狙われる「ブランドプリペイドカード」の危険性について | PCI DSS Ready Cloud

2017.03.31

狙われる「ブランドプリペイドカード」の危険性について

  • このエントリーをはてなブックマークに追加
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス

Visa、MasterCard、JCBなど国際ブランドの支払の決済カードは3種類ある。ひとつは「クレジットカード」。もう一つは「デビットカード」で、クレジットカードの後払い方式に対して、あらかじめ登録した銀行口座から即時に引き落とす決済形態である。海外では与信で買い物するクレジットカードよりもデビットカードの方が主流といわれている。発行枚数50億枚を超えるといわれている銀聯カードも大半がデビットカードだ。ただし、ここでいうデビットカードは、従来から日本にある「J-Debit」とは仕組みが異なり、ブランドデビットと呼ばれている。クレジットカードと同じ16桁の国際ブランドの番号帯を使用しているため、通常のカード加盟店で使用が可能で、対応加盟店が少ない従来型は普及を押されがちだ。

そしてもう一つが、最近急速に発行枚数を増やしている「ブランドプリペイドカード」である。Suicaや楽天Edyなどの電子マネーと同様に事前に一定額をチャージをするが、通常のVisa、MasterCard、JCBなどの加盟店でクレジットカード同様に使用できる。「au WALLET」や「ソフトバンクカード」など、ここ数年数多くリリースされている。ローソンのポイントと提携して発行しているJCBブランドプリペイドカード「おさいふPonta」はローソンの店頭やクレジットカードからチャージができて、国内のJCB加盟店(ガソリンスタンドなど特定の加盟店を除く)であれば使うことができる。ネットショッピングでも同じく、海外のサイトでも利用可能である。使い勝手はクレジットカードと同等で、カード内残高=ショッピング枠のクレジットカードと考えると理解しやすいだろう。

「おさいふPonta」を使ってネット決済する場合、クレジットカード番号と同じ構造を持ったおさいふPontaカード番号(会員番号とは別)、有効期限、カード名義人氏名として「OSAIFUPONTA MEMBER」、裏面のセキュリティコードを入力する必要がある。万が一、利用したECサイトのサーバーからカード情報が流出すれば、残高の範囲内ではあるが不正使用の被害にあう可能性は充分にあり得る。カード犯罪の構造もまったくクレジットカードと同じである。

犯罪者に悪用される危険性

「おさいふPontaはしっかりと対策をしているはずですが、本人確認が甘い決済カードが不用意に拡大すると、セキュリティ上、大きな問題が起きるのではないかと危惧しています」fjコンサルティング瀬田陽介氏は言う。なぜなら、ブランドプリペイドカードは、前述の通り国際ブランドが使用する16桁のカード番号が印字されている。これは一般のブランドデビットカードと同じであり、エンボス加工されていない(インプリンタの加盟店では使用できない)点を除いてはクレジットカードとも同じである。加盟店からすれば国際ブランドマークが付いていれば、実際のところクレジット、デビット、プリペイドを区分をしていない。それでありながら、審査不要、本人確認不要、券面に氏名もない匿名クレジットカードとして利用できてしまうことが問題として挙げられる。ちなみにおさいふPontaのWebサイトでは個人情報の登録を促されるが、ポイント付与に必要なだけで、登録しなくても決済をすることが可能だ。

「ブランドプリペイドは、発展途上国で銀行口座を持っていない人でもVisaやMasterCardを利用することを可能にするために作られたものです。実際にアフリカでは年金など社会保障を振込するために政府がブランドプリペイドカードを配布している国もあります」(瀬田氏)。治安の悪さ、マネーロンダリングや脱税防止の観点からも、振込んだ年金をそのままカードで使用してもらう方が国民にとっても為政者のとっても好ましい。またプリペイドカードは、国際ブランドにとっても先進国で飽和したクレジットカード市場を拡大していくために重要な戦略である。「学生や未成年はクレジットカードが原則もてません。そういった層にもブランドプリペイドカードは与信審査なく発行することが可能です。国内では、カード離れしている若い世代を取りこむ戦略であることは理解できます。しかし、本人確認をほとんどせずにクレジットカードやデビットカードとほぼ同じ機能を持つカードを配布することにより、新たなカード犯罪の温床になる可能性があります」(瀬田氏)

おさいふPontaでは残高上限は10万円で、1回のチャージ上限は3万円。とくにクレジットカードからのチャージでは上限1万円で、1日3回まで。月間チャージ総額も10万円までと制限は設けている。しかし、瀬田氏はこう言う。「このようなプリペイドカードがコンビニの店頭から大量に手に入り、本人登録もせずに利用できることから、犯罪集団は偽造カードを作成したり、海外から持ち込んだりする必要が少なくなりました」。かつて偽造カード全盛の時代は、店頭で疑われないように非常に精巧な偽造カードを海外から大量に持ち込んでいた。それらは関税法によって税関職員は持ち込み時点で逮捕できていた。しかし正規のブランドプリペイドカードが大量に持ち込みされた場合は、現行法で逮捕できない。不正使用の手口はこうだ。ハッキングなどで不正入手したカード情報を使って、ブランドプリペイドカードに残高をチャージする。違法なカード情報でチャージしたものであっても、プリペイドカードは正規のものなので、偽造カードと違い店舗では堂々と不正使用することができる。ある意味のマネーロンダリングである。

おさいふPontaはローソンで無料配布されており、誰でも手に入れることができる

磁気ストライプカードが増加する?

実際におさいふPontaは、2016年にクレジットカードによるチャージを一時中断し、3Dセキュアによる本人認証を導入した上で2016年6月に再開した経緯がある。理由は定かではないが、おそらく上記の不正使用が拡大したためであろう。再開の際には海外発行カードからのチャージもできなくなっていることから、海外で流失したカード情報を使用して不正にチャージされたと推察する。一方au WALLETやソフトバンクカードはもともと携帯電話の利用者にオプションとして配布しているため、カード発行時点での本人確認は、おさいふPontaより確実にしているといえる。そのためなのか現在のところ残高チャージの際に3Dセキュアまでは本人認証を要求していない。

「現在のカード犯罪は、高度に分業化されています。多くの専門知識や高い技術をもったテロ組織と特殊暴力団が結びつき、活動資金のためにカード不正使用犯罪に関わっていることが顕在化しています」(瀬田氏)

2016年5月や11月に発生した大規模なATMの不正現金引き出し事件同様、ブランドプリペイドカードの不正使用も分業され、大規模な犯罪になりかねない。カード偽造対策の一環として、日本政府は2020年までに100%のICカード化を目標として掲げている。しかし現在発行されているブランドプリペイドカードはすべて磁気ストライプベースで、その指針にも逆行しているといえる。クレジットカードやデビットカードと比較し、偽造カードの作成は容易であると推測する。一方想定利用額が他の2タイプよりも明らかに低いため、全てのブランドプリペイドカードにICチップを搭載することが、発行カード会社の採算として合うどうかすら不明である。ブランドプリペイドカードが対面取引の不正使用の温床にならないためにも本人確認の強化とICカード化を進めていく必要がある。(牧野 武文氏:2017/1/18)

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
PCI DSS Ready Cloud マネージドモデルはこちら
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
PCI DSS Ready Cloud AWSモデルはこちら
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
PCI DSS準拠支援コンサルティングはこちら
 
【関連記事】
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
【動画付き】PCI DSS バージョン4.0の特徴や変更点を解説

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加