2024年12月17日7:50
適切に運用すれば、3-Dセキュアは「かご落ち」を発生させないばかりか、利益最大化の実現につながる――。40年来、不正対策に取り組んできたNTTデータが、3-Dセキュア導入にあたってのポイントを伝授する。(2024年10月25日開催「ペイメント取引セキュリティ対策セミナー2024」株式会社NTTデータ カード&ペイメント事業部 プラットフォーム統括部 ペイメントインフラ担当 課長代理 川口史恵氏の講演より)【PR】
サービス提供開始から40年
CAFISの歴史は日本の不正利用対策の歴史
CAFISは1984年のサービス開始以来40年にわたり、日本のクレジットカード決済を支えてきたプラットフォームです。クレジットカード決済の発展を牽引し、国内カード会社、加盟店のさまざまなビジネスをサポートしてきました。
日本のクレジットカード不正利用被害件数の推移とその内訳を見ますと、1990年代は偽造カードによる不正利用が大半を占めていました。これに対してクレジットカード各社は業界を挙げて、当時磁気カードが主流だったクレジットカードをICカード化することによって偽造カードによる不正を抑止し、減少させてきました。この流れの中でNTTデータは2000年代にCAFISのIC対応の取り組みを開始し、ICカード取扱可能な端末を普及させ、世の中のICカードの割合を増やすことに貢献しました。
2010年代に入りICカードの普及が進むと、不正利用手口は偽造カードから番号盗用にシフトしていきます。EC決済の増加も相まって、不正利用の件数も増大。現在、この番号盗用に対して、カード会社、加盟店が対策に尽力する中、弊社も3-Dセキュアや不正検知のソリューションの提供を通じて、目下不正利用対策を強化している最中です。
ちなみに弊社では、EMV 3-Dセキュアについては2019年からサービス提供を開始していますが、2000年代初頭の、各ブランドがそれぞれ独自に展開していた3-Dセキュアの時代から3-Dセキュア認証サービスを提供しており、それを含めるとCAFISの3-Dセキュア対応には20年近い歴史があります。そのため、対面決済、非対面決済を含め、CAFISの歴史イコール、クレジットカード不正利用対策の歴史といっても過言ではありません。
3-Dセキュアとは、イシュアドメイン、アクワイアラドメイン、相互運用ドメインの3つのドメインで情報をやり取りしてクレジットカード決済の安全性を高める仕組みです。NTTデータはこの3つすべてのドメインにかかわり、ソリューションを提供しています。
アクワイアラドメインに関しては、3DSサーバーとしてCAFIS 3DS Connectorというソリューションを提供しています。また、3-Dセキュアのスキーム外ではありますが、加盟店向けの不正対策ソリューションとして、CAFIS Brainを提供しています。イシュアドメインに関しては、イシュアの代行でカード会員の本人認証を行うアクセスコントロールサーバー(ACS)として、CAFIS BlueGateユーザー認証サービスというソリューションを提供しています。相互運用ドメインに関しては、オーソリゼーション処理の中で、主にクレジットマスター攻撃などの対策を行うCAFIS Transaction Managerというソリューションを提供しています。
不正利用対策は、今やカード会社だけに求められるものではなく、クレジットカード決済に関わるすべての関係事業者(カード会社、加盟店、PSP)に求められています。弊社はそのすべてのステークホルダーと接点のあるプラットフォーム事業者であるという立場を生かして、多面的な角度から不正検知、不正抑止をとらえ、持てる知見やノウハウをお客様に提供することに尽力していきたいと考えています。
技術の進化とユーザーの慣れによって
「かご落ち」リスクはますます減少
従来の3-Dセキュアでは、決済開始時にECサイトから別画面に遷移し、毎回パスワード入力を求められるため、購入者がパスワードを覚えていないなどの理由で購入をあきらめてしまう「かご落ち」が多発するという課題がありました。EMV2.0以降の3-Dセキュアでは、ECサイトから連携される取引に関する情報や購入者のデバイス情報などをもとに、不正利用であるリスクが高いか低いかをリスクベース認証で評価した後、リスクが高いと判定された取引にのみ追加の本人認証(チャレンジ認証)を求めることとしました。これにより、従来の3-Dセキュアに比べて「かご落ち」のリスクが低減しました。
同時に、パスワード忘れによる「かご落ち」や、フィッシング等による漏洩の心配があったIDとパスワードによる静的認証から、ワンタイムパスワード(以下、OTP)による動的認証に変化したこともEMV2.0以降の3-Dセキュアの大きな特徴のひとつと言えるでしょう。
現在、EMV 3-Dセキュアは2025年3月の義務化に向けて、PSPや加盟店での導入が進んでいます。弊社のACSで取り扱ったトランザクション数を見ても急激に増加しており、今年度中に大型の加盟店が導入する予定もあるため、トランザクション数は今後さらに伸びる見込みです。3-Dセキュアのトランザクション数が増加することで期待される効果として、1つには購入者が3-Dセキュアに慣れることによる「かご落ち」の減少が挙げられます。2つ目として、トランザクションが増えることは、すなわちリスクベース認証のベースとなる学習データが増えることを意味しますので、認証の精度が高まることが期待できます。
PSPや加盟店にとっては、認証の結果が一番の関心事だと思います。もちろん認証する側のカード会社のポリシーや、認証を要求する側の加盟店の業種や商材によって割合は変わってきますが、弊社のACSで取り扱っているトランザクション全体の傾向では、4割がチャレンジ認証なしで認証OKとなる、いわゆるフリクションレスとなっています。また、以前より増加傾向にありますが、チャレンジ認証が実行される取引が4割強で、そのうち90%近くが認証に成功しています。認証に失敗した残り10%の中には、チャレンジ認証により抑止された不正疑いのある取引と、「かご落ち」が含まれています。
4割にチャレンジ認証が求められるというのは、世界的に見ても決して高い数字ではありません。欧州などではチャレンジ認証遷移率が5割以上の国や地域もあると言われています。
チャレンジ認証がどのような方法で行われているかというと、95%が動的認証で、その多くがSMSによるOTPです。静的パスワード認証とSMS-OTP認証の場合の認証成功率を比較してみると、SMS-OTP認証の認証成功率が10%近く高くなっています。こういったデータからも、3-Dセキュア導入にともなう「かご落ち」のリスクが軽減していることがうかがえます。今はSMS-OTP認証が主流となっていますが、今後は生体認証の導入などにより、よりユーザビリティを向上させ、「かご落ち」を減少させることができると考えています。
弊社のACSでは、2025年春より新たなチャレンジ認証手段としてパスキー認証を開始します。FIDOの規格に則ったもので、購入者のスマートフォンやPCに搭載された生体認証機能を使い、よりセキュアかつユーザーフレンドリーな認証を実現します。これまではチャレンジ認証を行う際、ユーザーにて、画面をSMS受信画面に切り替える必要があり、そのタイミングでブラウザを閉じてしまうなど、ユーザーが意図しない「かご落ち」が発生してしまうことがありましたが、パスキー認証ではECサイトを表示しているブラウザ上でそのまま生体認証が起動するため、チャレンジ認証でありながら限りなくフリクションレスな購買体験を提供できると考えています。パスキー認証基盤自体も弊社のACSのオプション機能として提供するため、カード会社の生体認証導入ハードルの低減にも貢献できると考えております。
チャレンジ認証を減らすには
より多くの情報連携が必要
続いて、EMV 3-Dセキュアの活用実態をご紹介します。EMV 3-Dセキュア2.2以降、加盟店からのチャレンジ認証を要求するフラグが追加されました。このフラグを実際に設定している加盟店は全体の半分、5割ぐらいなのですが、設定している加盟店のうち16%が、「チャレンジ認証を要求する」とリクエストしています。
不正利用の発生が多い業種、不正犯に狙われやすい業種としては、家電、電子マネー、チケット、デジタルコンテンツ、宿泊予約サービス、旅客鉄道サービスなどが挙げられます。配送をともなう商品であれば配送先の情報で不正を検知することができますが、たとえばデジタルコンテンツにはその情報がなく、リスクベース認証で不正者と真正者を見分けることが困難です。なおかつ転売商材ですので、狙われやすく、実際に不正利用が多く発生しているため、チャレンジ認証率が高めに設定されたり、加盟店がチャレンジ認証を要求したりするケースが多くなっています。宿泊予約サービスや旅客鉄道サービスのようなチケット系も転売商材なので、不正犯に狙われやすく、そういった商材を扱う加盟店では、チャレンジ認証が多くなってしまうことが想定されます。
しかしながら、チャレンジ認証では、約1割の「かご落ち」が発生します。では、どうすればチャレンジ認証遷移による「かご落ち」を抑えることができるのでしょうか。
チャレンジ遷移率が高くなる背景には、不正利用手口の高度化・多様化があります。それによって不正リスク判定の難易度が高まっているのです。たとえば、従来の不正取引では、海外からのアクセスや高額な決済などの不正の傾向がありましたが、それらのチェックをかいくぐってフリクションレスに遷移することを狙った手口が増加傾向にあります。具体的には、IPアドレスを詐称したり、国内に大勢の買い子を雇って低価格帯の決済を大量に行い、それを1カ所に集めて海外に転売したりする不正手口などです。それらの不正を検出するにはもっと多くの情報を集める必要があるのですが、3-Dセキュアを導入しているEC加盟店の多くは3-Dセキュアの必須項目のみを連携しているため、情報が不足しています。リスクベース認証で判定しきれないものはチャレンジ認証に頼らざるを得ないのが現状です。
「かご落ち」を減らし、加盟店にとっての3-Dセキュアの効果を最大化するためには、イシュアだけでなく、加盟店やPSPの協力が必要です。1つ目の対策としては、3-Dセキュアにて連携する項目を拡充して、今よりももっと多くの情報が蓄積されるようご協力いただきたいと考えています。
※セミナーではこのあと項目に関する説明あり。
また、2つ目の対策としては、セキュリティ対策協議会のクレジットカード・セキュリティガイドラインに則り、3-Dセキュアの活用をしていただくのがよいと考えています。適切なセキュリティ対策を施し、3-Dセキュアの機能を最大限に活用することで、不正利用を減らすとともに、3-Dセキュアによる「かご落ち」リスクを低減することができます。その結果として、加盟店の利益の最大化を図ることが可能となります。
■お問い合わせ先
株式会社NTT データ
ペイメント事業本部
カード&ペイメント事業部
URL:https://www.nttdata.com/jp/ja/contact-us/
