三井住友カード、国内で初めてネットショッピング認証サービスにデバイス認証を導入 導入後2カ月で3-D セキュアでの不正取引を半数に削減

2018年5月17日8:38

三井住友カードは、2017年11月13日より、Visa の「VISA 認証サービス(Verified by Visa)」および、Mastercard が提供する「Mastercard SecureCord」にデバイス認証機能を導入した。インターネット取引におけるなりすまし等による不正使用が増える中、導入直後からデバイス認証に必要となる情報を取得して不正判定を行うことで、高い成果を生んでいる。

不正使用の手法は多様化・高度化
デバイス情報による異常なカード利用(機械的な攻撃)を抑制

クレジットカード取引における不正使用の手法は多様化・高度化しており、近年は非対面取引の不正が急増している。三井住友カードにおいても、日本クレジット協会の公表数値と同じ動きで不正が増加している。

三井住友カード セキュリティー管理部 副部長 田添裕嗣氏、 同部 部長代理 田中啓介氏、同部 グループマネージャー 植木晋也氏

同社ではIDとパスワードの盗用に対抗するため、ソフトウェア型のワンタイムパスワード認証を導入。3-Dセキュアの登録率は他のイシュア(カード発行会社)と比較して高い率となっているが、増加している異常なカード利用(機械的な攻撃)への対処が求められたという。

三井住友カード セキュリティー管理部 部長代理 田中啓介氏は、「この1~2年で不正を取り巻く環境が急変し、特に異常なカード利用(機械的な攻撃)が増えています」と話す。同社ではその対策として、2017年11月から、クレジットカード利用者がネットショッピング時に使用する機器のデバイス情報と、クレジットカード決済の取引情報から、不正使用のリスク度合いをオンラインかつリアルタイムで判定する「CAFIS Brain」を国内カード会社で初めて採用した。

「スマートフォンやPC等の端末情報等を活用することで、今までは見抜けなかった不正使用を見抜けるようになりました。同じデバイスにおける異常なカード利用(機械的な攻撃)や、過去に不正使用があったデバイスからのカード利用、海外からの不審なカード利用等を防ぎ、従来のオーソリ情報のみでの不正検知システムと比べ格段に精度の高い不正検知を実現しています」(田中氏)

リスクベース認証のイメージ(出典:NTT データ)

2年前の実験より5~6倍の成果
海外からの異常なカード利用(機械的な攻撃)が約9割

三井住友カードではNTTデータと協力し、2015年よりクレジットカード取引環境におけるリスクベース認証のトライアル検証を実施。田中氏は、「異常なカード利用(機械的な攻撃)が少なかった当時も効果が出ていましたので、不正使用を取り巻く環境が変化した今ではそれ以上の成果が出ると考え、採用を決定しました」と語り、笑顔を見せる。前述のワンタイムパスワード認証の責任者である同部 グループマネージャー 植木晋也氏も「導入後短期間で3-Dセキュアを経由した取引での不正使用被害は半数ほどに落ちています」と口にする。

今回の導入により、9割方の不正は同じ端末からほぼ毎日、数分おきに機械的に複数の番号を入れて悪用を働こうとしていたことが判明した。また、それらの悪用は海外からが多い。中には、IPアドレスを踏み台にしての不正もあるが、「CAFIS Brain」 のベースとなるExperian(エクスペリアン)の不正判定エンジン「FraudNet」は仮に加工されてもログを特殊な技術で見抜くことが可能だ。

今回、加盟店向けに提供されていたデバイス認証をカード会社が導入することは国内初の取り組みであったため、導入する際の微調整が非常に難しく、時間をかけて対応した。今後の課題は、さらなる不正検知精度向上。不正使用のデータを蓄積・分析し、発展途上にあるルールの精度向上に注力し、現在見抜けていない不正使用抑止をすることだ。

5年間かかる費用を半年で回収
3-Dセキュア2.0への対応を進める

田中氏は、「導入にコストはかかりますが、半年で回収できる実感があります。3-Dセキュアは2019 年初頭より、デバイス認証の概念を標準装備する2.0へ 移行する計画ですが、そこに向けたノウハウを蓄積していきたいですね」と意気込む。3-Dセキュア2.0については、国際ブランドのスケジュール通りにACS対応を進めていきたいとした。

同部 副部長 田添裕嗣氏は、「現行の3-Dセキュアに比べ、明らかに判断材料がリッチになりますので、他社でも導入が進めば効果が出るのは目に見えています。また、その効果は、カード会社、加盟店もおわかりになっています。すでにデバイス認証を行われている加盟店もありますが、その効果を伺っても前時代的なオーソリ情報以外を判断材料にするのは自明の理であると感じています。クレジット取引セキュリティ対策協議会が策定している実行計画では、インターネット取引の不正使用対策について多面的・重層的な対応を求めるとしていますが、3-Dセキュアを介したデバイス認証は決め手になる資質があります」と期待を寄せた。

カード決済&セキュリティの強化書2018

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP