『実行計画2019』の変更ポイントを解説 -EC加盟店に求められる新たな不正対策-（第三回）

不正な有効性確認を想定した大量・連続取引の対策を記載

-EC加盟店に求められる新たな不正対策-（第一回）はこちら
-EC加盟店に求められる新たな不正対策-（第二回）はこちら

『実行計画2019』では、EC加盟店におけるなりすましによる不正利用が増える一因として、クレジットマスターにより生成したカード情報を、特定の加盟店で短時間に集中的に使用する手口が急増していることを挙げている。クレジットマスターを使った不正アクセスは、なりすましによる買物や転売を目的とするだけではない。

生成した大量のカード情報の有効性をチェックするために、EC加盟店のサイトを利用していると考えられる。前述のキャラクター商品販売会社の事例では、2,200件のカード情報への不正アクセスに加え、約1万2,500件のカード情報が有効性チェックのために入力された痕跡を確認したという。対策としては、大量かつ連続するカード取引を早期検知・遮断することが有効である。

前述のイシュアによる多数回連続取引の検知に加え、加盟店側の対策も必要である。消費者の注文時のIPアドレス、デバイスの種類などの行動・属性情報を持つのは、原則加盟店側になるため、それらの情報をもとに不正検知をするのが有効である。とはいえ、大量の取引が短時間に発生した際、それが正常取引なのか、システム的に行われた不正取引かを判別することは容易はでない。

加盟店において、クレジットカードで取引する消費者には事前に必ずユーザー登録をしてもらう、毎回のユーザー認証には画像やパズルなどを用いたキャプチャ認証を導入するなども、システム的な大量・連続の不正取引を防止する対策の一つだろう。

QRコード決済にも広がるカード情報の不正利用防止

なりすましによる不正利用は、EC加盟店での決済にとどまらない。2018年12月には、QRコード決済のスマートフォンアプリで、支払手段としてクレジットカードのなりすましによる不正登録が行われる事件が発生している。一度登録されてしまうと、スマートフォンアプリを通して行われる決済は、加盟店やコード決済事業者からは正常な決済に見えるため、検知が難しい。

不正登録されるカード情報の入手手段としては、複数の可能性が考えられる。一つは、前述のクレジットマスターによる生成である。他にはダークWeb（犯罪にかかわる物品や情報が売買される闇サイト）等で販売されている流出カード情報の入手である。また、これらの手法で入手したカード番号に対して、他のEC加盟店のサイト等であらかじめ有効性チェックを行うことで、コード決済事業者側で連続登録が制限されていても登録されてしまうことがある。

キャッシュレス推進協議会が2019年3月に発行した「コード決済に関する統一仕様ガイドライン」では、コード決済事業者に対し、クレジットカード等の支払手段を登録する際に不正利用を防止するための対策を行うことが重要であるとした。前述の不正登録が行われたコード決済事業者も、セキュリティコードの入力回数制限と3Dセキュアの導入により、支払手段登録時の不正利用対策を強化している。

政府のキャッシュレス推進により、クレジットカードの利用シーンは今後も広がると予想される。これらに対するカード情報保護と不正利用防止対策が必須である。改正割賦販売法の実務上の指針である『実行計画』は、今後のキャッシュレス政策においても指針となるだろう。

（著：ｆｊコンサルティング（株）代表取締役CEO 瀬田　陽介）

※出所：雑誌『カード・ウェーブ』2019年３・４月号（インフキュリオン社：2019年4月発行）から出版社の許諾を得て転載
https://www.cardwave.jp/products/detail.php?product_id=97
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス