セキュリティコードの役割・仕組みを徹底解説

 

セキュリティコードの役割とは？

クレジットカードを利用し、ECサイトなどで買い物をする際に、カード番号（Primary Account Number 以下PAN）、氏名、有効期限とともに「セキュリティコード」の入力を求められることがある。セキュリティコードとは、カードの裏面に印字されている3桁（American Expressのみ表面の4桁）の数字だ。ECサイトで買い物をするときに、手元に現物のカードを用意しておかないと、このセキュリティコードがわからず、購入処理の途中で慌ててカードを探し始める人も多いのではないだろうか。
 
では、このセキュリティコードは、クレジット取引セキュリティにおいて、どのような役割を果たしているのだろうか。

セキュリティコードは一言でいえば、準暗証番号のような存在だ。現在のクレジットカードの大半はICチップが搭載されているが、それでもまだ多くのカードが磁気ストライプを併用している。この磁気ストライプには、カード情報が記録されていて、市販の磁気リーダーで読み取ることができる。つまり磁気カードによる取引では、PAN、氏名、有効期限などのカード情報はスキミングという手法で盗み取られるリスクがつきまとう。

そしてスキミングで盗み出したカード情報を利用すれば、比較的簡単に磁気カードは偽造できる。これらは古くからあるカード犯罪の手法として知られており、2002年には国内でも偽造カードによる不正なカード取引の被害額は160億円を超えた。その後のICチップ付きカードの普及や不正検知システムの進化、偽造カードを防止する法律の施行により、対面での偽造カード使用被害は減少し、2016年には約30億円となった。偽造カードによる不正使用が減少する一方でインターネット加盟店における、なりすましによる不正使用は増加の一途をたどり、その被害額は2016年には約80億円となっている（被害額は日本クレジット協会公表の統計を参考）。

スキミングによって読み出されたカード情報が、ECなどインターネット加盟店でなりすましによって不正使用されないようにするために、セキュリティコードは有効である。なぜならセキュリティコードは、券面にしか印字されておらず、磁気ストライプにはその情報が入っていない。よってスキミングでその情報が盗まれたとしても、買い物の際にカード加盟店が、セキュリティコードによる認証を要求すれば不正に使用できない。

例えば磁気ストライプの情報からPANと有効期限を盗み出されて不正使用された場合、ECサイト側でカード決済の際にセキュリティコードの入力を追加で求めれば、正規の券面を持っている本人しか買い物が出来ないという仕組みである。

 

セキュリティコードの種類

カードの磁気ストライプに書き込まれている情報のことを、各カードブランドは、CVC、CVV、CAV、CSC と呼んでいます。

CVC（Card Validation Code）：MasterCard
CVV（Card Verification Value）：Visa
CAV（Card Authentication Value）：JCB
CSC（Card Security Code）：American Express
 
カードに印刷されたセキュリティコードのことを、各カードブランドは、CVC2、CVV2、CAV2、CID と呼んでいます。

 
CVC2（Card Validation Code 2）：MasterCard
CVV2（Card Verification Value 2）：Visa
CAV2（Card Authentication Value 2）：JCB
CID（ Card Identification Number）：American Express
 
磁気ストライプに書き込まれている暗号データとセキュリティコードの種類を、一覧にまとめました。

名称	内容
CVC・CVV CVA・CSC	・クレジットカードの磁気ストライプに書き込まれている情報 ・主に実店舗などの対面取引で利用される
CVC2・CVV2 CVA2・CID	・カードに印刷されたセキュリティコード ・ネットショッピングなどの決済で、クレジットカードの不正利用を防止する目的で利用される

 
セキュリティコードの記載場所は、以下となります。

 

• ・Mastercardのセキュリティコード

Mastercardのセキュリティコードの記載場所は、クレジットカードの裏面にある署名欄の右上です。
基本的には数字3桁のセキュリティコードが記載されていますが、7桁の数字が並んでいるケースもあります。
その場合は末尾の3桁がセキュリティコードです。

 

• ・Visaのセキュリティコード

Visaのセキュリティコードは、クレジットカードの裏面にある署名欄の右上に記載されています。
基本的には数字3桁の番号ですが、4桁以上の数字が記載されている場合もあります。
数字が4桁以上であっても、セキュリティコードとして機能するのは末尾の3桁です。

 

• ・JCBのセキュリティコード

JCBのセキュリティコードは、クレジットカードの裏面にある署名欄の右上、もしくは下部の「SECURITY CODE」のところにある数字3桁です。
カードの種類により記載場所が異なります。

 

• ・American Expressのセキュリティコード

American Expressのセキュリティコードの記載場所は、クレジットカード表面のカード番号の右上にある数字4桁です。
他のカードとセキュリティコードの桁数が異なります。注意してください。

 

セキュリティコードが犯罪被害を防げる仕組み

 
スキミングによって読み出されたカード情報が、ECなどインターネット加盟店でなりすましによって不正使用されないようにするために、セキュリティコードは有効です。なぜならセキュリティコードは、券面にしか印字されておらず、磁気ストライプにはその情報が入っていないからです。よってスキミングでその情報が盗まれたとしても、買い物の際にカード加盟店が、セキュリティコードによる認証を要求すれば不正に使用できません。

例えば磁気ストライプの情報からPANと有効期限を盗み出されて不正使用された場合、ECサイト側でカード決済の際にセキュリティコードの入力を追加で求めれば、正規の券面を持っている本人しか買い物が出来ないという仕組みとなっています。

 

セキュリティコード普及の背景

現在のクレジットカードの大半はICチップが搭載されていますが、それでもまだ多くのカードが磁気ストライプを併用しています。この磁気ストライプには、カード情報が記録されていて、市販の磁気リーダーで読み取ることが可能です。つまり磁気カードによる取引では、PAN、氏名、有効期限などのカード情報はスキミングという手法で盗み取られるリスクがつきまとうのです。

そしてスキミングで盗み出したカード情報を利用すれば、比較的簡単に磁気カードを偽造することができます。これらは古くからあるカード犯罪の手法として知られており、2002年には国内でも偽造カードによる不正なカード取引の被害額は160億円を超えました。その後のICチップ付きカードの普及や不正検知システムの進化、偽造カードを防止する法律の施行により、対面での偽造カード使用被害は減少し、2016年には約30億円となりました。偽造カードによる不正使用が減少する一方でインターネット加盟店における、なりすましによる不正使用は増加の一途をたどり、その被害額は2016年には約80億円となっています。

 

セキュリティコードによって防止できる犯罪被害

セキュリティコードによって防止できる犯罪被害には、下記の2つがあります。

• ・スキミング
• ・クレジットマスター

それぞれ解説していきます。

 

スキミング

スキミングとは、スキマーという装置を使ってクレジットカードの磁気ストライプに書き込まれた情報を不正に抜き取ります。抜き取った情報から、偽造カードを複製して不正利用する犯罪です。スキミングの手口の一つに、店舗のクレジットカード決済端末機に細工してカード情報を盗むなど、巧妙な手口が使われます。
自分のカードが盗まれたわけではないため、自分が被害にあったことに気づきにくいです。請求書の金額を確認した時、金額の多さに驚き被害にあったことが判明する場合がほとんどです。

 

クレジットマスター

クレジットマスターとは、クレジットカード番号の規則性を利用して他人のカード番号を不正に割り出してカード情報を取得する犯罪です。
主にアタック用プログラムを使用し、自動的に計算されて生成されたカード番号を利用して、実際のECサイトの決済ページを使ってクレジットカードの有効性を確認する手法です。
カード番号の規則性に関する情報は、ネット上に出回っているため、クレジットマスターの被害が拡大している要因となっています。
クレジットカードを使ったことがない人も、被害に合う可能性があります。
 

セキュリティコードなしで決済できるサイトもある理由

ECサイトを利用するときに、このセキュリティコードを要求しないカード加盟店もある。例えばAmazonでは「1クリック」購入ボタンを押せば、登録してあるカード情報だけで決済が完了し、セキュリティコードの入力の必要はない。また、楽天市場でも利用するカードを登録する際にセキュリティコードの入力は求められない。

セキュリティコードは、安全性を高める仕組みではあるが、ECサイトからすれば悩ましい存在だ。なぜなら決済時にセキュリティコードの入力を求められると、利用者は正規のカードを準備してコードを確認しなければならない。これが面倒で、購入をやめてしまう人が少なからずいる。ECサイトでは、このような「カゴ落ち」と呼ばれる購入者の離脱率にきわめて敏感で、セキュリティコードの入力をあえて省略しているところもある。

一方で、家電や国内航空券などの高額の商品や、商品の流通を伴わない商材（電子マネーのチャージやデジタルコンテンツなど）を販売するインターネット加盟店は、チャージバックという売上の返金リスクに晒されている。不正なカード情報がインターネット加盟店で使用された場合は、正規のカード会員の申告により払い戻しが発生するルールになっているため、売上金は加盟店から払い戻ししなければならない。この払い戻しは、商品やサービスが出荷または利用された後なので、その商品原価は加盟店側の被害となる。本人確認が十分でなかったインターネット加盟店側の責任という考え方に基づくものである。

中小零細のインターネット加盟店では、このチャージバックが多額になれば、経営を圧迫するため、カード決済の際の本人認証の確度を高める必要がある。そのため自社を不正使用の損害から守るため、セキュリティコードや3Dセキュアを導入することになる。

前述のAmazonや楽天は、その資本力により、独自の手法にて不正使用を防止しているため、「カゴ落ち」が懸念されるような現在の本人認証のシステムを導入していない。

 

カード情報不正入手の手段の変化

前述の通り、セキュリティコードは、カード情報の不正な入手の手段として、スキミングが全盛だった時代に効力を持っていた手法である。

しかし、不正な買い物を防止するため本人認証の強化にセキュリティコードを導入する加盟店が増加するにつれ、セキュリティコードが機能しなくなる状況が発生している。昨今では、不正なカード情報の入手は、大半がECサイトなどインターネット加盟店からの流出が原因となっている。機能不全は、この手口の変化が関係していると言う。

「問題は、不正アクセスによるカード情報流出事件が起きた際にセキュリティコードまで流出しているケースが多数あることです」と、ｆｊコンサルティング、瀬田陽介CEOは指摘する。セキュリティコードがPANや有効期限と一緒に加盟店のサイトから流出してしまえば、せっかく磁気ストライプにそのコードを含めないというセキュリティ措置も台無しになってしまう。

この問題に対応するため、カード情報保護のための国際的な基準であるPCI DSSでは、セキュリティコードに対しては、一定のセキュリティ要件を満たせば保存することが許可されているPANや有効期限とは異なる対応を求めている。セキュリティコードなどのセンシティブ認証データは、加盟店のみならず決済代行事業者も処理後に直ちに削除することが求められており、保存すること自体が禁止されている。また国際ブランドも、センシティブ認証データを保存している加盟店と契約しているカード会社（アクワイアラ）にペナルティを課すなど、厳しく対応している。

 

保存されないセキュリティコードが盗まれる理由

しかしながら、2016年に発生した加盟店からのカード情報流出事件の約3分の1でセキュリティコードが侵害されている事実がある。「この要因のひとつとして、「バックドア」を使った不正アクセスが増えてきていることが挙げられます。加盟店のWebサーバやアプリケーションサーバの脆弱性を突きマルウェア（バックドア）を仕掛け、正規の決済処理の通信を悪意のあるサイトに送信するという手法です。この場合は、加盟店側のサイトでセキュリティコードを保存していなかったとしても、決済処理の過程で外部に送信されるため、PANや有効期限と一緒に情報流出してしまいます」（瀬田氏）

しかし、数万件という大規模でセキュリティコードがPANや有効期限と合わせて流出しているケースでは、サイト内にセキュリティコードが保存されている、またはアプリケーションログなどに不作為に保存されている場合が多いと言う。

 

近年はセキュリティコードを狙ったフィッシング詐欺も

セキュリティコードを狙ったフィッシング詐欺が多発しています。
ECサイトもカードの不正利用を防ぐため、セキュリティコードの入力を必須にしていますが、インターネット上でセキュリティコードを狙うフィッシング詐欺も増えています。
セキュリティコードを狙うフィッシング詐欺とは、実在のサービス、銀行、クレジットカード会社などをかたり、信用できると思われる送信元を装った偽メールやSMSを不特定多数、または特定の標的に送り、そこに貼り付けたリンクをクリックさせて偽サイトへ誘導します。誘導先でクレジット番号やセキュリティコードの入力を促され、個人情報を盗み取られる手口です。
セキュリティコードの情報を盗まれてしまうと不正利用につながってしまうので、次のようなあやしいページではクレジットカード情報やセキュリティコードを入力しないようにしてください。

 
フィッシング詐欺の可能性があるページやリンクの一例。

 

• ・ECサイトの支払い画面・クレジットカード会社のマイページログイン画面以外のページ

ECサイトの支払い画面、クレジットカード会社のマイページログイン画面では、セキュリティコードの入力を求めますが、それ以外のサイトでセキュリティコードの入力を求めることはありません。

 

• ・URLのドメイン名が不自然なサイト

Amazon、銀行、証券会社などのサイトなのにURLを確認すると関連性がない文字のURLの場合、フィッシング詐欺の可能性があります。

 

• ・SLL認証されていないサイト（「https://」ではなく「http://」から始まるもの）

クレジットカードを扱うサイトでは、SLL認証されていないサイトはありません。
仮にあったとした場合、サイト側のセキュリティレベルが低いと想定されるため利用しないでください。

 

• ・誤った日本語の多い不自然なサイト

本文が不自然な日本語になっていたり、文法に違和感を感じた場合、外国人によるフィッシングサイトの可能性が高いです。

 

• ・あやしいページの支払い画面

利用者があやしいと感じたページの支払いは、安全のため入力しないでください。

 

• ・身に覚えのないサイトからの二段階認証メールに貼られているリンク

本人確認を強固にするため、会員登録時に入力したメールアドレスに二段階認証メールが送られてくることがあります。これに偽装したフィッシング詐欺サイトへのリンクが張られています。リンクをクリックしないでください。

最近はフィッシング詐欺が巧妙化して、本物のサイトと区別がつきづらいケースも増えています。個人情報を入力する前に、ドメインやURLなどを見てあやしいサイトでないか必ず確認するようにしてください。

 

時代にあった認証方式を

前述のAmazonや楽天のようにセキュリティコード以外の手段で不正対策を講じられればよいが、中小規模のECサイトでは、独自の安全対策に限界がある。また携帯電話やケーブルテレビなど継続課金では、国際ブランドやPCI DSSの要求通りにセキュリティコードを保存をしないようにすると、利用者は毎回セキュリティコードを入力しなければならない。そのため加盟店側には、毎月の継続決済の処理が滞ったり、場合によっては契約の更新率が低下してしまう懸念もある。アクワイアラがチャージバックを抑制するためにセキュリティコードの入力を必須化すればするほど、継続決済のために、ますます加盟店や決済代行事業者側でセキュリティコードが保存されるケースが増えていきかねないのだ。

「インターネットの取引が増加する中で、セキュリティコード以外の本人認証手段として開発されたのが3Dセキュアです」（瀬田氏）。しかしそのユーザビリティの悪さから、現行バージョンはほとんど普及していないと言う。（「3Dセキュア2.0」でカード不正使用を駆逐できるか）

現在、次期バージョンである3Dセキュア2.0が導入段階に入っている。新バージョンは、携帯電話のSMSなどよるワンタイムパスワードを使用し、また3Dセキュア認証サーバ自体にリスクベースで認証の要否を判定する機能を持つ。ワンタイムパスワードによりユーザビリティも向上する。加盟店側も本人認証が強化され、優良な顧客には毎回そのワンタイムパスワードの要求すらいらなくなると期待している。なりすましによる不正な買い物を防ぐためには、既に時代遅れになった認証手段に頼らず、時代に合った方式にいち早く移行していくことが求められる。

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス