2024年11月12日8:00
増え続けるクレジットカード不正利用被害にどう対処すればいいのか? 元Mastercard、元クレジット取引セキュリティ対策協議会委員の丸山氏が、グローバルな視点から日本が置かれている状況を解説する。(2024年10月25日開催「ペイメント取引セキュリティ対策セミナー2024」丸山秀幸氏の講演より)
国際ブランドの視点から紐解く
国内不正対策の4つのポイント
今回は、国内の不正対策の注目ポイントを4つ、紹介いたします。まず、簡単に自己紹介をさせていただきます。私は2023年末までの10数年はMastercardに、それ以前は外資系のカード会社に20年ぐらい在籍しており、イシュア(カード発行会社)、アクワイアラ(加盟店開拓会社)、国際ブランドのすべての立場での職務経験があります。Mastercardでは8年間、EMV 3-Dセキュアのプロダクトを担当しておりました。その間に日本クレジット協会(JCA)のセキュリティ対策協議会の委員を務め、EMV 3-Dセキュア義務化の決定に関与しました。ただこれは過去の経歴ですので、今回は自由な立場からお話しさせていただきます。
自己紹介の続きですが、私は外資系の会社でしか働いたことがありません。日本企業で働いた経験がないのです。外資系企業と日本企業では、働く人が苦労している部分がかなり違っているようです。国際ブランドとやり取りする中で、どうして外資系の会社はわけのわからない対応をするのかという思いを抱いている方も多いでしょう。ですから、今回の私の発言に共感していただけないところもあるかもしれませんが、それにはそういう理由があるのだとご了承いただければ幸いです。
不正のフィールドは非対面に移行
有効な対策は3-Dセキュアとトークン
不正対策のポイントの1つ目としてお話しするのは、国内の不正対策の流れです。海外と比べて日本はどうなのかという話です。
海外と言いましても、クレジット、デビット、プリペイドを含めて、決済のボリュームの半分以上はアメリカで行われています。結局のところアメリカとの比較対照なのだと思っていただいていいかもしれません。VisaもMastercardもアメリカに本社がある会社です。
対面から非対面に不正が移行しているというのは日本のみならず世界中で起きている事象です。非対面においても加盟店にとってメリットのあるライアビリティシフトを行うべく、海外では不正対策として、対面におけるICチップ導入義務化と同等の対策が早々に実行されました。それがEMV 3-Dセキュアであり、ネットワークトークンです。効果やユーザーの使い勝手の是非はともかく、ライアビリティシフトを優先したのです。
日本国内とは異なり、海外ではEMV 3-Dセキュアの本人認証に、早くからSMSによるワンタイムパスワードが使われてきました。なぜ日本は固定のパスワードを使い続けているのか?と言う質問の回答に私自身、Mastercard時代、社内の説明に大変苦労いたしました。日本のSMSには制約が多いのです。それにコストも高い。海外と比べると100倍ぐらいの差があります。日本ではこれが3-Dセキュアの普及の妨げになっていたのだと思います。最近では日本でもワンタイムパスワードが広く使われるようになってきましたが、海外では5~10年前からこれが主流でした。
また海外では、AIによる不正検知など、外部の知見の活用が進んでいますが、日本では今も社内で不正対策の体制を構築するのが一般的です。不正アタックの現状を見ると、犯罪者は規模が大きいプロ集団ですから、大手企業であったとしても、個社ごとの対策には限界があります。アメリカをはじめとする海外では、不正対策に外部組織を活用するのが普通のことですし、状況によっては数社を使い分けている場合もあります。
日本のクレジットカードが
犯罪者のターゲットにされる理由
オーソリベースのカード利用通知も、日本では海外に比べてまだまだ浸透していません。オーソリがすぐに残高に影響するデビットやプリペイドについては重視される傾向があるのですが、日本で決済の90%以上を占めているクレジットカードについてはオーソリの位置付けがあまく、まともに送られていないのが現状です。
利用通知を導入しているカード会社のクレジットカードを使っても、利用先の業態によっては金額制限などがあり利用者に通知がこない場合もあります。加盟店にはぜひ100%オーソリを送っていただきたいと思います。
また日本では、イシュアとアクワイアラを同じカード会社が担っているオンアス取引が多く、国際ブランドのネットワークを通らない取引、もしくは、ブランドルール外の取引が成立してしまっている。ライアビリティシフトも、本来はイシュアと加盟店の間で起きることなのですが、うやむやになっているケースもあると聞いています。
さらに日本には、JIS2、FeliCa、コード決済などの独自仕様が存在しており、それぞれへの対応が必要です。先ほどから申し上げているとおり、オーソリが送信されないオフライン取引も多い。洗い替えで対応できるという考えでマルチアクワイアリングをしている加盟店も多いのですが、これだけ海外のカードが登録されている状況下では、洗い替えでカバーできる範囲は限られています。
このような独自事情に対応しなければいけない日本のカード会社、加盟店と、カード利用通知や3-Dセキュアでシンプルに不正対策を実行できる海外諸国を比較したときに、犯罪者の目から見てどちらがアタックしやすいかは、言うまでもありません。
クレジットカードの与信枠の問題もあります。デビット、プリペイドでは残高の範囲でしか決済できませんが、クレジットカードをつくった瞬間に、何十万円という与信枠がつきます。海外ではクレジットカードというと通常リボ払いのカードを指しますので審査も厳しいですが、それと比べると日本のイシュアは審査があまい。加えて、加盟店の独自仕様に対応しなければならないという事情もあるので、日本は狙われやすい。3-Dセキュアの義務化などの不正対策を行ったとしても、しばらくは日本のカード会社が不正のターゲットであり続けることに変わりはないだろうと見ています。
100兆円を超えるクレジットカード取引額のうち、不正利用被害額は540億円(JCA公表数値)。比率にすると0.05%です。この割合は、3-Dセキュアを義務化しているヨーロッパと比較すれば少し高いですが、アメリカや、世界全体と比較するとそれほど高くはありません。ですが100兆円という数字が増えていけば、不正被害も増えていくでしょう。基本的な対策から徹底して行っていくことが必要です。
犯罪は年々巧妙化
目立たず長期間繰り返す手口が増加
不正対策のポイントの2つ目として、今注目されている具体的な方策を紹介します。
3-Dセキュアと不正検知はどう違うのか、どちらの対策をとればいいのかという質問をよく受けます。3-Dセキュアは、認証の技術です。同じく認証の方策として、FIDO(First Identity Online)があります。パスワードを使わず生体認証で本人認証を行う方法です。Google、Apple、マイクロソフトなどを使うとき、パスキーの入力を求められることがあると思います。そのパスキーがスマートフォンもしくはPCで登録した生体認証と紐づいていれば、パスワードを入力する必要なく、スマートフォンとPCの間でパスキーにより認証できるというものです。
FIDOは、生体認証の普及を見込み、それを使った独自の認証技術を世界に広めるために設立された認定機関です。これまで普及はなかなか進みませんでしたが、Google、Apple、マイクロソフトが導入したことによって一気にメジャーになりつつあります。
EMV CoもFIDOと同じ、認証技術の認定機関です。この認定を得るために、日本のベンダーはとても苦労してEMV Coが作成した英語の仕様書を読み解いていることと思います。このあたりも日本の3-Dセキュア普及の足かせになっているといえます。
認証というのは、登録された情報と同じかどうかを確認するもので、不正対策のひとつではありますが、新たな不正を見つけることはできません。一方の不正検知の方策として、わかりやすいものは、ブラックリストの活用です。過去に不正に関与したクレジットカード情報、IPアドレス、デバイス、携帯電話番号、eメールアドレス、配送先などの情報を照合して、怪しい取引をブロックするという方法です。ほかに、購買行動の分析や、AIを活用した自動検知などの方法もあります。
犯罪は巧妙化しています。かつては一度に多額の不正を働くケースが多く見られましたが、犯罪者としては発見されるとまた次の手法を開発しなければならないので、最近は一度開発した手法を使って目立たないように少額の不正を長期間にわたって繰り返すケースが増えています。
現金化する方法にしても、不正に入手したものを転売するという単純なものだけでなく、正規の注文に対して不正を働くという手口も登場しています。たとえば犯罪者が、格安のフードデリバリーのアプリを立ち上げる。客がそのアプリで注文すると、モノは正常に届きます。ところがそのアプリが裏側で何をしているかというと、客が入力したカード情報を使わずに、不正に入手したカード番号で正規のフードデリバリーにオーダーをかけている。そのときには問題なくオーソリを通過するのでオーダーが成立しますが、後々番号を盗用されたカードの持ち主が「使っていない」と申し出ることによって、最終的にチャージバックの対象になるのです。こういった手口は旅行、チケットなどでも使われています。
3-Dセキュアを導入したうえで
不正検知対策を講じることが必要
3つ目は、おそらく今、皆様の最も大きな関心事となっているEMV 3-Dセキュアです。
