2022年4月14日8:30
国内のクレジットカード取引では、対面のICカード化、非対面の不正利用対策が進められている。コロナ禍の中、非対面の取引が増加しているが、それに伴い不正被害も増加している。また、クレジットカード会社をかたるフィッシング被害も見受けられる。今後は導入が広がるQRコード決済の不正防止も求められるだろう。
カード不正のターゲットは業界全体に
不正の手法も多様化・巧妙化
世界的な不正の動向として、1980年代は個人を中心とした犯罪が多かったが、1990年代には組織的犯罪の人数が増え、2000年代はデジタル犯罪が横行。2010年代は、グローバルでのカード不正が大幅に増加した。弊社発刊のレポート「カード不正の将来展望」によると、2000年代は「カード詐欺師の一部は、分散型組織を超えたグローバル犯罪組織へと拡大を図っている」とされている。カード不正のターゲットは、ペイメント業界全体に及んでいる。また、グローバルベースで口座乗っ取りによる銀行口座、インターネットバンキング、モバイルバンキングがターゲットとなっている。
日本でも個人へのフィッシングメールが送られるなど、不正の手法も多様化・巧妙化している。フィッシング対策協議会によると、2021年のフィッシングサイトの報告件数は年間50万件を突破し、その被害は続いている。
日本でのクレジットカードの不正利用の被害額は、2018年が235.4億円、2019年が274.1億円、2020年が253億円となっている。中でも番号盗用をみると、2018年が187.6億円、2019年が222.9億円、2020年が223.6億円と増加している。2021年は1月~9月まで発表されているが223.9億円となり、すでに2020年を上回っている。番号盗用被害額は前年対比で140%となり、第4四半期では被害額が増加する傾向にあることから、被害額は年間300億円近くに上る可能性もある。
※日本クレジット協会の発表によると、2021年のクレジットカード不正利用被害額は約330億円に達した。
不正利用の国内の動向として、日本では、2015年にクレジット取引セキュリティ対策協議会が設置された。2016年2月には「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」が公表されたように、国を挙げて不正利用対策が進められてきた。同実行計画では、①クレジットカード情報保護対策、②対面取引における不正利用対策(偽造カード防止対策)、クレジットカード偽造防止による不正利用対策、③非対面取引における不正利用対策(なりすまし防止対策)の3本柱に分けられた。その結果、加盟店を中心にICカード取引は大きな進展が見られた。また、以前はICチップのないカードを発行するクレジットカード会社もあったが、ICチップを搭載したカードを発行したり、切り替えている。その結果、偽造カード被害額は、2019年の17.8億円から、2020年は8億円まで減少。2020年3月、同協議会では、実行計画後の取り組みとなる「クレジットカード・セキュリティガイドライン」を公表している。
「情報漏洩」と「不正注文」が顕在化
加盟店の経営に直結するケースも
対面のカードセキュリティ対策は前進したが、前述のように不正利用の手口は巧妙化、組織化、多様化しており、国内の不正利用被害は増加している。新型コロナウィルスの感染拡大により、非対面取引が増えていることもあり、その対策はより重要となる。実際にペイメントカード・セキュリティフォーラム2022でのMastercardの講演によると、国際的に見て、日本の加盟店における不正利用比率は、ほかの国・地域と比較して突出して高くなっているそうだ。なおかつほかの国・地域はやや減少傾向にあるのに対し、日本はまったく減っていないという。
国内の非対面加盟店の不正リスクとして、「情報漏洩」と「不正注文」が挙げられる。具体的に、攻撃者はECサイトの脆弱性などの不具合を突いて、本来は第三者が取得できないはずの個人情報やクレジットカード情報を不正に取得する。この情報を利用して他のサイトで購買を行い、商品を換金・転売している。加盟店から身に覚えのない請求があったユーザーは、クレジットカード会社にその旨を申告し、クレジットカード会社は加盟店に対して、支払い拒否もしくは代金返済請求を行うチャージバックを行うため、最終的に大きな損失を加盟店が被るケースが出てきている。
また、サイトでいったん不正利用が発生すると再度狙われるケースが多く、被害が増える傾向にある。不正利用が発生している加盟店は、クレジット決済を停止し、銀行振り込みや代引といった手段を使って決済することになるため、売り上げが減少する可能性もある。
