2023年4月13日8:30
2021年のクレジットカード不正利用被害額は過去最悪の330億円に
2021年のクレジットカード不正利用被害額は、前年比で30%増加し、過去最悪の330.1億円を記録。その9割以上を番号盗用被害が占める。経済産業省はEMV 3-Dセキュアの導入を求めるとともに、フィッシング対策強化を呼びかけている。どうすれば被害拡大に歯止めをかけることができるのか。経済産業省 商務・サービスグループ 商取引監督課 セキュリティ専門官の小西啓介氏に話を聞いた。
※取材後、2022年通年の不正利用被害額は436.7億円(前年比32.3%の増加)と発表された。
EMV 3-Dセキュアの効果に期待
全EC加盟店への導入を目指す
―クレジットカード不正利用被害額が過去最悪を記録した。対策は?
小西: 3本の柱は、漏えい防止、不正利用防止、犯罪抑止・広報周知。漏えい防止に関しては、事前の対応と漏えい時の対応の両方を考えておかなくてはならない。
―非対面取引の不正利用防止についてはEMV 3-Dセキュアの導入が中心になるか?
小西:ヨーロッパなど諸外国においても3-Dセキュア導入の効果が認められている。旧バージョンはカゴ落ちの懸念から普及が限定的だったが、EMV 3-Dセキュアではそのリスクが低減した。原則すべてのEC加盟店に導入いただきたいと考えている。
―10年ぐらい前に3-Dセキュア義務化の議論があった際には企業の反発が強かった。
小西:さまざまなプレイヤーが参加した今回の検討会では、導入に対する強い反対意見は聞かれなかった。330億円の不正利用被害を減らさなければならないという点で、意見が一致している。
―大手の導入は進んでいるが、中小ではあまり進んでいないのが現状か?
小西:概ねその通りだ。これまでは旧バージョンから移行するEC加盟店での対応が中心で、新規導入についてはこれからではあるが、すでに新規導入したEC加盟店では着実に効果を上げていると聞いている。
―基本的にイシュア(カード発行会社)は導入が必須、加盟店は個別に対応を検討するということか。加盟店にはコスト負担が重いという課題もありそうだが?
小西:原則すべてのEC加盟店に導入いただきたいと考えているが、EC加盟店は規模もさまざまで、現時点では、小規模なところは負担が重いかもしれない。しかし環境整備が進めば、モジュールの入れ替えのような簡便な方法で済む、または、ECモールに出店している場合はECモールに設置されているチェックボックスをONにするだけで対応が完了するといったことも可能になり、コスト負担は軽減していくと考えている。
―加盟店が決済代行会社(PSP)を利用している場合、対応主体はPSPになるのか?
小西:両方の対応が必要ではあるが、まずは、PSPによる環境整備が重要である。現時点では3-Dセキュアを導入しているEC加盟店数が限られているので、PSPの運用コストが割高になっているが、不正利用問題への対処が急務だという認識で普及に取り組んでいただいている。
―不正利用情報の共有化についての取り組みは?
小西:それに関するセンターやシステムを行政側で構築する考えは今のところない。他方、事業者が取組を行う上で、法的な整理など必要な点については協力していく。
複合的な対策によりフィッシングを防止
警察との連携も強化
―検討会では、不正利用を減らせるというイメージが共有されているのか?
小西:まず増加傾向に歯止めをかけ、減少傾向にもっていこうという話をしている。そのためにはEC加盟店の協力に加え、利用者の本人認証登録、ワンタイムパスワードへの理解・協力が必要。固定パスワードは、仮にフィッシングなどで抜き取られてしまえば、EMV 3-Dセキュアに対応しているサイトでも不正利用が可能になる。早期のワンタイムパスワードへの切り替えが必要だと考える。ワンタイムパスワードは、固定パスワードを忘れてしまっていても探すことなく取引を完了できるという意味で、利用者サイドのメリットもある。
さらに今後は生体認証を使った3-Dセキュアが普及して、ますます使い勝手が良くなっていくだろう。
―フィッシング対策のポイントは?
小西:利用者へのフィッシングサイトや手口の周知・啓発に加えて、カード会社等においても利用者保護の観点で、主体的なフィッシング対策が必要だと考えている。その一つが、DMARC(Domain-based Message Authentication, Reporting, and Conformance)の導入である。DMARCはなりすましメールが受信側のメールボックスに入ってこないようにする仕組み。従前よりある規格ではあるが、効果は高いと考えている。また、自社をかたった偽サイトを見つけた場合、注意喚起をするだけではなく、それらのサイトにアクセスできないようにするテイクダウン等も重要だ。これらを含め、さまざまな方法で自社を騙ってクレジットカード番号等を詐取するフィッシング攻撃から利用者を守る取り組みの強化をお願いしたところだ。
―警察との連携の強化については?
小西:サイバー犯罪を抑止するために、警察との連携を強化していく。EC加盟店を含めクレジットカード関係事業者においては、サイバー犯罪が疑われる場合には、管轄の警察署に対して早期の通報と捜査への積極的な協力をお願いしたい。