カード会社が教えるクレジットカードのセキュリティ

第2回:ユーザーも「ひと手間」にご協力を。クレジットカード会社が取り組む不正利用対策

 前回は、キャッシュレス決済の需要増加に伴い、クレジットカードの不正利用の被害も増加していることを解説しました。これを受けて今回は、クレジットカードの不正利用に立ち向かうための、クレジットカード会社や加盟店など業界全体での取り組みについて解説します。

本人認証サービス「EMV 3-Dセキュア」 (3Dセキュア)

 前回、クレジットカードの不正利用のうち、実に93%以上がクレジットカード番号の盗用であることを解説しました。クレジットカードの盗難など物理的な窃取はもちろん、フィッシング詐欺などオンラインでのクレジットカード情報の窃取 が問題となっています。

 こうした不正利用の被害は、クレジットカードの番号、有効期限、カードの名義、セキュリティコードが揃っていれば、買い物ができてしまう (本人認証ができている状態になる) という、利便性を優先して簡易的になっている仕組みに課題があるとも言えます。そこで経済産業省は2024年3月、クレジットカード・セキュリティ・ガイドラインを 5.0版に改定し、不正利用対策として「原則、全てのEC加盟店は、2025年3月末までにEMV3-Dセキュアの導入を求める」と記載しています。

 EMV3-Dセキュア (以下3Dセキュア)とは、従来のクレジットカード情報に加えて、クレジットカード利用者 本人であることを認証する仕組みで、「アメリカン・エキスプレス」「VISA」「Mastercard」「JCB」「Diners Club」の国際ブランド各社が推奨する世界標準です。ブランドごとにサービス名称は異なっており、アメリカン・エキスプレスでは「American Express SafeKey」として提供しています。認証には、カード利用ごとに発行される「ワンタイムパスワード」を利用します。

American Express SafeKeyの概要。登録デバイス(スマートフォン)を利用して本人認証を行うことで、パスワード窃取による不正利用を防止できる

カード決済のサイン(署名)方式にも対応するPINバイパスの廃止

 クレジットカードそのものの安全性を高めるため、業界全体の取組みとして、データを暗号化・格納したICチップ搭載カードの発行を進めています。このカードの特徴のひとつとして、対面での支払いの際に、サインの代わりにPIN(暗証番号)入力を求める ことが挙げられるでしょう。

 ただし、現行の仕組みでは、店舗側の端末を操作することでPIN入力をスキップしてサイン方式に変更することが可能になっています。この方法は、「PINバイパス」と呼ばれ、PINによる本人確認ができないときの手段として、容認されてきました。しかし、偽造カード撲滅の観点からもICチップ搭載カードの普及が進んだことにより、PINバイパスも2025年3月末で廃止されることになったのです。PINは、本人にしか分からないものなので、ICチップ搭載カードの普及は紛失・盗難の際の不正利用防止にも一役買っています。

取引情報のモニタリングによる不正利用の発見

 クレジットカード会社によって具体的な対応は異なりますが、基本的にクレジットカード会社ではカード取引情報をモニタリングして不審な取引を監視してきました。不正利用が疑われる場合、メールなどでカード会員へ連絡して問題が無いことを確認するなどの措置を取ることが多いです。

 たとえばアメリカン・エキスプレスでは、加盟店データ、取引データ、外部取得データ、会員データなどを再帰型ニューラルネットワークに入力し、学習させながら24時間365日クレジットカードの利用状況をモニタリングしています。こうした仕組みにより、普段とは異なる不審な利用を検出した際には、指定の連絡先に確認のメールを送信できるようになっています。

アメリカン・エキスプレスでは、加盟店データ、取引データ、外部取得データ、会員データなどを用いて、機械学習モデルによる不正利用の検出を行っている

新たなセキュリティ向上の仕組みの導入障壁はユーザーの利便性

 クレジットカード会社やその加盟店が、不正利用防止のためにセキュリティ機能を向上させる仕組みを導入する際に問題となるのが、「ひと手間」増えることによって利用を回避されてしまうことです。要するに「面倒だから使うのをやめよう」と思われてしまうということです。

 たとえば、3Dセキュアによる認証には、事前登録や決済時の入力に手間がかかってしまいますが、現時点では皆さまにご理解とご協力をお願いしたいと考えています。ただし、スマートフォンのアプリなどを利用することで、利便性をなるべく損なわないようにすることは可能です。このあたりの対応はブランドによってさまざまですが、2025年の導入義務化までに改善を図っていくべき課題と認識しています。

 PINバイパスの廃止についても、これまでテーブル会計をしていた飲食店など、懸念を示す声も少なくありません。ただ、これらの懸念も携帯型の決済端末などを導入することで、利便性を損なわずにセキュリティ機能を向上させることもできます。

 セキュリティ向上のための新たな仕組みの導入に二の足を踏む加盟店が少なくないことは事実です。しかし、クレジットカードを不正利用する犯罪グループは、セキュリティ機能の弱い加盟店の情報を随時共有しています。つまり、セキュリティ機能の弱いECサイトや実店舗を見つけると、短期間で一斉に不正利用を仕掛けてきます。クレジットカードの不正利用によって発生する損害額は、新たな仕組みの導入コストよりもはるかに高いことは間違いありません。

不正利用を防止するには、それぞれの立場での対策が重要

 クレジットカードの不正利用を防止するためには、ユーザー、クレジットカード会社、加盟店それぞれの立場での対策が必要になります。

 ユーザーに出来る対策としては、クレジットカード (クレジットカード決済を行うスマートフォンなどのデバイスを含む)の紛失・盗難の防止、フィッシング詐欺対策が必要不可欠です。特にオンラインでクレジットカード決済を利用する頻度が多いユーザーは、常に狙われていることを意識した行動を心がけましょう。

 クレジットカード会社は、不正利用されないための仕組みを導入するとともに、今後ますます増えていくことが予想されるクレジットカードの利用状況をモニタリングして不審な利用を迅速に発見し、リスクの高い地域、加盟店、商品などを洗い出していく役割を果たしていくことがより一層大事になります。

 そして加盟店でも、常に最新のセキュリティ機能を導入し、ユーザーだけでなく加盟店にとっても常に安心で安全なクレジットカード決済環境を提供することが重要になります。

この連載について
INTERNET Watchではフィッシング詐欺をはじめとしたネット詐欺の手口や対策を紹介していますが、そうしたネット詐欺によるクレジットカード情報の窃取、そしてカードの不正利用により、多額の金銭的被害が生まれます。

ここでは短期集中連載として、カード会社の視点から、不正利用の実態、およびその対策、カード会社が実施しているセキュリティ向上の取り組みなどを、アメリカン・エキスプレス フロード リスク マネジメントの朝比奈孝弘氏に紹介していただきます。
朝比奈 孝弘(アメリカン・エキスプレス フロード リスク マネジメント)

1993年東京入社。承認課にてカード決済の現場に携わり、徐々に不正利用への対応に特化する。2003年オーストラリア・シドニーで不正対応の新チーム立ち上げを機に、フロードリスク部門に加入。アジアをメインに世界の情報漏えい案件の分析と対策に従事。2018年に帰国し、現職。グローバルの立場から日本のカード不正利用問題を監視。
アメリカン・エキスプレスのセキュリティ対策