2019.09.24
『実行計画2019』の変更ポイントを解説 -EC加盟店に求められる新たな不正対策-(第二回)
- BLOGトップ
- 『実行計画2019』の変更ポイントを解説 -EC加盟店に求められる新たな不正対策-(第二回)
-前回の記事「EC加盟店に求められる新たな不正対策-(第一回)」はこちら
図3:四つの不正利用防止対策とその概要
『実行計画』発表当初に協議会が実施した非対面加盟店におけるクレジットカード不正利用被害の状況調査によると、不正利用被害額の過半をデジタルコンテンツ(オンラインゲーム含む)、家電、電子マネー、チケットの4商材が占めていた。『実行計画2019』ではこれらの4商材を「特定4商材」と定義した。これは『実行計画2018』では「特定4業種」と定義していたものを、なりすまし犯に狙われる対象は業種ではなく商材であると考えられることから改めたものである。
『実行計画2019』では図4の通り、非対面加盟店の取り扱う商材等によるリスクと被害状況に応じて、不正利用対策の導入指針を定めている。『実行計画2019』では、昨今の不正被害やこれまでの対策の成果を反映し、不正利用対策の具体的な方策について以下のような見直しを行った。
図4:加盟店の分類と必要な方策 (『 実行計画2019』P42より)
1. 「属性・行動分析」の定義とメリットの再整理
「属性・行動分析」とは、非対面取引でのカード決済時に加盟店が収集できる消費者の属性や行動情報に基づき取引のリスク評価を行い、不正利用を検知する仕組みである。加盟店が独自にシステム導入する場合もあるが、決済代行事業者などがサービスモデルで提供する場合も多い。『実行計画2019』では、加盟店で得られる購入者のデバイス情報等の活用により、不正検知精度の向上が期待できる旨が記載されている。例えば、日本国外のIPアドレスから国内向けに発送する注文や、外国語に言語設定されたデバイスから国内住所宛発送の日本人名の注文などは、不正取引の可能性が高いと判定できるだろう。また、従来の「属性・行動分析」の定義に以下の2点が要件として追加された。
1) 不正取引判定の条件設定を更新・変更する機能を有すること
不正取引の手口や傾向は変化する。したがって、「属性・行動分析(不正検知システム)」ツールの不正判定条件は、不正利用傾向の分析結果に即して変更できる必要があることが明記された。また、判定結果の正誤についてもカード会社から提供される不正利用情報等により確認し、条件設定を適宜見直して最新に保つことが望ましい。
2)取引の自動判定が行われること
不正検知については、人による判断ではなく、設定された条件に基づき取引ごとに自動判定が行われることが重要であるとした。自動的に即時判定する機能を導入することで、短時間に連続した不正取引が行われる場合、即時検知・拒否が可能になる。
2. セキュリティコードの多数回アクセスへの対策の追加
短時間における連続した不正取引が拒否できない場合は、クレジットマスター(クレジットカード番号の規則性を利用してカード情報を生成するシステム)などで生成したクレジットカード番号や加盟店への不正アクセスにより流出したカード情報と、ランダムなセキュリティコードをシステム的に多数入力することにより不正取引が発生してしまうことがある。『実行計画2019』ではイシュアに対して、連続して大量のオーソリゼーションが発生した場合はそれを検知して取引を不成立とする対策が必要であるとした。
3. 3Dセキュアの取り組み強化
EC加盟店における本人認証の手段として、国際ブランドは事前にカード会員がイシュアに登録したパスワードを利用する「3Dセキュア」を推奨している。しかし、従来の3Dセキュアにはいくつかの課題があった。
加盟店側から見た課題は、3Dセキュアの導入で販売機会の損失が発生することである。決済途中でEC加盟店のWebサイトから別のサイトに遷移しパスワード入力を求められるため、消費者がわずらわしさやフィッシング(詐欺)の不安を感じて購入を中断する「カゴ落ち」が発生する可能性がある。
従来の3Dセキュアはカード会員が任意にパスワードを登録する仕組みであるため、パスワードを登録していない利用者も多い。そのため、3Dセキュアを導入した加盟店でもパスワード未登録の消費者が購入できるように、パスワード入力を省略しても決済を承認している場合がある。その結果、なりすましによる不正利用被害が発生しているという。
また、登録していても、パスワード忘れを嫌って他サービスのログインパスワードを使いまわしている消費者もいる。会員制のEC加盟店の場合、カード情報とログインパスワードが同時に流出するケースは少なくない。その場合、パスワードが使いまわされていては効果が発揮されない。そうした事例を踏まえ、『実行計画』では消費者のパスワードの事前登録が不要なことや、使いまわしによるセキュリティ低下の防止につながるワンタイムパスワードや指紋等の生体認証が有効であるとしている。
これに加えて『実行計画2019』では、3Dセキュア導入推進のための本年度の重点的な取り組みとして、「リスクベース認証」の導入検討を挙げている。リスクベース認証では、消費者の属性情報やふるまいを過去の不正利用実績とあわせて分析することで取引ごとにリスクを判定する。高リスクと判定された取引にのみパスワード入力を求め、それ以外は求めないという考え方である。加盟店は3Dセキュアを導入していても、正常と判定される取引にはパスワード入力を求めないため、消費者の「カゴ落ち」を防ぐことが期待できる。
リスクベース認証は、国際ブランドが導入に向け準備を進める「3Dセキュア2.0」の仕様にも含まれているが、現行の3Dセキュアの環境下でも利用可能になっている。すでに国内の3Dセキュアのサービス提供事業者がリスクベース認証の提供を開始しており、導入したイシュアでは不正利用抑止効果が認められているという。これらの施策により、加盟店・消費者の双方が3Dセキュアに躊躇する理由を取り除くと共に、リスクの高い取引では確実に本人認証を実施することが重要である。
【第三回はこちらから】
(著:fjコンサルティング(株)代表取締役CEO 瀬田 陽介)
※出所:雑誌『カード・ウェーブ』2019年3・4月号(インフキュリオン社:2019年4月発行)から出版社の許諾を得て転載
https://www.cardwave.jp/products/detail.php?product_id=97
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
昨今の手口を反映した不正利用対策の強化
前述の通り、クレジットカード不正利用の大部分を占めるのがECサイトにおけるなりすましによるものである。『実行計画』では、非対面加盟店を対象とした不正利用対策の具体的な方策として、「本人認証」「券面認証(セキュリティコード)」「属性・行動分析(不正検知システム)」「配送先情報」の四つを挙げている(図3)。
図3:四つの不正利用防止対策とその概要『実行計画』発表当初に協議会が実施した非対面加盟店におけるクレジットカード不正利用被害の状況調査によると、不正利用被害額の過半をデジタルコンテンツ(オンラインゲーム含む)、家電、電子マネー、チケットの4商材が占めていた。『実行計画2019』ではこれらの4商材を「特定4商材」と定義した。これは『実行計画2018』では「特定4業種」と定義していたものを、なりすまし犯に狙われる対象は業種ではなく商材であると考えられることから改めたものである。
『実行計画2019』では図4の通り、非対面加盟店の取り扱う商材等によるリスクと被害状況に応じて、不正利用対策の導入指針を定めている。『実行計画2019』では、昨今の不正被害やこれまでの対策の成果を反映し、不正利用対策の具体的な方策について以下のような見直しを行った。
図4:加盟店の分類と必要な方策 (『 実行計画2019』P42より)1. 「属性・行動分析」の定義とメリットの再整理
「属性・行動分析」とは、非対面取引でのカード決済時に加盟店が収集できる消費者の属性や行動情報に基づき取引のリスク評価を行い、不正利用を検知する仕組みである。加盟店が独自にシステム導入する場合もあるが、決済代行事業者などがサービスモデルで提供する場合も多い。『実行計画2019』では、加盟店で得られる購入者のデバイス情報等の活用により、不正検知精度の向上が期待できる旨が記載されている。例えば、日本国外のIPアドレスから国内向けに発送する注文や、外国語に言語設定されたデバイスから国内住所宛発送の日本人名の注文などは、不正取引の可能性が高いと判定できるだろう。また、従来の「属性・行動分析」の定義に以下の2点が要件として追加された。
1) 不正取引判定の条件設定を更新・変更する機能を有すること
