EN

メールマガジン登録
資料ダウンロード
お問い合わせ

NRIセキュア ブログ

解説!クレジットカードの不正利用対策

目次

    Upset man holding credit card with laptop on background

     近年、クレジットカードの不正利用における被害額が急激に増加していることをご存知でしょうか。
     ECサイトの利用増加に伴い、不正の主流も「偽造カード利用」から、「不正に取得した番号の利用」へと変化を遂げています。

     なぜ、不正利用の手法は変化したのでしょうか。そして、クレジットカードを不正に利用されないためには、どのような対策が必要なのでしょうか。

     

     本記事ではクレジットカードの不正利用の変遷から、ECの中でも狙われやすい業界、さらには今後の不正利用対策まで、最新の情報をご紹介します。

    クレジットカード不正利用の変遷

     日本クレジットカード協会が公表する「クレジットカード不正利用被害の発生状況」によると、2016年の不正利用被害額は142億円であったのに対し、翌年2017年には不正利用被害額が236.4億円と6割以上増加しました。2018年も同程度の被害が継続して確認されています。
     
     不正利用の傾向として特に顕著に現れているのが、不正に取得されたカード情報のみで不正利用される手口の「番号盗用」による被害の増加です。
     2016年の番号盗用被害額が88.9億円であったのに対し、翌年2017年には番号盗用被害額が176.7億円と倍近く被害が拡大していることがわかります(図1)
     
     これは、それまで主流だった対面での取引における不正利用対策が進み、近年急速に利用が増加したEC(電子商取引)へと不正利用の標的が変わったことが要因の一つとして考えられます。
     
    Secure_SketCH_misuse-of-credit-card_01

    図1. クレジットカード不正利用被害の発生状況
    (日本クレジットカード協会公表資料より、NRIセキュアが作成)

    対面取引における不正利用対策の変遷

     ECを標的とした不正利用の実態の前に、対面取引における不正利用対策がどう変わってきたかを見ていきます。

    ■偽造カードによる不正利用の横行

     対面取引におけるクレジットカードの不正利用では、カードそのものを偽造する、「偽造カード」を使った手口が主流でした。
     直近の偽造カードによる被害額は1割に満たないものの、2010年頃までは不正利用の被害額の5割を上回る年も多かったのです。

     

     当時、クレジットカードは磁気ストライプのみを搭載したカード(磁気カード)が普及しており、その磁気カードはスキミングという手法により容易に複製することが可能でした。
     加えて、磁気カードによる決済では、不正利用か否かを判断するために店側が伝票に記入された署名カード裏面に記載されているサインが同一のものであるかを照合する「署名」による本人確認が行われていましたが、正確に判断することは困難でした。

     そのため、加盟店は利用者に署名を求めることはあっても、実際に本人確認を正確に行えていないことが多かったのです。

    ■ICカードの登場

     そこで偽造カードへの対策として、ICチップを搭載した「ICカード」の利用が始まりました。
     こちらは暗号化等の対策により偽造が極めて困難です。また、本人確認方法についても、
    ICチップに事前登録されたPINと呼ばれる4桁の暗証番号を用いるため、紛失・盗難カードでの不正利用も防ぐことが可能です。

     

     しかしながら、ICカードによる決済を行うためには、ICカード自体の普及だけでなく、店側においてもICカードに対応した決済端末を導入する必要があったため、しばらくの間、ICカード決済の普及率は大きくは伸びませんでした。

     

    ■ICカード決済の推進

     上記の背景を踏まえ、国際決済ブランドであるVISAICカード決済を推進するために、20154月にライアビリティシフトを打ち出しました

     

    Secure_SketCH_misuse-of-credit-card_04

     

     ライアビリティシフトにより、店舗へのICカード決済端末の導入が積極的に推進され、日本国内においてICカード決済の普及がようやく進み始めました。
     加えて、
    20186月に施行された改正割賦販売法では、店舗において20203月末までにICカード決済へ対応することが義務付けられました(図2)。

     

     

    Secure_SketCH_misuse-of-credit-card_03

    図2. 対面取引におけるクレジットカード不正利用対策の変遷(NRIセキュア作成)

     

    改正割賦販売法でカード決済事業者に求められるセキュリティ対策

     

     近年では偽造カードによる被害額も実際に減少しつつあり、対面決済における不正利用対策は概ね終息すると考えられます。

     

     そのような状況から、次の不正利用のターゲットとして狙われているのは、近年急激に取引件数が増加しているECにおけるクレジットカード決済です。
     EC加盟店の増加に伴い、サイバー攻撃に脆弱なEC加盟店からの情報漏えいが増加していることも、ECにおける不正利用を助長しているのではないでしょうか。

     

     次章以降では、ECにおけるクレジットカードの不正利用に焦点をあて、解説していきます。

     

