2018.07.19
改正割賦販売法でカード決済はこう変わる クレジットカードの不正使用を防止するには?
- BLOGトップ
- 改正割賦販売法でカード決済はこう変わる クレジットカードの不正使用を防止するには?
日本クレジット協会が実施している調査「クレジットカード不正使用被害の発生状況」によると、流出したカード情報を不正使用したEC加盟店におけるなりすましの被害額は、2017年1月〜9月に130億円にも上っている。2017年の1年間の予想は、2016年の被害額89億円のほぼ2倍に到達する勢いだ。
不正使用の金額全体のうち、ECなど非対面加盟店が占める割合は73.7%と非常に大きい。世界的に見ても、日本におけるEC加盟店の被害額は激増しているといえるだろう。カード情報の流出を減らすセキュリティ対策ももちろんだが、同時にECにおけるなりすましの被害を減らすことも喫緊の課題である。
クレジット取引セキュリティ対策協議会が2015年に実施した調査によれば、EC加盟店における不正使用被害額全体の75%を「デジタルコンテンツ(オンラインゲーム含む)」「家電」「ECモール」「電子マネー」「チケット」の5業種が占めている。多額の不正使用被害を受けている加盟店では、実行計画に掲げる不正使用対策を導入することである程度の抑止効果を上げているものの、今なお被害は増加しているという。
実行計画では、カード情報の不正使用対策の具体的な方策として、「本人認証」「券面認証」「属性・行動分析」「配送先情報」の4 つを定めている。
例えば、3DセキュアにECサイトのパスワードを使い回していた場合には、カード情報と加盟店サイトへのログイン情報が同時に流出すると、3Dセキュアも突破されてしまうことになる。3Dセキュアの普及を推進していくために、ICカード取引の基準を策定する国際的な業界団体EMVCoは「3Dセキュア2.0」の仕様を公開した。パスワードの使い回しの問題に
対処するために、現行バージョンの3Dセキュアに、静的パスワードではなくワンタイムパスワードや生体認証を採用するカード発行会社も出てきている。
3Dセキュア以外の本人認証手法としては、ソニーペイメントが提供する「認証アシスト」がある。この手法では、カード会員は決済時に生年月日や電話番号などの本人の属性情報を入力する。この情報がカードの与信照会の電文と同時に送信され、カード発行会社にあらかじめ登録されている情報と照合することで、利用者本人が取引を行っていることを確認する。
3Dセキュアに比べて、カード発行会社にパスワードなどを別途登録する必要がない。またカード会員本人の属性情報を用いるため、パスワードの失念などの懸念がない。一方で、カード発行会社の会員情報との照合が決済の都度必要となるため、利用できるのはソニーペイメントと契約がある国内発行のカード会社に限定される。
ただし、加盟店サイトからカード情報が流出した場合に、セキュリティコードも同時に流出しているケースが少なくない。バックドア攻撃では、決済時に入力した情報が全て攻撃者に窃取されるためだ。実際、券面認証を行っているにもかかわらず、不正使用被害を受ける加盟店もあり、これだけでは万全とはいえない。
実行計画2018では、全ての非対面加盟店に対して、善良なる管理者の注意を持って不正使用防止に努めること、与信照会(オーソリゼーション)を行う体制を導入することを求めている。さらに、カード不正使用のリスクに基づいて「不正顕在化加盟店」「高リスク加盟店」を定義し、リスクに応じた不正使用対策を求めている。高リスク加盟店とは、不正使用被害が大きい5業種からECモールを除いた4業種(特定4業種)を指す。
▼不正使用リスクによるEC加盟店の分類と求められる対応策
実行計画2017ではECモールを含めた5 業種を「特定5業種」として高リスク加盟店に位置付けていた。しかし、ECモールについては、加盟店を店子に持つ存在であり、自身が特定の高リスク商材の販売を担っているわけではない。また、協議会が2017年に実施した大手ECモールに対するヒアリングの結果、傘下の店子における不正使用被害の発生状況も同様にほかの4業種が過半を占めていることが判明した。このため、実行計画2018では特定業種からECモールを除外した。
(共著:fjコンサルティング代表取締役CEO 瀬田陽介
PCI Security Standard Council アソシエイト・ダイレクター 日本 井原亮二)
※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載
■書籍の詳細はこちら(日経BP社):改正割賦販売法でカード決済はこう変わる
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
不正使用の金額全体のうち、ECなど非対面加盟店が占める割合は73.7%と非常に大きい。世界的に見ても、日本におけるEC加盟店の被害額は激増しているといえるだろう。カード情報の流出を減らすセキュリティ対策ももちろんだが、同時にECにおけるなりすましの被害を減らすことも喫緊の課題である。
クレジット取引セキュリティ対策協議会が2015年に実施した調査によれば、EC加盟店における不正使用被害額全体の75%を「デジタルコンテンツ(オンラインゲーム含む)」「家電」「ECモール」「電子マネー」「チケット」の5業種が占めている。多額の不正使用被害を受けている加盟店では、実行計画に掲げる不正使用対策を導入することである程度の抑止効果を上げているものの、今なお被害は増加しているという。
実行計画では、カード情報の不正使用対策の具体的な方策として、「本人認証」「券面認証」「属性・行動分析」「配送先情報」の4 つを定めている。
本人認証
本人認証の手段として国際ブランドが推奨しているのが「3Dセキュア」である。事前にカードに紐付いた「EC決済用のパスワード」を、カード発行会社に登録しておき、決済時にはこのパスワードを入力することでカード会員本人であることを認証する方式だ。しかし、3Dセキュア自体の知名度が低いことから事前のパスワード登録率が低く、そもそも利用できない利用者が多い。利用者がパスワードを忘れてしまうことを懸念して、ほかのサービスで使用しているパスワードを使い回してしまうことが多いのも問題だ。例えば、3DセキュアにECサイトのパスワードを使い回していた場合には、カード情報と加盟店サイトへのログイン情報が同時に流出すると、3Dセキュアも突破されてしまうことになる。3Dセキュアの普及を推進していくために、ICカード取引の基準を策定する国際的な業界団体EMVCoは「3Dセキュア2.0」の仕様を公開した。パスワードの使い回しの問題に
対処するために、現行バージョンの3Dセキュアに、静的パスワードではなくワンタイムパスワードや生体認証を採用するカード発行会社も出てきている。
3Dセキュア以外の本人認証手法としては、ソニーペイメントが提供する「認証アシスト」がある。この手法では、カード会員は決済時に生年月日や電話番号などの本人の属性情報を入力する。この情報がカードの与信照会の電文と同時に送信され、カード発行会社にあらかじめ登録されている情報と照合することで、利用者本人が取引を行っていることを確認する。
3Dセキュアに比べて、カード発行会社にパスワードなどを別途登録する必要がない。またカード会員本人の属性情報を用いるため、パスワードの失念などの懸念がない。一方で、カード発行会社の会員情報との照合が決済の都度必要となるため、利用できるのはソニーペイメントと契約がある国内発行のカード会社に限定される。
券面認証
券面認証では、クレジットカードの券面に印刷されている3〜4 桁の番号(セキュリティコード)を利用する。この情報は、磁気ストライプに入っていないため、スキミングでは盗めず、正規のカード券面を持っているかどうかを認証できる。全てのカードに既に普及しており、カード券面を見るだけで確認できるため、多くの加盟店が採用している。ただし、加盟店サイトからカード情報が流出した場合に、セキュリティコードも同時に流出しているケースが少なくない。バックドア攻撃では、決済時に入力した情報が全て攻撃者に窃取されるためだ。実際、券面認証を行っているにもかかわらず、不正使用被害を受ける加盟店もあり、これだけでは万全とはいえない。
属性・行動分析
カード決済時に使用した端末やネット接続場所、利用OSなどについて、過去の利用実績との不整合をチェックしたり、過去の不正使用時との共通点を総合的に分析したりして、不正取引の可能性を特定する手法である。専門のサービス事業者がサービスを提供している。PSPを経由して提供されるケースが多い。配送先情報の分析
加盟店やカード発行会社が保有する過去の不正使用発生時の配送先情報を集約し、カード利用時に照合することで不正取引の可能性を判断する手法である。ただし、デジタルコンテンツのように物理的な配送先がない場合、この方法は利用できない。実行計画2018では、全ての非対面加盟店に対して、善良なる管理者の注意を持って不正使用防止に努めること、与信照会(オーソリゼーション)を行う体制を導入することを求めている。さらに、カード不正使用のリスクに基づいて「不正顕在化加盟店」「高リスク加盟店」を定義し、リスクに応じた不正使用対策を求めている。高リスク加盟店とは、不正使用被害が大きい5業種からECモールを除いた4業種(特定4業種)を指す。
▼不正使用リスクによるEC加盟店の分類と求められる対応策
実行計画2017ではECモールを含めた5 業種を「特定5業種」として高リスク加盟店に位置付けていた。しかし、ECモールについては、加盟店を店子に持つ存在であり、自身が特定の高リスク商材の販売を担っているわけではない。また、協議会が2017年に実施した大手ECモールに対するヒアリングの結果、傘下の店子における不正使用被害の発生状況も同様にほかの4業種が過半を占めていることが判明した。このため、実行計画2018では特定業種からECモールを除外した。(共著:fjコンサルティング代表取締役CEO 瀬田陽介
PCI Security Standard Council アソシエイト・ダイレクター 日本 井原亮二)
※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載
■書籍の詳細はこちら(日経BP社):改正割賦販売法でカード決済はこう変わるPCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
この記事が気に入ったら
いいね!しよう
PCI DSS 関連の最新記事をお届けします
Copyright by LINK, INC.