2022年9月6日9:00
国際決済ネットワークのMastercardでは、決済セキュリティ強化に力を入れている。2022年7月19日に開催した「決済セキュリティセミナー2022」では、Mastercard サイバー & インテリジェンス ソリューションズ ディレクター 丸山 秀幸氏とデータ&サービス ディレクター 片山 えりか氏が登壇し、グローバルや国内の不正の動向について説明し、3Dセキュア、トークン、ネットワーク上の不正検知等の不正強化の必要性について述べた。また、これまでMastercardが世界的にサイバー防衛とインテリジェンスの強化に注力してきた実績に続く取り組みを紹介した。
(1)最新の国際的な不正利用の動向について
番号盗用の被害が約9割まで増加
国内でも不正者の犯罪収益への危機感
日本クレジット協会が2022年3月に発表した国内の不正利用のデータによると、2021年度の不正利用被害額、番号盗用による不正利用は増加しており、「eコマースにおける、不正利用および低承認率は日本においても重要な課題です」と丸山氏は話す。不正利用被害額は、2014年度が115億だったが、昨年度末は330億と約3倍になった。この間は、日本クレジット協会が中心となり、クレジット取引セキュリティ対策協議会が設置され、「クレジットカード・セキュリティガイドライン」(旧実行計画)が発表されるなど、不正利用対策を強化してきた。2016年から2020年までの実行計画では、対面取引におけるクレジットカードの不正利用対策として、クレジットカードのICカード搭載、POSやATMのICカード対応などで成果を上げた。また、非対面取引(EC、メールオーダー・テレフォンオーダー)におけるクレジットカードの不正利用対策にも取り組んできたが、番号盗用の被害が2014年は6割程度だったものが、2021年度は約9割まで増加した。情報漏洩対策では、PCI DSS準拠やカード情報の非保持化、3Dセキュアを含めた本人認証の強化が進められてきたが、番号盗用の被害は深刻な状況だ。
2022年3月には事態を重く感じた経済産業省が警察と連携する報道がなされたが、「犯罪収益になっている危機感をすごく認識されています」と丸山氏は説明する。不正利用330億円の被害額は、さらに高まると見込まれているからだ。国内では、同金額に対して、政府レベルで“犯罪対策”という目線に変わってきている。
一方で、海外では不正として報告されている金額は減ってはいないもののそれほど増えていないという。丸山氏は「これほど顕著な伸びがあるのは日本だけです」と危機感を募らせる。海外では、EUやインドのように規制を強化する地域もある。EUではPSD(Payment Services Directive)の規制があり、PSD2に改定されている。その中に、強力な顧客認証としてSCA(Strong Customer Authentication)、つまり本人認証の必須化・義務化が記載されている。インドでも国内のeコマースの不正比率が4割を超えたため、国内独自の不正利用対策として、3Dセキュアにワンタイムパスワードを加えた不正対策が行われている。
3Dセキュアの必須・義務化は必要と認識
1.0は10月17日に終了へ
丸山氏は、「個人的には国内のこの状況であれば、加盟店に対して3Dセキュア認証の必須・義務化も必要だということは言い続けているところであります」と話す。実際、政府でも不正利用に危機感を抱いているそうだ。
3Dセキュアに関しては、コンバージョン率の低下など、加盟店からのさまざまな意見があることも認識しているが、「実行計画でのICカードの発行、ターミナルの準備の際も時間とコストがかかるという意見がありましたが、2020年にほぼ100%を達成することができました」と丸山氏は語る。まずは、3Dセキュアの必須化など、スローガンを掲げることで、ICカード化により磁気取引による不正削減に成果を生んだのと同様に、非対面加盟店での不正利用者のモチベーションが下がっていくとした。例えば、取引件数ベースで4回に1回は3Dセキュアの認証が必要になると、その国での犯罪が減る傾向にある。日本では、3Dセキュアを導入する加盟店は少ないが、さらに高めていく必要があるとした。Mastercardでは、3Dセキュア1.0から2.0への移行が進められている最中だが、1.0サーバは10月17日にストップされることがアナウンスされている。また、固定のパスワードから動的な認証になることで、ボット型のアタックなどの被害を防ぐことにも期待される。
COFへの対応も重要に
CoFの加盟店でのトークン化を推奨
不正対策としては、EMV 3Dセキュア2.0に加え、登録したカード情報を利用して決済するCOF(Card on File:カード・オン・ファイル)への対応も重要となる。不正対策を行う場合、真正阻害も考慮しつつ承認率を下げる必要がある。Mastercardは、NuDataを買収したが、同社のデータによると「洗練されたアタック(sophisticated attacks)」が増えているそうだ。例えば、不正が起こった際、IPアドレスを遮断するなどしているが、これまで安心だと思われていた加盟店、過去に不正が起きていない加盟店で不正が増えている。以前は、ボット型アタック、リスト型アタックが特定の加盟店で起きていたが、現在は誰もが使う大手加盟店で不正利用が発生している。不正利用者は、その加盟店で得た情報を使い、カードの有効性・無効チェックのようなアタックを行う。オーソリは全件拒否が入るが、1回でもオーソリが通ってしまうと、その次の瞬間に別の加盟店で決済し、収益化されてしまう。イシュアは、不正利用者がボットを使っているのであれば、AIなどの技術を駆使して、対策を行わなければならない段階にきている。
犯罪者の手口が高度化、巧妙化する中、カード番号のトークン化も有効だとした。トークン化には、ネットワークトークンとPSP(Payment Service Provider)トークンの2つがある。現在、Apple Payでのトークン化が行われているが、今後は登録型加盟店、CoFの加盟店でのトークン化が推奨化されるとした。PSPトークンが、決済代行事業者などが提供するトークンと違うのは、「ネットワーク上で、カード番号の置き換えをしますので、PSPやネットワークトークンと共存するものになります。カード利用者が登録すると、その加盟店がネットワークの間を全部そのトークン番号だけがやり取りされ、元のカード番号を保管しなくていいのは、ネットワークトークンの強みです」と丸山氏は説明する。今後は、決済代行事業者が使うトークンと共有することが有効になるとした。
例えば、1つのクレジットカードの番号をスマートフォン3台に登録する場合、もしくは加盟店に登録するeコマースの番号でそれぞれ違うトークンが発行される。仮にある加盟店で情報漏洩が発生した際、他で使えないトークンになるため、セキュリティが向上する。さらに、トークンと紐づく元のカード番号もネットワーク上にあるため、PSPや加盟店で保管する必要もない。
このように、洗練された不正が起きる中、まずは基本となるEMV 3Dセキュア2.0とトークン化は推進していかなければならないとした。特にEMV 3Dセキュアに関しては今後必須化するため、早期の対策が必要になるとしている。
(2)セキュリティリスクを評価し実行可能なCyber Quant
1回の情報流出で5億円以上のインパクト
リスクの優先順位が付いた対応が求められる
Mastercardのデータ&サービスでは、グローバルで保有するデータ、サービス、ソリューション、専門知見を活用し、決済プロダクトの枠を超えた事業課題のためのサービスを提供している。日本の2012年から2020年までの不正発生率は、世界の約1.5倍を上回り、約4倍のペースで増えている。日本では、2015年、17年と段階的に増えており、フィッシングで比べたところ、日本は世界の約23倍で不正が伸びているそうだ。特に2019年から2020年で4倍となっており、フィッシングが大きな脅威となっている。2020年の日本国内の経路別情報流出報告件数をみると、フィッシングは27.2%だが、ハッキングは55%とさらに高くなった。さらに、内部不正やスキミング、盗難などがあるが、決済に至る前の被害が多くなっている。
決済セキュリティ検討時には、情報流出と不正取引の対策が必要だ。情報流出では、犯罪者がハッキングやフィッシングなどで不正取引に用いるカード情報、あるいは個人情報を手に入れるのを防ぐため、サイバーセキュリティリスクへの対応を高めることが重要だ。IBM「2019 Cost of a Data Breach Study」によると、1回の情報流出コストは約5億円になると見積もられている。アメリカではさらに2倍の約11億円と試算された。
国際的な標準として、米国国立標準技術研究所(NIST)のフレームワークでは、リスクマネージメントの際、IT担当者が現場レベルでオペレーションを行っているが、サイバーセキュリティリスクは定量化され、優先順位が付いたリスクに対する対応策(予算)がセットで語られることが求められている。片山氏は「まず、セキュリティリスクがどこにあるかを明確に言えるかどうか、リスクに対してリスクプロファイルレベルで、なぜこれが脅威なのかです。対策の際には、どのような優先順位で臨むべきなのか。そして、もし仮にアタックを受けてしまった時の被害総額の想定が必要です。さらに、それに対する対策を打った場合の費用対効果の推定を最高情報セキュリティ責任者の方が、上級役員レベルの方にお伝えするべき情報なのではないか、というところです」と話す。
Mastercard データ&サービス リスク&レジリエンス・プラクティスのグローバルヘッド ウルオジ・バーニー氏によると、リスクの数値化で、事業実態として守らなければいけない資産、技術をつかみ、どのリスクを最も注視すべきなのか、それに対する自社の防衛能力を含め、リスクを定量化していくことを推奨している。リスクが定量化した後は、どのようなアタッカーの種類に当たるのか、アタックの方法は何なのか、ということから、ビジネスの資産に対して、可用性、完全性、機密性への脅威かを分類する。
リスクを定量化して潜在的な財務上の影響を算出
投資対効果の高い取り組みを特定
