2019年5月14日8:00

国際ブランドのMastercardでは、最新の国際的な不正利用の動向、EMV、コンタクトレス、EMV 3Dセキュアにおけるセキュリティの取り組みについて紹介します

Mastercard サーバー&インテリジェンス(C&I) ソリューション ディレクター 丸山秀幸氏

グローバルで不正の手口も巧妙化

私は10年ほどマスタカードにおり、直近の3年間セキュリティのソリューションを担当しています。マスタカードでは、セキュリティが発生してから対策をとる部署、ソリューションの部門にそれぞれ分かれており、サイバー&インテリジェンス ソリューション (C&I)はソリューション部門となり、エンタープライズセキュリティソリューションから部署名が変わりました。

Mastercard サーバー&インテリジェンス(C&I) ソリューション ディレクター 丸山秀幸氏

今回は、過去1年間のマスタカードのネットワークをモニタリングしてわかったことについて紹介します。そのあとは国際的なチップの普及状況、海外のセキュリティ対策の動向についてご説明します。

まずは、マスタカードのネットワークのモニタリングにより、起きている事象について説明します。システムメンテナンスとして、カード会社(イシュア)のホストでオーソリゼーションを受ける側でメンテナンスが発生しますが、その時間を狙ってのアタックが散見されます。海外の場合はメンテナンス時間を狙う単純なものではなく、メンテナンス後に元のホストを稼働させますが、不正検知のルールを書き換える事件が起きています。チップカードの普及により、リアル取引の場合は偽造が難しくなりましたので、チップの検証をスキップさせたり、ベロシティというように一定の期間、頻繁にトランザクションが起きると、ルールの設定を止めるようにする仕込みがされています。また、オーソリゼーションパラメーターとは、日本では3年前程になりますがATMで大量に現金が引き落とされ、国内の主犯が逮捕された事件がありましたが、イシュアのホストのオーソリ情報で、同じカード番号からキャッシングの限度額情報を書き換える、もしくは一定のカード番号のアクセスがあった場合、無条件にオーソリを戻すように、オーソリのパラメーターを変更してしまうことです。

他は、POSアタック、キャッシュアウトアタックといった実店舗への攻撃があります。また、海外はチップ化が進んでいない地域もあり、昨年はバングラディシュなどでATMへの攻撃がありました。

さらに、CNP(Card Not Present:カードを提示しない取引)アタックはかなり増えています。数年前は対面と非対面の不正はほぼ半々の割合でしたが、現在は非対面のほうが多いです。

また、加盟店になりすまし、オンラインの加盟店IDを書き換えてアタックする「マーチャントスピーリング」、マシンアタック、リスト攻撃などの「カードテスティング」も継続して起こっており、昨年は、日本のイシュアでも相当数起きました。カード番号は不正アタックしている人がそのまま使うのではなく、売買され、ダークウェブで取引されたりして、犯罪者の収入源になります。海外では、1ドルオーソリが数時間に数十万件規模であり、イシュアのホストの規模を超えることもありますが、加盟店が気付かないことが課題です。

これらが不正の大きなトレンドで、過去と大きな変化はありませんが、より巧妙に、規模が大きくなっています。

5G、IoT、AI、バイオメトリクス、デジタルアイデンティティに注力

私の部署がC&Iに代わった理由として、5G、IoT、AI、バイオメトリクス、デジタルアイデンティティの5分野が挙げられ、これらの単語は、毎日のように記事で紹介されています。5Gは次世代のデータ形式で、大容量の情報がやり取りできます。IoTはこれまで実証実験が多かったですが、いろいろなモノがインターネットにつながります。AIもどんな情報を入れて、どんな情報を出すのかが肝となり、すでに不正のスコアリングを含め、活用されています。バイオメトリクスは本人であることを証明すること、デジタルアイデンティティはデジタルIDをどうサイバー空間で確認するのかが肝となります。弊社のセキュリティ対策はこの5つがキーワードとなって開発を進めており、基本はデジタル化された、スマホを使った決済が中心となることを見据えています。

とはいえ、決済は非対面だけではありません。対面はチップ、コンタクトレスに進み、非対面は「3-Dセキュア」があります。欧州の「PSD2(欧州決済サービス指令)」のように、日本でも3-Dセキュアを必須としてもいいですが、そうはいきません。また、Apple Payなどのように、カード番号を他の文字列に置き換えるトークン化の動きもあります。

QRコード決済はEMVCoでもガイドラインを定めていますが、マスタカードでは積極的に推進するつもりはなく、Mastercardコンタクトレス(国際標準のType A/B)がグローバルの動きです。QRコード決済は欧州でも実際に聞きませんし、アジアでも一部の国で展開されているだけで、そこにカード番号を紐づけるのは不思議に思われています。実際、海外ではインフラに制約がある国等で決済をするための苦肉の策でもあります。個人的には、今ある端末にQRコードが加わることで一般の方が混乱すると思いますし、国際ブランドの立場としては競争の原理だと思っていますが、あくまでも推進しているのは非接触です。

▶▶後編へ続く

※本内容は、2019年3月13日に開催された「ペイメントカード・セキュリティフォーラム2019」のMastercard サーバー&インテリジェンス(C&I) ソリューション ディレクター 丸山秀幸氏の講演に加筆を加え、紹介しております。

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP