2023年4月7日8:40
昨年秋に本格的にスタートをきったEMV 3-Dセキュア。クレジットカード不正利用被害拡大にストップをかける切り札として、2025年には導入が義務化されると見られている。これを含めたセキュリティ強化対策について、国際決済ネットワークブランド、イシュア、加盟店がそれぞれの視点から成果や課題を紹介する。(2023年3月7日開催「ペイメントカード・セキュリティフォーラム2023」パネルセッションより)
<パネラー>(社名50音順)
Mastercard サイバー&インテリジェンスソリューションズ ディレクター 丸山 秀幸氏
三井住友カード カードセキュリティ統括部(東京)渉外グループ クックデ サンジェイタロウ氏
ヤフー コマースインフラ本部 安全対策部 平山 孔亮氏
カギ情報により不正アタックをブロック
ヤフーでは不正利用被害が年々顕著に低減
―今回は国際決済ネットワークブランド(以下、国際ブランドまたはブランド)、カード会社、加盟店のご担当者をお迎えしてのパネルセッションということになりました。最初にそれぞれのペイメントおよびセキュリティの取り組みについて簡単にご紹介いただければと思います。
丸山 秀幸(以下、丸山):私はMastercardのセキュリティ担当になって8年目です。国際ブランドの立場ということで、ちょっと上から目線になりますけれども、全体を俯瞰してみたいと思います。不正は完全に対面から非対面にターゲットを移しました。磁気ストライプからチップに移行することで対面取引はセキュリティの強度を上げてきた。非対面の不正をどうするかということが現時点での課題になっていて、ブランドとしてはEMV 3-Dセキュアの導入を進める方針です。
少し見方を変えると、偽造が多かった磁気ストライプは、読み取りがとても簡単でした。16桁のカード番号、プラス補足の情報もあるのですが、比較的偽造されやすかった。そこでチップという技術が開発されました。一般の方から見ると単にチップとターミナルなのですが、裏側から見ると、16桁のカード番号プラス暗号化された数十桁のカギ情報が同時に生成される仕組みです。それによって安全性を高めているのがEMVチップ取引です。
要は、16桁だけで取引するのはリスクが高い。チップにすることによって、これが暗号化された50~60桁の情報になり、取引ごとにカギ情報が生成される。非対面取引に関しても、これと同等のセキュリティを実現しようということでつくられたのが、EMV 3-Dセキュアです。16桁の番号にプラスして3-Dセキュアで生成されるカギ情報がセットになっているということが重要です。
トークンも同じ仕組みです。16桁の番号だけで取引されるわけではない。プラスチックカードに付いているチップは認定されたベンダーがつくった信頼性の高いものですけれども、iPhoneなどのスマートフォンに登録して決済する場合は、QRコード決済は除きますけれども、トークン化された情報を使います。トークン化するというのは、カード番号が別の番号に変わるというだけではなくて、16桁の番号にプラスしてカギ情報があるというところがキモです。今後、3-Dセキュアの義務化というような話もありますが、ポイントは、16桁の番号だけでは取引させないということ。対面であればチップで暗号化された情報が付いていく、非対面であれば3-Dセキュア、トークンで暗号化された情報が付いてくることによって、16桁だけの裸の取引はさせないというのが、ブランドを含めEMVCoが推進している決済のロードマップになります。
クックデ サンジェイタロウ(以下、クックデ):昨年10月に3-Dセキュア1.0がサンセットを迎えました。三井住友カードではここまでに3-Dセキュア1.0からEMV 3-Dセキュアへの移行を完了することを目標としておりましたが、おかげさまで難航していた加盟店を含めてほぼすべての加盟店で目標を達成することができました。近々経済産業省から「クレジットカード・セキュリティガイドライン」の最新版が発表されると思いますが、来年度に向けて、われわれはアクワイアラとして、3-Dセキュアの推進に一層力を入れていきたいと考えています。
またイシュアとしては、クレジットカードの不正利用被害の拡大に非常に大きな危機感を持っています。2022年の1~9月で被害額は309億円に上り、12月までの数字を集計すればおそらく400億円を大きく超え、前年比30%増を記録するのではないかと思われます。われわれはこれに対して、ブランドのツール、ネットワークのツール、AIやスコアリングのツールなどさまざまなツールを活用して対応策を講じておりますが、あまりの不正アタックの多さに現場は疲弊しているというのが現状です。この状況を打破するために、今後は関係各社の皆様と協調した取り組みを進めていきたいと考えております。
平山 孔亮(以下、平山):ヤフーのショッピング事業、リユース事業はいずれも右肩上がりに成長しています。一方、不正利用被害額は年々順調に低減することができています。取扱高は拡大していますが、被害額は減っているという現状があり、弊社では不正利用対策に大きな自信を持っています。不正対策の取り組みとして、弊社ではシステムによる判定、人による判定、EMV 3-Dセキュアによる判定の大きく3つを行っています。
システムによる判定では、弊社は自社開発の不正判定システムを使っています。AIによる判定には、不正手口の変化に強いという特徴と、判定ロジックのメンテナンスコストを抑えられるという特徴があります。指定条件の組み合わせによる判定、つまり人間の手で判定ロジックをチューニングするルールベースの判定では、ヤフーが持つ豊富なデータを使うことで効率的に売上毀損の少ないかたちで不正対策を実現できています。人による判定にも力を入れていまして、24時間365日の監視体制で取引をモニタリングしています。判定材料が足りないときには、イシュアの皆様と連携して調査を進める場合もあります。さらにEMV 3-Dセキュアによる判定も順次導入しております。とりわけ、システムでも人でも判定が難しいような取引の場合に、非常に強力な武器になっています。
今後の取り組みとしては、システムによる判定精度のさらなる改善、人による判定コストの削減、EMV 3-Dセキュアの最適な利用方法の追求に力を入れていきます。3-Dセキュアについては、システムによる判定、人による判定と組み合わせた上で3-Dセキュア認証に回すべき取引を決定する、チャレンジ認証のリクエストを付けて3-Dセキュア認証につなぐといった、独自の方法も採り入れていきたいと考えています。
3-DS義務化後の英国の不正被害件数は横ばい
不正被害大国・日本の抜本的対策になるか?
―国内ではクレジット取引セキュリティ対策協議会(以下、協議会)が2020年3月までという期限を設けて、クレジットカード加盟店に情報の非保持化あるいはPCI DSS準拠を求める実行計画を策定して取り組みを推進し、一定の成果を上げました。先ほど平山さんから、ヤフーでは実際に不正対策の成果が上がっているというお話をいただきましたが、丸山さんは不正利用被害に対する日本企業の動向をどのように見ていらっしゃいますか。
丸山:私はクレジット取引セキュリティ対策協議会の委員で、実行計画を策定する立場でもありました。なぜ2020年を期限としていたかというと、皆様もよくご存じの通り、東京でオリンピック/パラリンピックが開催される予定だったからです。海外からのお客様もたくさんいらっしゃるので、そこまでにインフラを整備しようということで、官民一体となって進めてきました。ですが、ヤフーさんは素晴らしい右肩下がりの数字を出していらっしゃいましたが、業界全体では不正被害は増加の一途をたどっているのが現状です。経済産業省もこれを、放っておけない事態だと認識しています。
不正という言葉の使い方自体をあらためたほうがいいのではないかという議論も出ています。被害額の330億円、あるいは400億円が流れている先は、犯罪集団です。官民を挙げた取り組みがどこまで犯罪対策として奏功しているかと考えると、まだまだ不十分と言わざるを得ません。経済産業省も言っていますが、犯罪対策は個社で対応できる範囲ではない。それどころか、警視庁、警察庁のサイバーセキュリティ専門部隊と連携をとるべきところまで事態は悪化しているのではないかと考えられます。
―非対面取引の被害が増加する中で、3-Dセキュア1.0のサポートが2022年10月で終了しました。政府は今後に向けて、EMV 3-Dセキュアの義務化を検討しています。これについての皆様の見解をお聞かせください。
※クレジット取引セキュリティ対策協議会から3月15日発表された「クレジットカード・セキュリティガイドライン【4.0 版】」では、2025年3月までにEMV 3-Dセキュア導入を求めている。
このコンテンツは会員限定(有料)となっております。
詳細はこちらのページからご覧下さい。
すでにユーザー登録をされている方はログインをしてください。