クレジットカード・セキュリティガイドラインでは、加盟店はカード情報非保持化(同等相当を含む)、もしくはカード情報を保有する場合にはPCI DSS準拠が求められる。現状、数多くの加盟店はカード情報の非保持化を選択しており、決済代行会社にカード情報を預けている。しかし、カード情報の漏洩は後を絶たない。その理由として、加盟店の非保持化が進む一方で、ECサイトの設定不備などを狙って侵入し、サイトを改竄して摂取する事件が起きているからだ。例えば、ECサイトの編集画面に不正なスクリプトを1行埋め込むだけで、ユーザーが気づかないうちにカード番号や有効期限、セキュリティコードといった入力情報を抜き取られてしまう。また、偽のECサイトへの誘導を行わなくても、正常な決済画面の裏でJavaScriptなどを用いて、入力された内容がそのまま攻撃者に転送される手口が見受けられる。ecbeingによると、レコメンド、チャット、MAなどの機能を担う外部ツールにも危険が潜んでいるとした。
3-Dセキュア2.0の普及に期待
高リスクの取引にのみ追加認証を要求
経済産業省は2019年、サイト構築パッケージ「EC-CUBE」の脆弱性に関する注意喚起を行ったが、オープンソースが攻撃者のターゲットの1つになっていると指摘する声もある。今後は、サイトを常に最新のプログラムに保つとともに、海外からのIP制限の設定、ワンタイムパスワードなどを活用した2要素認証、ログイン確認メールなどによる2段階認証といった対策を強化する必要があるだろう。
また、「不正注文」は、第三者が他者のクレジットカード情報などを使用して商品やサービスを購入することだ。具体的には、ウィークリーマンションや転送サービス、空き室など、不正な手口を使った注文が行われている。かっこによると、最近増えている手口として、フリマアプリが挙げられ、日用品や数千円の商品が狙われやすい傾向があるという。通常の購入者は、フリマアプリで本人の住所や名前を入力し、商品を購入。不正者は購入者の属性情報を使って、かつ盗んだ情報を用いて、正規商品を販売する公式サイトで商品を購入し、フリマアプリの購入者に届ける。フリマアプリ購入者は、公式サイトから荷物が届いたので不審だと思いながら、不正者に支払いを行ってしまう。一方、公式サイトへの支払いは、他人のクレジットカード情報で行われているため、チャージバックとなり、代金を負担するのはEC事業者となる。不正者は、足がつきにくく、在庫を持たずして利益を上げられる手口だ。
クレジットカード・セキュリティガイドラインでは、不正注文への対応として、コロナ禍において、オーソリゼーション処理の体制整備と加盟店契約上の善管注意義務の履行、加盟店のリスクや被害発生状況等に応じた4方策をベースにした加盟店への不正利用対策の導入を求めている。「本人認証」「券面認証(セキュリティコード)」「属性・行動分析(不正検知システム)」 「配送先情報」の一定の効果が得られる方策だ。加盟店のリスクや被害状況に応じた方策の導入指針として、①「全ての非対面加盟店」は、加盟店契約における善良なる管理者の注意をもって不正利用を防止するとともに、オーソリゼーション処理の体制を整備、②「高リスク商材取扱加盟店」は、「デジタルコンテンツ(オンラインゲームを含む)」「家電」「電子マネー」「チケット」を主たる商材として取り扱う加盟店を「高リスク商材取扱加盟店」とし、不正利用対策の4つの方策のうち1つ以上の導入を求める、③不正顕在化加盟店は、カード会社(アクワイアラ)各社が把握する不正利用金額が「3カ月連続50万円超」の加盟店には不正利用対策の4つの方策のうち2つ以上の導入を求める、となっている。 また、これまでは換金性の高い商材の不正が多かったが、近年では宿泊予約サービスの不正利用被害が急増しているため、高リスク商材にしている。
本人認証の対策では、3-Dセキュアの普及に期待したい。これまでの3-Dセキュア1.0では、全取引に対して追加認証を要求しており、いわゆる“カゴ落ち”リスクが増大し売り上げ減につながるとの危惧から、大手ECモールなど加盟店での導入が進まなかった。バージョン2となるEMV 3-D Secure(3-Dセキュア2.0)では、“カゴ落ち”リスクを極力回避するために、危険性の高い取引のみに動的パスワードもしくは生体認証による追加認証を求めるリスクベース認証を採用するため、利便性とセキュリティを享受できると期待されている。2021年10月にAmerican Express、JCB、Diners、Mastercard、Visaで3-Dセキュア1.0の閉塞に向けたプログラムが進行しており、今後は国内での導入が進む可能性もある。実際、クレジットカード・セキュリティガイドラインでも3-Dセキュアの導入を強く求めている。今後、大手モールなど国内のECサイトで採用が進めば、有効な対策として導入が加速しそうだ。
また、不正検知サービスを導入する加盟店も増えている。これは、ルールやデータベースなどを活用し、不正注文を早期発見・防止することによって、チャージバックや代金未回収といった加盟店の金銭的損害を回避するものだ。国内で提供されているサービスには、CAFIS Brain、O-PLUX、ASUKA、ReD Shield、siftなどがある。
また、加盟店だけではなく、イシュア(カード発行)側の不正検知システムの高度化も注目されている。例えば、クレディセゾンやジャックスでは、AIを活用し、常に最新の不正手口を学習し続けることで、攻撃者側の変化にスピーディに対応し、高い精度で不正利用を抑制する取り組みを行っている。また、大日本印刷は、ネットワーク上でクレジット決済の不正利用を検知・判定するリスクベース認証において、不正利用された機器の情報をエポスカード、エムアイカード、ジェーシービー、トヨタファイナンス、三菱UFJニコスといったクレジットカード会社と共有する取り組みを行っており、参画企業間での情報共有を進め、なりすましなどによるクレジットカードの不正利用の抑止効果拡大につなげている。さらに、LexisNexis Risk Solutions のように、ユーザーが持つさまざまな行動の癖やパターンを固有データとして扱い、ユーザー操作の特定や計測を行うことができる企業も注目されている。
今後は仮にカード情報を盗まれた際に被害の拡大を防ぐ有効な方法として「トークン」の採用にも注目したい。Visaなどの国際ブランドでもトークンに力を入れており、特定の加盟店でしか使えないトークン、一部のデバイスでしか使えないトークンを発行することも可能だ。トークンの活用により、セキュリティレベルの向上に加え、多様な機能を顧客に提供するケースが増えると思われる。
磁気ストライプ廃止の動き
QRコード決済などの不正対策も
クレジットカードの偽造防止は、前述のように成果が生まれてきている。各イシュアのICカード搭載が進み、加盟店のICクレジットカード端末の導入も一般的となった。カードのIC化率、CCT端末のIC対応率も100%に近づいてきている。さらに、POSシステムでクレジットカード決済を行っている加盟店もIC対応を推進している。今後は、非接触のタッチ決済の普及とともに、磁気ストライプ廃止の流れに進むかもしれない。例えばMastercardは、クレジットカード券面の磁気ストライプの廃止をアナウンスしており、2033年までに磁気ストライプ付きカードがなくなるため、磁気ストライプの情報が盗まれる被害はさらに減少すると思われる。
なお、日本固有の商慣習や業務特性、端末の設置環境等により国際的なセキュリティ基準に完全準拠させることが現状困難な特定業界向け(ガソリンスタンドに設置の精算機(ガスPOS)/オートローディング式自動精算機)のIC対応に関しては、代替コントロール策による暫定的なIC対応の指針を示し、関係事業者が対応を実施している。ガソリンスタンドに設置する精算機については、「国内ガソリンスタンドにおけるICクレジットカード取引対応指針」、また、オートローディング式自動精算機については、「オートローディング式自動精算機のIC対応指針と自動精算機の本人確認方法について」がまとめられた。
ここ数年は、クレジットカード以外にも決済手段が多様化している。特に、近年は、コード決済サービス事業者やECモール事業者、さらに、それらの事業者から委託を受けて大量のクレジットカード番号等を取り扱う事業者など、プレイヤーも増えており、それぞれの対応が求められる。
さらに、技術の進展、スマートフォンといったスマートデバイスの普及等により、コード決済等新たな決済サービスが登場。一方、技術整備の遅れから、決済サービス事業者や銀行のセキュリティの脆弱性を狙ったクレジットカードの不正利用事案が発生している。
2019年は、PayPayのコード決済サービスに不正に入手したクレジットカード情報が登録され不正利用されたことが問題となった。経済産業省は、コード決済事業者等に対して、キャッシュレス推進協議会が取りまとめた「コード決済における不正流出したクレジットカード番号等の不正利用防止策に関するガイドライン」などの遵守、セキュリティレベルの向上を要請した。また、2020年下期は、NTTドコモの「ドコモ口座」の不正利用が発生。同不正利用は、第三者が銀行の口座番号やキャッシュカードの暗証番号等を不正に入手し、ドコモ口座に銀行口座を新規に登録することで起きたものだ。犯罪者は、被害者の名前、口座番号、暗証番号を入手して、不正を行った。キャッシュレス推進協議会では2020年9月、「コード決済における不正な銀行口座紐づけの防止対策に関するガイドライン」を公表し、他人の銀行口座が不正に紐づけされ、銀行口座の名義人の残高が利用される不正に対しての対策を示している。また、2022年1月19日には「eKYC 導入指針」を公表している。さらに、2022年度中には、キャッシュレス決済サービス、ECサイトなど、不正利用に関連する情報を事業者間で共有できるデータベース「CLUE(Cross-referencing List of User’s Encrypted data)」を構築する予定であり、NTTドコモ、KDDI、コモニー、ファミマデジタルワン、LINE Pay、楽天ペイメントが参画を予定している。
カード決済&リテールサービスの強化書2022より