不正取引の手口や傾向は変化する。したがって、「属性・行動分析(不正検知システム)」ツールの不正判定条件は、不正利用傾向の分析結果に即して変更できる必要があることが明記された。また、判定結果の正誤についてもカード会社から提供される不正利用情報等により確認し、条件設定を適宜見直して最新に保つことが望ましい。
2)取引の自動判定が行われること
不正検知については、人による判断ではなく、設定された条件に基づき取引ごとに自動判定が行われることが重要であるとした。自動的に即時判定する機能を導入することで、短時間に連続した不正取引が行われる場合、即時検知・拒否が可能になる。
2. セキュリティコードの多数回アクセスへの対策の追加
短時間における連続した不正取引が拒否できない場合は、クレジットマスター(クレジットカード番号の規則性を利用してカード情報を生成するシステム)などで生成したクレジットカード番号や加盟店への不正アクセスにより流出したカード情報と、ランダムなセキュリティコードをシステム的に多数入力することにより不正取引が発生してしまうことがある。『実行計画2019』ではイシュアに対して、連続して大量のオーソリゼーションが発生した場合はそれを検知して取引を不成立とする対策が必要であるとした。
3. 3Dセキュアの取り組み強化
EC加盟店における本人認証の手段として、国際ブランドは事前にカード会員がイシュアに登録したパスワードを利用する「3Dセキュア」を推奨している。しかし、従来の3Dセキュアにはいくつかの課題があった。
加盟店側から見た課題は、3Dセキュアの導入で販売機会の損失が発生することである。決済途中でEC加盟店のWebサイトから別のサイトに遷移しパスワード入力を求められるため、消費者がわずらわしさやフィッシング(詐欺)の不安を感じて購入を中断する「カゴ落ち」が発生する可能性がある。
従来の3Dセキュアはカード会員が任意にパスワードを登録する仕組みであるため、パスワードを登録していない利用者も多い。そのため、3Dセキュアを導入した加盟店でもパスワード未登録の消費者が購入できるように、パスワード入力を省略しても決済を承認している場合がある。その結果、なりすましによる不正利用被害が発生しているという。
また、登録していても、パスワード忘れを嫌って他サービスのログインパスワードを使いまわしている消費者もいる。会員制のEC加盟店の場合、カード情報とログインパスワードが同時に流出するケースは少なくない。その場合、パスワードが使いまわされていては効果が発揮されない。そうした事例を踏まえ、『実行計画』では消費者のパスワードの事前登録が不要なことや、使いまわしによるセキュリティ低下の防止につながるワンタイムパスワードや指紋等の生体認証が有効であるとしている。
これに加えて『実行計画2019』では、3Dセキュア導入推進のための本年度の重点的な取り組みとして、「リスクベース認証」の導入検討を挙げている。リスクベース認証では、消費者の属性情報やふるまいを過去の不正利用実績とあわせて分析することで取引ごとにリスクを判定する。高リスクと判定された取引にのみパスワード入力を求め、それ以外は求めないという考え方である。加盟店は3Dセキュアを導入していても、正常と判定される取引にはパスワード入力を求めないため、消費者の「カゴ落ち」を防ぐことが期待できる。
リスクベース認証は、国際ブランドが導入に向け準備を進める「3Dセキュア2.0」の仕様にも含まれているが、現行の3Dセキュアの環境下でも利用可能になっている。すでに国内の3Dセキュアのサービス提供事業者がリスクベース認証の提供を開始しており、導入したイシュアでは不正利用抑止効果が認められているという。これらの施策により、加盟店・消費者の双方が3Dセキュアに躊躇する理由を取り除くと共に、リスクの高い取引では確実に本人認証を実施することが重要である。
【第三回はこちらから】
(著:fjコンサルティング(株)代表取締役CEO 瀬田 陽介)
※出所:雑誌『カード・ウェーブ』2019年3・4月号(インフキュリオン社:2019年4月発行)から出版社の許諾を得て転載
https://www.cardwave.jp/products/detail.php?product_id=97
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
この記事が気に入ったら
いいね!しよう
PCI DSS 関連の最新記事をお届けします
Copyright by LINK, INC.