EMV 3-DS導入が義務化される2025年に向けた 国際決済ネットワークブランド、イシュア、 加盟店それぞれの視点と、共創の取り組み(上)

2023年4月7日8:40

昨年秋に本格的にスタートをきったEMV 3-Dセキュア。クレジットカード不正利用被害拡大にストップをかける切り札として、2025年には導入が義務化されると見られている。これを含めたセキュリティ強化対策について、国際決済ネットワークブランド、イシュア、加盟店がそれぞれの視点から成果や課題を紹介する。(2023年3月7日開催「ペイメントカード・セキュリティフォーラム2023」パネルセッションより)

<パネラー>(社名50音順)
Mastercard サイバー&インテリジェンスソリューションズ ディレクター 丸山 秀幸氏
三井住友カード カードセキュリティ統括部(東京)渉外グループ クックデ サンジェイタロウ氏
ヤフー コマースインフラ本部 安全対策部 平山 孔亮氏

カギ情報により不正アタックをブロック
ヤフーでは不正利用被害が年々顕著に低減

―今回は国際決済ネットワークブランド(以下、国際ブランドまたはブランド)、カード会社、加盟店のご担当者をお迎えしてのパネルセッションということになりました。最初にそれぞれのペイメントおよびセキュリティの取り組みについて簡単にご紹介いただければと思います。

丸山 秀幸(以下、丸山):私はMastercardのセキュリティ担当になって8年目です。国際ブランドの立場ということで、ちょっと上から目線になりますけれども、全体を俯瞰してみたいと思います。不正は完全に対面から非対面にターゲットを移しました。磁気ストライプからチップに移行することで対面取引はセキュリティの強度を上げてきた。非対面の不正をどうするかということが現時点での課題になっていて、ブランドとしてはEMV 3-Dセキュアの導入を進める方針です。

Mastercard サイバー&インテリジェンスソリューションズ ディレクター 丸山 秀幸氏

少し見方を変えると、偽造が多かった磁気ストライプは、読み取りがとても簡単でした。16桁のカード番号、プラス補足の情報もあるのですが、比較的偽造されやすかった。そこでチップという技術が開発されました。一般の方から見ると単にチップとターミナルなのですが、裏側から見ると、16桁のカード番号プラス暗号化された数十桁のカギ情報が同時に生成される仕組みです。それによって安全性を高めているのがEMVチップ取引です。

要は、16桁だけで取引するのはリスクが高い。チップにすることによって、これが暗号化された50~60桁の情報になり、取引ごとにカギ情報が生成される。非対面取引に関しても、これと同等のセキュリティを実現しようということでつくられたのが、EMV 3-Dセキュアです。16桁の番号にプラスして3-Dセキュアで生成されるカギ情報がセットになっているということが重要です。

トークンも同じ仕組みです。16桁の番号だけで取引されるわけではない。プラスチックカードに付いているチップは認定されたベンダーがつくった信頼性の高いものですけれども、iPhoneなどのスマートフォンに登録して決済する場合は、QRコード決済は除きますけれども、トークン化された情報を使います。トークン化するというのは、カード番号が別の番号に変わるというだけではなくて、16桁の番号にプラスしてカギ情報があるというところがキモです。今後、3-Dセキュアの義務化というような話もありますが、ポイントは、16桁の番号だけでは取引させないということ。対面であればチップで暗号化された情報が付いていく、非対面であれば3-Dセキュア、トークンで暗号化された情報が付いてくることによって、16桁だけの裸の取引はさせないというのが、ブランドを含めEMVCoが推進している決済のロードマップになります。

クックデ サンジェイタロウ(以下、クックデ):昨年10月に3-Dセキュア1.0がサンセットを迎えました。三井住友カードではここまでに3-Dセキュア1.0からEMV 3-Dセキュアへの移行を完了することを目標としておりましたが、おかげさまで難航していた加盟店を含めてほぼすべての加盟店で目標を達成することができました。近々経済産業省から「クレジットカード・セキュリティガイドライン」の最新版が発表されると思いますが、来年度に向けて、われわれはアクワイアラとして、3-Dセキュアの推進に一層力を入れていきたいと考えています。

三井住友カード カードセキュリティ統括部(東京)渉外グループ クックデ サンジェイタロウ氏

またイシュアとしては、クレジットカードの不正利用被害の拡大に非常に大きな危機感を持っています。2022年の1~9月で被害額は309億円に上り、12月までの数字を集計すればおそらく400億円を大きく超え、前年比30%増を記録するのではないかと思われます。われわれはこれに対して、ブランドのツール、ネットワークのツール、AIやスコアリングのツールなどさまざまなツールを活用して対応策を講じておりますが、あまりの不正アタックの多さに現場は疲弊しているというのが現状です。この状況を打破するために、今後は関係各社の皆様と協調した取り組みを進めていきたいと考えております。

平山 孔亮(以下、平山):ヤフーのショッピング事業、リユース事業はいずれも右肩上がりに成長しています。一方、不正利用被害額は年々順調に低減することができています。取扱高は拡大していますが、被害額は減っているという現状があり、弊社では不正利用対策に大きな自信を持っています。不正対策の取り組みとして、弊社ではシステムによる判定、人による判定、EMV 3-Dセキュアによる判定の大きく3つを行っています。

ヤフー コマースインフラ本部 安全対策部 平山 孔亮氏

システムによる判定では、弊社は自社開発の不正判定システムを使っています。AIによる判定には、不正手口の変化に強いという特徴と、判定ロジックのメンテナンスコストを抑えられるという特徴があります。指定条件の組み合わせによる判定、つまり人間の手で判定ロジックをチューニングするルールベースの判定では、ヤフーが持つ豊富なデータを使うことで効率的に売上毀損の少ないかたちで不正対策を実現できています。人による判定にも力を入れていまして、24時間365日の監視体制で取引をモニタリングしています。判定材料が足りないときには、イシュアの皆様と連携して調査を進める場合もあります。さらにEMV 3-Dセキュアによる判定も順次導入しております。とりわけ、システムでも人でも判定が難しいような取引の場合に、非常に強力な武器になっています。

今後の取り組みとしては、システムによる判定精度のさらなる改善、人による判定コストの削減、EMV 3-Dセキュアの最適な利用方法の追求に力を入れていきます。3-Dセキュアについては、システムによる判定、人による判定と組み合わせた上で3-Dセキュア認証に回すべき取引を決定する、チャレンジ認証のリクエストを付けて3-Dセキュア認証につなぐといった、独自の方法も採り入れていきたいと考えています。



ヤフー提供資料

 

3-DS義務化後の英国の不正被害件数は横ばい
不正被害大国・日本の抜本的対策になるか?

―国内ではクレジット取引セキュリティ対策協議会(以下、協議会)が2020年3月までという期限を設けて、クレジットカード加盟店に情報の非保持化あるいはPCI DSS準拠を求める実行計画を策定して取り組みを推進し、一定の成果を上げました。先ほど平山さんから、ヤフーでは実際に不正対策の成果が上がっているというお話をいただきましたが、丸山さんは不正利用被害に対する日本企業の動向をどのように見ていらっしゃいますか。

丸山:私はクレジット取引セキュリティ対策協議会の委員で、実行計画を策定する立場でもありました。なぜ2020年を期限としていたかというと、皆様もよくご存じの通り、東京でオリンピック/パラリンピックが開催される予定だったからです。海外からのお客様もたくさんいらっしゃるので、そこまでにインフラを整備しようということで、官民一体となって進めてきました。ですが、ヤフーさんは素晴らしい右肩下がりの数字を出していらっしゃいましたが、業界全体では不正被害は増加の一途をたどっているのが現状です。経済産業省もこれを、放っておけない事態だと認識しています。

不正という言葉の使い方自体をあらためたほうがいいのではないかという議論も出ています。被害額の330億円、あるいは400億円が流れている先は、犯罪集団です。官民を挙げた取り組みがどこまで犯罪対策として奏功しているかと考えると、まだまだ不十分と言わざるを得ません。経済産業省も言っていますが、犯罪対策は個社で対応できる範囲ではない。それどころか、警視庁、警察庁のサイバーセキュリティ専門部隊と連携をとるべきところまで事態は悪化しているのではないかと考えられます。

―非対面取引の被害が増加する中で、3-Dセキュア1.0のサポートが2022年10月で終了しました。政府は今後に向けて、EMV 3-Dセキュアの義務化を検討しています。これについての皆様の見解をお聞かせください。
※クレジット取引セキュリティ対策協議会から3月15日発表された「クレジットカード・セキュリティガイドライン【4.0 版】」では、2025年3月までにEMV 3-Dセキュア導入を求めている。

このコンテンツは会員限定(有料)となっております。
詳細はこちらのページからご覧下さい。

すでにユーザー登録をされている方はログインをしてください。

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP