決済端末のEMV(IC)化を進めていくことに疑いはない。しかしIC化によって防げるのは対面取引だけだ。「カード犯罪において偽造カードは、もはや古典的な手口になっています」とfjコンサルティングの瀬田陽介氏は言う。「欧州を始め、最近では米国でもEMV(ICカード)の普及率が上がってきたことにより、カード偽造による不正使用は減少傾向にあります」。

ところが、別の手口が急速に増えている。「流失したカード番号を手に入れて、CNP(Card-Not-Present)と言われる券面を提示しないオンラインでの不正使用が世界的に急増しています」(瀬田氏 以下同じ)。インターネットやPOS加盟店のサーバーで処理や保存されているカード情報を抜き取り、それらのカード番号と有効期限を使って、ECサイトで買い物をする。物品は、空き家など足がつきにくい住所に配送させ詐欺を行う。あるいは、オンラインで電子マネーやプリペイドカードにチャージを行い、その電子マネーカードで対面で買い物をしたり、購入した商品を現金化したりするという手口だ。

被害を受けているECサイトは、カード番号と有効期限の情報だけで買い物ができるサイトが多く、本人確認が甘い。また常にカメラで監視されている店頭と比較し、身元が割れにくいなども犯罪者にとっては利点だろう。オンラインゲームやコンテンツ販売、高額のチケットや家電など不正の被害額が多い業種では特に注意が必要だ。

ユーザービリティの悪い現行の3Dセキュアと独自対策をするECサイト

オンライン取引の不正使用防止に最も効果的な手法が3Dセキュアといわれている。VISA/MasterCard/JCBが提供しているオンライン取引における本人確認の仕組みだ。

ユーザーがECサイトでカード決済を行おうとすると、一時的にECサイトを離れて、3Dセキュアの認証画面に飛ぶ。ここで、ユーザーがあらかじめカードの発行を受けたカード会社(イシュア)に登録しておいたパスワードを入力することで、本人確認をし、再びECサイトに戻る。これらのステップで決済が完了する。

理屈としては、券面の裏に印刷されているセキュリティコードを使用するよりも、本人しか知らないパスワード情報を利用するため確実に本人確認ができる。たとえ加盟店から流出したカード番号、有効期限、セキュリティコードの情報を入手しても3Dセキュアのパスワードを知らなければ不正に買い物はできない。

しかし消費者やECサイトからの評判は芳しくないようだ。決済途中に3Dセキュア画面に飛ぶと、エラーが起きたのではないか、フィッシングサイトではないかと不安を感じて買い物を止める人もいるという。また事前に登録するパスワードを使い回したものに設定するケースもあり、ログインパスワードが加盟店サイトからカード情報と同時に流出していた場合は、3Dセキュアも突破されてしまう。現状の評価では、現行の3Dセキュアのユーザービリティは決して良いとはいえない。

当然、ECサイトなどカード加盟店は消費者が歓迎しないものは導入しない。「あるECサイトの関係者が、3Dセキュアを導入すると売上が15%も落ちるというデータを示してくれました。業種などによって異なるので、数字はあくまでも目安にすぎませんが、本人確認ステップを増やすことで、購入をあきらめてしまう「離脱率」が高まるのは否めない事実です」。

かと言って、ECサイトが不正使用に対してなにも手を打っていないわけではない。3Dセキュアと比較し、消費者の認知率も高く事前登録の不要なセキュリティコードの普及は進んでいる。また送付先が私書箱や過去に不正があった住所の場合は、警告が発せられるようにして、メールや電話などで更に確認をとるなど、独自の不正防止策をとっているところもある。送付先住所がたびたび変わる、決済操作に頻繁に失敗している、メール、電話が通じないなどの不審なアカウントについては、凍結、削除するなどして不正防止を行っているという。「しかし、完全に不正使用を排除することはできません。本人確認を強化して売上が大きく落ちるよりは、多少の不正を容認しても売上を維持した方がいいと考えているECサイトもあります。これは社会全体のモラルや犯罪集団の収益源という観点では危険な考え方です」。

ユーザービリティ改善の鍵となるワンタイムパスワード

これではオンラインのカード取引の不正使用は減らない。そこで、3Dセキュアの次期バージョン「3Dセキュア2.0」がリリース段階に入っている。大きな変更点は3つだ。

1.新バージョンの3Dセキュアの仕様策定をICカードのEMV規格の発行機関であるEMVCoが行う。仕様の統一化により加盟店の導入ハードルが下がるはずだ。

2.モバイルアプリケーションに対応する。従来はWebとフィーチャーフォンのブラウザのみの対応だったので、スマートフォンアプリケーションからの決済には対応していなかった。

3.ワンタイムパスワード方式を導入する。現行バージョンでも既にワンタイムパスワードに対応しているイシュアもいるが、それが標準仕様になる。

「特に重要なのは、ワンタイムパスワードです」。ワンタイムパスワードは決済のつど発行される、いわば使い捨てのパスワードだ。例えばスマートフォンアプリケーション内で決済を行うと、カード情報の入力後に、3Dセキュア画面が表示され、同時にショートメッセージや電子メールでワンタイムパスワードが送付されてくる。ワンタイムパスワードであれば、暗記する必要やパスワードの使い回しもない。またアプリの設計によってはユーザビリティも工夫できる。消費者は、メッセージとして送られてきた数桁の数字をアプリ内の入力画面にコピー&ペーストするだけでいい。

三井住友VISAカードの「ワンタイムパスワードサービス」の案内ページ

瀬田氏は、3Dセキュア2.0ではもう1点普及の鍵になる仕様を説明した。「加盟店は3Dセキュアを導入しても、買物客全員に3Dセキュア認証をしてもらう必要はありません。取引のリスクによって、3Dセキュア認証をさせたり、させなかったり判定する機能を持っています」。購入時に余計な操作ステップを入れて、カゴ落ちされることを心配するECサイトにしてみれば、リスクの低い優良顧客には今まで通り、リスクの高いと判定した顧客には3Dセキュア認証をすることができる。売上を落とさずにカード不正使用率を抑えられそうだ。

「3Dセキュア2.0は2016年秋に仕様がリリースされましたが、具体的なイシュアへの実装はこれからになります。加盟店サイドにおいても楽天やAmazonなどの大手ECサイトが新バージョンを歓迎して導入してくれれば、その他ECサイトにも普及していくことになるでしょう」。経済産業省の組織するクレジット取引セキュリティ対策協議会は、対面取引においてはICの導入率100%を目標としているが、ECサイトなど非対面取引でも2018年3月までに本人確認の強化をする実行計画を公表している。

その中でも、3Dセキュア、セキュリティコード、配送先情報の活用など複数の手法を組み合わせることを推奨している。日本が世界の中で安心してカードの取引ができる国になれるかどうか。3Dセキュア2.0への期待は大きい。(牧野 武文氏:2016/12/13)

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
PCI DSS Ready Cloud マネージドモデルはこちら
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
PCI DSS Ready Cloud AWSモデルはこちら
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
PCI DSS準拠支援コンサルティングはこちら
 
【関連記事】
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
【動画付き】PCI DSS バージョン4.0の特徴や変更点を解説

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加