2019年5月14日8:00
国際ブランドのMastercardでは、最新の国際的な不正利用の動向、EMV、コンタクトレス、EMV 3Dセキュアにおけるセキュリティの取り組みについて紹介します。
Mastercard サーバー&インテリジェンス(C&I) ソリューション ディレクター 丸山秀幸氏
グローバルで不正の手口も巧妙化
私は10年ほどマスターカードにおり、直近の3年間セキュリティのソリューションを担当しています。マスターカードでは、セキュリティが発生してから対策をとる部署、ソリューションの部門にそれぞれ分かれており、サイバー&インテリジェンス ソリューション (C&I)はソリューション部門となり、エンタープライズセキュリティソリューションから部署名が変わりました。
Mastercard サーバー&インテリジェンス(C&I) ソリューション ディレクター 丸山秀幸氏
今回は、過去1年間のマスターカードのネットワークをモニタリングしてわかったことについて紹介します。そのあとは国際的なチップの普及状況、海外のセキュリティ対策の動向についてご説明します。
まずは、マスターカードのネットワークのモニタリングにより、起きている事象について説明します。システムメンテナンスとして、カード会社(イシュア)のホストでオーソリゼーションを受ける側でメンテナンスが発生しますが、その時間を狙ってのアタックが散見されます。海外の場合はメンテナンス時間を狙う単純なものではなく、メンテナンス後に元のホストを稼働させますが、不正検知のルールを書き換える事件が起きています。チップカードの普及により、リアル取引の場合は偽造が難しくなりましたので、チップの検証をスキップさせたり、ベロシティというように一定の期間、頻繁にトランザクションが起きると、ルールの設定を止めるようにする仕込みがされています。また、オーソリゼーションパラメーターとは、日本では3年前程になりますがATMで大量に現金が引き落とされ、国内の主犯が逮捕された事件がありましたが、イシュアのホストのオーソリ情報で、同じカード番号からキャッシングの限度額情報を書き換える、もしくは一定のカード番号のアクセスがあった場合、無条件にオーソリを戻すように、オーソリのパラメーターを変更してしまうことです。
他は、POSアタック、キャッシュアウトアタックといった実店舗への攻撃があります。また、海外はチップ化が進んでいない地域もあり、昨年はバングラディシュなどでATMへの攻撃がありました。
さらに、CNP(Card Not Present:カードを提示しない取引)アタックはかなり増えています。数年前は対面と非対面の不正はほぼ半々の割合でしたが、現在は非対面のほうが多いです。
また、加盟店になりすまし、オンラインの加盟店IDを書き換えてアタックする「マーチャントスピーリング」、マシンアタック、リスト攻撃などの「カードテスティング」も継続して起こっており、昨年は、日本のイシュアでも相当数起きました。カード番号は不正アタックしている人がそのまま使うのではなく、売買され、ダークウェブで取引されたりして、犯罪者の収入源になります。海外では、1ドルオーソリが数時間に数十万件規模であり、イシュアのホストの規模を超えることもありますが、加盟店が気付かないことが課題です。
これらが不正の大きなトレンドで、過去と大きな変化はありませんが、より巧妙に、規模が大きくなっています。
5G、IoT、AI、バイオメトリクス、デジタルアイデンティティに注力
私の部署がC&Iに代わった理由として、5G、IoT、AI、バイオメトリクス、デジタルアイデンティティの5分野が挙げられ、これらの単語は、毎日のように記事で紹介されています。5Gは次世代のデータ形式で、大容量の情報がやり取りできます。IoTはこれまで実証実験が多かったですが、いろいろなモノがインターネットにつながります。AIもどんな情報を入れて、どんな情報を出すのかが肝となり、すでに不正のスコアリングを含め、活用されています。バイオメトリクスは本人であることを証明すること、デジタルアイデンティティはデジタルIDをどうサイバー空間で確認するのかが肝となります。弊社のセキュリティ対策はこの5つがキーワードとなって開発を進めており、基本はデジタル化された、スマホを使った決済が中心となることを見据えています。
とはいえ、決済は非対面だけではありません。対面はチップ、コンタクトレスに進み、非対面は「3-Dセキュア」があります。欧州の「PSD2(欧州決済サービス指令)」のように、日本でも3-Dセキュアを必須としてもいいですが、そうはいきません。また、Apple Payなどのように、カード番号を他の文字列に置き換えるトークン化の動きもあります。
QRコード決済はEMVCoでもガイドラインを定めていますが、マスターカードでは積極的に推進するつもりはなく、Mastercardコンタクトレス(国際標準のType A/B)がグローバルの動きです。QRコード決済は欧州でも実際に聞きませんし、アジアでも一部の国で展開されているだけで、そこにカード番号を紐づけるのは不思議に思われています。実際、海外ではインフラに制約がある国等で決済をするための苦肉の策でもあります。個人的には、今ある端末にQRコードが加わることで一般の方が混乱すると思いますし、国際ブランドの立場としては競争の原理だと思っていますが、あくまでも推進しているのは非接触です。
▶▶後編へ続く
※本内容は、2019年3月13日に開催された「ペイメントカード・セキュリティフォーラム2019」のMastercard サーバー&インテリジェンス(C&I) ソリューション ディレクター 丸山秀幸氏の講演に加筆を加え、紹介しております。
