2025年4月28日8:00
一般社団法人サイバーセキュリティ連盟は、2025年4月22日、「ECの5大脅威に立ち向かう!『クレジットカード・セキュリティガイドライン【6.0版】』に基づく対策解説セミナー」をオンラインで開催した。一般社団法人日本クレジット協会が、最新の『クレジットカード・セキュリティガイドライン【6.0版】』の改訂ポイントを中心に解説したほか、警察庁がキャッシュレス社会の安全・安心の確保に向けた取り組みについて紹介した。
不正利用被害額555億円に、
9割以上がクレジット番号盗用
日本クレジット協会に事務局を置くクレジット取引セキュリティ対策協議会は、「国際水準のセキュリティ環境」を整備することを目的として、クレジット取引に関わる幅広い事業者及び行政等が参画して2015年に設立され、2020年4月から、「クレジットカード・セキュリティガイドライン」を策定し、改訂を実施している。
今回の改訂のポイントについて、一般社団法人日本クレジット協会業務部エグゼクティブフェローの島貫和久氏とセキュリティ対策統括マネージャーの中村裕成氏が解説した。
日本クレジット協会によると、クレジットカードの不正利用被害の発生状況は2020年以来右肩上がりに増加している。2024年の不正利用の被害総額は555億円となり、そのうち513億円超がクレジットカード番号の盗用による被害だった。被害の発生の増大に対応したガイドラインの主な改訂ポイントは、「EC加盟店におけるカード情報保護対策への指針対策の追加」「EC加盟店における不正利用対策への指針対策の追加」「不正顕在化加盟店・高リスク商材取扱加盟店における指針対策の変更」「MO・TO取扱加盟店における指針対策の変更」などだ。
カード情報の非保持化や、カード情報を保持する場合は「PCI DSS」に準拠するといった現指針対策を継続する一方で、追加指針対策として、システム管理画面のアクセス制限や管理者のID・PW管理など、EC加盟店のシステムおよびWebサイトの「脆弱性対策」の実施を盛り込んでいる。
不正利用被害額のうち、9割以上がEC加盟店における「なりすまし」の不正利用だ。クレジットマスターにより生成したカード番号やカード情報漏えい、フィッシングにより窃取したカード情報、アカウント(ID)・パスワード、属性情報等を使用して、カード決済時のカード不正利用のほか、カード決済前の場面では、不正なアカウント登録や本人になりすまして不正ログインをする手口により行われている。
不正利用被害額の上位加盟店においては、約7割が「ログイン」必須としていることから、不正ログイン防止のために「カード決済前」の対策が重要で、不正利用がされる「カード決済時」、商品の配送・転売がされる「カード決済後」の対策とともに、「カード取引の流れ」に沿って、各場面を考慮した適切な対策導入が必要だ。この「線の考え方」に基づき、カード決済前の「不正ログイン対策の実施」とカード決済時の「EMV3-Dセキュアの導入」を軸に適切な対策導入により不正利用被害防止の実効性を高めることを促している。
EC加盟店は、EMV 3-Dセキュアを導入した上で、原則としてパターン③「決済の都度、EMV 3-Dセキュアによる認証の実施」を求める。なお、例外的にパターン①およびパターン②の運用も認められている。なお、例外的にEMV 3-D セキュアの未導入が認められる取引もあるが、不正顕在化加盟店となった場合等においてはEMV 3-D セキュアの導入が必要だ。
また、加盟店は、カード会社(イシュア)におけるリスクベース認証(RBA)の精度向上のため、自社の取扱商品や不正利用の被害状況などの実態を踏まえ、カード会社に、より多くの情報提供(AReq設定項目)や提供する情報を適宜見直せるよう、体制を整え情報提供することが求められる。
カード会社においては、自社カード会員のEMV 3-Dセキュアの導入、および登録情報の最新化、リスクベース認証(RBA)の精度向上、システムの安全稼働などが求められる。
官民連携で対策強化へ、
安全・安心の確保に向けた取り組み
キャッシュレス社会の安全・安心の確保に向けた取り組みについては、警視庁サイバー警察局サイバー企画課サイバー事案防止対策室長の根本農史氏がプレゼンテーションした。各界の有識者が官民連携した被害拡大等の推進に関し議論する「キャッシュレス社会の安全・安心の確保に関する検討会」の報告書の概要などを説明した。
