2025年5月18日8:00
40年以上、決済プラットフォーム「CAFIS」を展開してきたNTTデータが、非対面クレジット決済における不正利用動向の最新情報をレポート。合わせて、新たな認証手段であるパスキーが3-Dセキュアをどう変えていくのか、また、パスキーを活用した不正利用対策について紹介する。(2026年3月17日開催「ペイメント・セキュリティフォーラム2026 Spring」の講演より)
株式会社NTTデータ ペイメント事業本部 ペイメントプラットフォーム事業部
開発統括部 サービス開発担当 課長代理 川口 史恵氏
対面決済からEC決済へ、
変化する不正手口と本人確認方法
NTTデータは「CAFIS」という決済ネットワークサービスを提供しております。「CAFIS」は1984年のサービス開始以来、40年以上にわたり、日本のクレジットカード決済を支えてきた決済プラットフォームです。
これまでの「CAFIS」の不正利用対策の取り組みを振り返ってみます。1990年代には、磁気カードの偽造による不正が非常に多く発生していました。こうした状況を受け、「CAFIS」ではICカード取引への対応を進めることで、偽造されにくいクレジットカード決済環境の普及に貢献してきました。こうしたICカード化の進展に伴い、偽造カードによる不正利用は徐々に減少していきました。
一方で近年は、不正利用の手口が偽造カードから番号盗用へと移行しています。こうした変化に対応するため、「CAFIS」では3-Dセキュアや属性・行動分析など、非対面決済における不正利用対策を支援するセキュリティソリューションを提供しています。
クレジットカード取引における本人確認方法も、不正手口の変化に合わせて変わってきました。磁気カードが主流だった時代には、決済時に直筆のサインが求められていました。その後、ICカードの普及に伴い、現在の実店舗におけるカード決済では、暗証番号の入力によって本人確認を行う方法が一般的になっています。磁気カードは偽造されるリスクがあり、サインも第三者に真似されるおそれがあったことから、偽造されにくいICカードと、本人しか知り得ない暗証番号を組み合わせた本人確認へと移行してきました。
その結果、実店舗における偽造カードの不正利用は徐々に減少してきました。一方で、EC決済の拡大とともに、カード番号・有効期限・セキュリティコードなどを悪用する番号盗用の被害が課題となっています。こうした非対面決済において、より強固に本人確認を行う仕組みとして導入が進められてきたのが3-Dセキュアです。
今後は、この3-Dセキュアによる本人確認の安全性と利便性を、実店舗でのICカードと暗証番号による本人確認に近い水準まで高めていくことが、われわれが取り組むべき大きな課題だと考えています。
ここで、3-Dセキュアの仕組みを簡単に整理します。カード会員がEC加盟店で買い物をする際、本人確認が必要と判断された場合には、カード会社が提供する本人認証画面へ遷移します。現在は、SMSなどで送信されるワンタイムパスワード(OTP)を入力する方式が多く利用されています。カード会社は、こうした認証プロセスを通じて、取引を行っている人がカード会員本人であるかを確認します。これが3-Dセキュアの基本的な仕組みです。
「CAFIS」では、この3-Dセキュアを支える各種システムを提供しています。また、3-Dセキュアに加えて、属性・行動分析やクレジットマスター対策など、非対面決済における不正利用対策を多面的に支援するソリューションも展開しています。NTTデータは、これらのサービスを通じて、お客様のペイメントセキュリティパートナーとなることを目指しています。
本講演では、決済プラットフォームの視点から、非対面クレジットカード決済における不正利用の最新動向を紹介します。あわせて、新たな本人認証手段であるパスキーの登場によって3-Dセキュアがどのように変わっていくのか、また、パスキーを活用した不正利用対策について解説します。
EMV 3-Dセキュア義務化から1年
安全性と利便性の両立に向けた運用が進展
2026年3月で、EMV 3-Dセキュアの義務化から1年が経過しました。義務化を契機に、EC市場における本人認証の導入は大きく進み、非対面決済におけるセキュリティ対策として定着しつつあります。
3-Dセキュアでは、取引内容や利用状況などに応じて、追加認証を行う場合と、追加認証を求めずに認証を完了する場合があります。これにより、不正利用リスクへの対応と、カード会員のスムーズな購買体験の両立が図られています。
NTTデータACSで取り扱う3-Dセキュア取引においても、多くの取引は認証を通過しており、3-DセキュアはEC決済における本人認証の基盤として重要な役割を担っています。一方で、不正利用の手口も変化しており、従来の対策だけでは十分に対応しきれない領域も見えてきています。
そこで本講演では、EMV 3-Dセキュア義務化後の不正利用動向を踏まえながら、今後さらに求められる本人認証のあり方について見ていきます。
3-Dセキュア義務化後に見えた効果と、
残された不正利用対策の課題
ここからは、EMV 3-Dセキュア義務化後の変化について、いくつかの論点から見ていきます。1つ目の論点は、EMV 3-Dセキュアの義務化によって、不正利用は減少したのかという点です。下のグラフでは、当社ACSにて処理した3-Dセキュアのトランザクション件数と、番号盗用による不正利用被害額の推移を示しています。
2025年3月時点の3-Dセキュアのトランザクション件数は、義務化方針発表前と比べて1.8倍に増加しました。義務化後は、番号盗用による不正利用被害額にも減少傾向が見られ、足元では2022年頃の水準に近づいています。一方で、EC市場の拡大が続いていることもあり、不正利用被害額は依然として一定の規模で発生しており、コロナ禍前の水準までは低下していません。
このことから、EMV 3-Dセキュアの普及は不正利用抑止に一定の効果をもたらしていると考えられる一方で、義務化だけですべての不正利用を抑え込めるわけではないことも見えてきます。背景のひとつとして、3-Dセキュアの利用拡大に伴い、不正利用の手口も変化していることが挙げられます。
たとえば、3-Dセキュアのリスク判定を前提とした取引や、OTP認証を狙う不正利用への注意が高まっています。3-Dセキュアは不正利用抑止に有効な仕組みですが、取引環境や認証手段の変化に応じて、継続的に対策を高度化していくことが重要です。
このように、OTPは従来の静的パスワードに比べて安全性の高い認証手段として普及してきましたが、近年はOTPそのものを狙う手口が巧妙化しています。OTPを狙う不正利用への対策として、カード会社側ではOTPの有効時間を短く設定する、送信メッセージに取引内容を明記するなどの工夫が進められています。カード会員に対して、SMSやメールに記載された内容と実際の取引内容を確認するよう促すことも重要です。
ただし、OTPそのものが第三者に取得されるリスクを完全に排除することは難しく、注意喚起だけに依存した対策には限界があります。こうした状況を踏まえると、OTPに依存しすぎない、よりフィッシング耐性の高い本人認証手段への移行が重要になっています。
非対面決済の広がりで高まる、
カード登録時の本人認証の重要性
スマートフォンのウォレットアプリや、カード情報をあらかじめ登録して利用するEC決済サービスなど、利便性の高い決済手段が広がる中で、カード登録時やサービス紐づけ時の本人認証の重要性も高まっています。
スムーズな決済体験を安全に支えるためには、決済時だけでなく、初回登録時やカード紐づけ時に、カード会員本人による登録であることを適切に確認することが重要です。これは特定のサービスに限らず、非対面でカード情報を扱うサービス全般に共通する課題といえます。
今後の非対面決済では、カードやアカウントを登録する入口の段階から、より確実な本人認証を行うことが求められます。OTPに依存しすぎない、フィッシング耐性の高い認証手段として、パスキーの活用が期待されています。
安全性と利便性の両立に向けた、
加盟店とカード会社の取り組み
次に、EMV 3-Dセキュアの義務化後における、真正取引への影響について見ていきます。EC事業者にとっては、3-Dセキュアを導入した際に、カード会員本人による取引がスムーズに完了するかどうかが大きな関心事です。
NTTデータACSで取り扱う3-Dセキュア取引では、真正取引に対する3-Dセキュアの承認率は改善傾向が見られます。これは、動的な認証手段への移行や、カード会員の3-Dセキュアに対する認知向上などにより、本人認証がEC決済の一般的な手続きとして定着しつつあることが背景にあると考えられます。
さらに承認率を高め、カード会員にとってスムーズな購買体験を実現するためには、加盟店側とカード会社側の双方の取り組みが重要です。加盟店側では、不正ログイン対策や属性・行動分析などの「線の対策」を進めることで、不正利用につながる兆候を早期に検知・抑止することが有効です。
一方、カード会社側では、成功率が高く、カード会員にとって使いやすいチャレンジ認証手段を導入することが重要です。2026年3月に改訂されたクレジットカード・セキュリティガイドラインでも、EC加盟店における不正ログイン対策の本人認証・認証強化策のひとつとして、パスキー認証が追記されています。
ここまで、前半の要点を整理します。EMV 3-Dセキュアの義務化により、非対面決済における本人認証の導入は大きく進みました。一方で、不正利用の手口も変化しており、OTP認証を狙う手口などへの注意が高まっています。
また、スマートフォンのウォレットアプリや、カード情報をあらかじめ登録して利用するEC決済サービスなど、利便性の高い決済手段が広がる中で、決済時だけでなく、カード登録時やサービス紐づけ時の本人認証も重要になっています。
3-Dセキュアの効果をさらに高め、安全性と利便性を両立するためには、加盟店側では不正ログイン対策や属性・行動分析などの「線の対策」を進めること、カード会社側では成功率が高く、フィッシング耐性のあるチャレンジ認証手段を導入することが求められます。
後編は明日紹介
■お問い合わせ先
株式会社NTTデータ
ペイメント事業本部ペイメントプラットフォーム事業部
CAFISサービスランナップ
URL:https://www.nttdata.com/
