2025年4月1日9:00
非対面取引の拡大にともない不正取引の手口は多様化の一途をたどっており、これに対抗するには包括的なセキュリティ対策のアプローチが不可欠になっています。JCBはブランドホルダー、イシュア、アクワイアラの3つの事業を展開するユニークな立場を活かし、不正取引に対して多角的な対策を講じています。また、日本発唯一の国際カードブランドとしてEMVCoの運営に参画しており、標準化の観点から便利で安全な決済インフラの実現に貢献してきました。JCB独自の視点から、ビジネスパートナーや消費者の立場に立った不正対策の取り組みを紹介します。(2025年2月27日開催「ペイメント・セキュリティフォーラム2025」の講演より)
株式会社ジェーシービー ブランドインフラ一部 デジタルプロダクト推進グループ 次長 高久 直裕氏
不正利用の戦場は完全に非対面に移行
不正犯のアタックは日々1,000万件に上る
われわれはブランドホルダーとして、JCBという決済スキームをグローバルで運営しています。同時に日本国内においては、カードを発行するイシュアであり、加盟店関連業務を行うアクワイアラでもあります。ブランドホルダー、イシュア、アクワイアラの3つの顔を持つ事業の独自性が、われわれの不正に対するアプローチの土台になっています。
本日われわれJCBがどのような不正対策をしているかについて、その一例をお話しさせていただきますが、まずは日本の決済業界を取り巻く外部環境を、不正という観点から見てみようと思います。
1,000万件/日。これは、われわれが検知した、ある1日のJCBなりすましメールの数です。われわれがWeb上のなりすましメールの数を全部把握しているわけではありません。この数字は、DMARCの設定でリジェクトとしてレポートが上がってきたものです。それだけでもこれだけ大量のなりすましメールが発生しているのです。事業者の皆様におかれては、数の大小はあっても、同じような状況にあると推測いたします。これらが番号盗用の契機となるフィッシングサイトの入り口だとすれば、われわれのような事業者は日々、不正犯からの大量の攻撃に直面しているといえると思います。
次に業界全体の不正利用被害の概況について見ていきたいと思います。日本クレジット協会では毎年、クレジットカード不正利用被害額を発表しています。これには2つのポイントがあると思います。1つ目は、不正利用の被害額が右肩上がりで上がっているということ。2023年には約540億円のクレジットカード不正利用による被害がありました。2つ目は、不正利用被害の主戦場が、非対面決済の領域に完全にシフトしてきたということです。540億円の被害のうち、約93%が番号盗用を起因としたもの、つまり非対面決済における不正利用の被害でした。
決済前、中、後にわたる
網羅的かつ多角的な対策が必要
不正利用のプロセスには、3つのステップがあります。1つ目が、カード情報の窃取です。不正犯はフィッシングやダークウェブでの売買など、不当な方法を使い、カード情報を盗み取ります。2つ目が、不当に入手したカード情報を使って不正利用をする。ここではたとえば3-Dセキュア認証の突破などのイベントも発生します。3つ目は、不正利用のあとに、購入したものを換金し、マネタイズする。不当な利益が不正犯のもとに渡っていく。これが一般的な不正利用のプロセスであると考えています。
非常にやっかいなのは、不正犯がそれぞれのステップで用いる手法が、年々巧妙化しているということです。これらに対して、われわれ業界としては、不正を防御する手段を年々高度化、進化させていくことが必要です。同時に、不正犯が踏む3つのステップに対して、それぞれの対策を講じる、つまり、網羅的かつ多角的な不正の防御策を打っていくことが、効果的に不正を防ぐという観点から重要になってきます。
この工程を紐解きながら、JCBが実際にどのような対策をしているかについてご紹介させていただきます。
普及が進む3-Dセキュア
効果大だが、それだけでは不十分
日本における不正利用対策として、普及が進み、一般化しているものに3-Dセキュアがあります。非対面における本人認証の仕組みです。JCBはEMVCoのメンバーとして、この仕様の策定やバージョンアップに携わってまいりました。日本においては各ステークホルダーの皆様と協業することによって、日本における3-Dセキュアの普及に努めています。
3-Dセキュアの変遷を遡ってみますと、1990年代の後半から2000年にかけてネットショッピングが世の中に広がってきました。これにともなってクレジットカードの不正利用が社会問題化していきました。その流れの中でJCBは2004年に3-Dセキュア1.0に準拠した本人認証の仕組みであるJ/Secure1.0をグローバルでリリースしました。これは、利用者の事前の本人登録だけで認証ができるという点で、当時は非常に画期的な仕組みでした。一方で、認証のたびにパスワードを入力しなくてはいけないという点で、お客様目線で見るとユーザビリティが高くなかったり、それによってカゴ落ちが多くなり加盟店の販売機会ロスが発生したりという課題もありました。結果として日本で大きく普及するには至りませんでした。
これらの課題に対応するために3-Dセキュアはバージョンアップを重ねてきました。3-Dセキュア2.1.0ではリスクベース認証が誕生して、ケースによってはパスワード入力なしで本人認証が完了します。お客様にとっては利便性が向上し、これによってカゴ落ちのリスクも軽減されました。直近の3-Dセキュア2.3.1というバージョンでは、生体認証を使った本人認証の仕組みであるFIDO認証に標準的に対応するようになっています。JCBはこの2.3.1に対応したJ/Secureのバージョンを、昨年グローバルでリリースしています。
皆様ご存じの通り、日本国内においては、今年3月末までに加盟店の3-Dセキュア導入が必須化になっておりますため、普及が足元で一段と進んできています。われわれJCBブランドとして受ける認証の数も非常に増えてきており、2022年から2024年までの2年間で約2倍になりました。非対面領域における不正対策としての3-Dセキュアの位置付けは、ますます大きくなっていくとわれわれは考えております。
一方、先ほどお話しした不正犯が行う不正の3つのステップに照らすと、3-Dセキュアでカバーできるのは、決済中の本人認証の工程です。したがって別途、そもそもその前段階でカード情報を盗み取られないようにするとか、万一本人認証が突破されてしまった場合にその後の工程で実害を防ぐという対策が併せて必要になります。そういう意味で、3-Dセキュアは残念ながら、網羅的なソリューションではありません。
アプリからワンクリックで認証を行える
OOB認証の提供を開始
まず考えなければならないのは、3-Dセキュア自体の認証強化です。これを実現するために、JCBがイシュアとして昨年導入したのが、会員向けアプリを使ったOOB(Out of Band)認証です。会員向けのMyJCBアプリを通じて、3-Dセキュアの認証をワンクリックで実現するというものです。パスワードやOTPが介在しませんので、フィッシングの被害を大きく低減できます。同時に、パスワードを忘れて本人認証ができなかっただとか、OTPが届かなくて本人認証ができなかったというケースを防ぐことができるという意味で、ユーザビリティの向上につながるソリューションになっています。
3-Dセキュア認証におけるOTPの利用は、静的パスワードに比べてセキュリティの性能が高くなるという点で、われわれにとっても重要なソリューションです。ただお客様からは、ご不満のお声も頂戴しています。
たとえば、新幹線のチケットを買おうとしていたのにOTPがなかなか届かず、待っている間に席の予約が全部埋まってしまったという声。よくよく聞いてみると、迷惑フォルダにメールが入っていたというケースでした。もうひとつは、旅先から非対面決済で商品を購入しようとしたが、OTPにアクセスできるデバイスは自宅にあるPCだけだったので、買えなかったというケースです。このように、お客様のご都合やライフスタイルに寄り添えないという、OTP固有の課題が存在することも事実です。アプリを使ったOOB認証が、すべてのOTPにとって代わるものではないにしても、お客様を会員アプリに的確に誘導することができれば、このような課題を解決できるのではないかと期待しています。
決済「前」対策の要となるのは
トークンとパスキー