    不正利用に狙われやすいECの業界

     ECの中でも不正利用で狙われやすい業界があることをご存知でしょうか。

     不正利用に関わる犯罪組織は、決済手段であるクレジットカードを標的にしていることからもわかるように、資金を多く得ることを目的としています。

     そのため、時代によって狙われやすい業界は多少変化しつつあるものの、一貫して換金性が高く転売可能な高額商品(電化製品、ジュエリー、ブランド品、航空券などのチケット等)を扱う業界が不正利用の対象される傾向にあります。

     

     逆に狙われにくい商材としては、単価が安く転売に不向きな野菜や果物といった生鮮食品が挙げられます。また、最近の傾向としてはゲームなどのデジタルコンテンツも不正利用の対象として狙われており、ゲームやアプリなどを大量に購入したアカウントを売買することで換金するといった手口が横行しています。


     不正利用被害の拡大に加え、改正割賦販売法によりECにおける不正利用対策が義務付けられた現在、EC加盟店はどのような不正利用対策を導入すれば良いでしょうか。改正割賦販売法の実務上の指針とされる通称”実行計画”(日本クレジット協会策定)を踏まえ
    、ECにおける不正利用対策を3つご紹介します。

     

    1.セキュリティコード

    2.3Dセキュア

    3.不正利用対策ソリューション

    ECにおける不正利用対策

    セキュリティコード

     カード裏面に記載される3桁のセキュリティコードを用いた本人確認手段の1つを指します。セキュリティコードは、クレジットカード業界のセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)において、クレジットカード番号より取り扱いが厳しく規制されており、加盟店での保存が認められていません。

     そのため、クレジットカードの所有者本人のみが確認可能な情報とし、それを入力させることにより正しい利用者どうかを確認します。

     

     加盟店にとってセキュリティコードを本人確認として利用することは負担が軽い対策であるため、日本国内におけるEC加盟店における法対応として最も採用されることが多いのはないかと見ています。

     

     しかし、これは十分な対策であると言い難いでしょう。

     本来保存が認められていないはずのセキュリティコードが、日々のセキュリティ事故において漏洩しているケースが少なくないからです。

     不正に入手されたクレジットカード番号とセキュリティコードを利用した不正利用が実際には後を絶ちません。

     

    close up of hands using laptop and holding credit card  as Online shopping concept

    3Dセキュア

     3Dセキュアとは、クレジットカードに紐づく形で事前に登録されたIDとパスワードを用いる本人確認手段の1つです。

     

     クレジットカード所有者本人のみが知り得る認証情報を用いるため、カード裏面記載のセキュリティコードを利用するより本人確認手段として有効と言えます。

     また、現行仕様であるVer1.0ではパスワード忘れによって購入を諦める”カゴ落ち”のリスクが懸念されてきましたが、次期仕様であるVer.2.0ではリスクの高い決済にのみ認証を行う「リスクベース認証」を採用しているため、3DセキュアVer.2.0は利便性とセキュリティのバランスが取れた不正利用対策として期待されています。

     

    「3Dセキュア」とは?本人認証でクレジットカードの不正利用を防ぐ

    不正利用対策ソリューション

     各ベンダが提供している独自の不正利用対策ソリューションでは、決済時に取得する情報から、その決済が正当か不正かを判定する仕組みを取り入れています。

     

     取得する情報については、消費者が入力する個人情報や配送先住所、加えて、ECサイト上の仕組みで取得可能なIPアドレスや端末情報などが挙げられます。

     これらの情報を総合的に判断しスコアリングを行うことで、正当不正もしくは疑わしいといった判定を行います。

     

     EC加盟店はこの判定情報を元に、正当であれば通常通り決済処理を行い、不正であれば決済を拒否します。そして疑わしい場合には一旦保留として人手で取引内容を確認するといった対応が取られるケースが多く、デジタルコンテンツ販売などの即時性が求められる取引においてはあえて通過させるケースもあります。

     

     このような不正利用対策ソリューションを導入することで不正利用を一定程度防ぐことが可能になりますが、ソリューション導入にはもちろん多額の費用がかかります。

     現在の日本国内においては不正利用における被害を加盟店が負担しているケースは少ないので、大手加盟店の一部に導入されているのみに留まっています。

    ■不正利用対策実施時に注意したいこと

     前段では不正利用対策ついて紹介しましたが、不正利用対策を検討するにあたり非常に重要なことは、ECにおける収益を最大化する、ということです。

     

     不正利用対策に費用がかかることは避けられませんが、それにより現在発生している不正利用被害額が対策費以上に抑えられるのであれば、EC加盟店にとっても十分なメリットがあると言えるでしょう。


     ここで、ECにおける不正利用に関するコストについて、不正利用対策として3Dセキュアを導入しているECサイトを例に見てみます。

     

     ① 対策導入・維持にかかる費用
     ② 対策によって生じるカゴ落ち
     ③ チャージバック(売上の取消)、及び、それにかかる人件費

     

     もし不正利用対策を何も実施していない加盟店であれば、不正利用による加盟店の負担は③のみとなります。

     そのため、③の費用が、対策実施によって生じる費用①②の合計金額を下回るようであれば、対策を実施するモチベーションは低くなってしまうでしょう。

     なお、①において不正利用対策ソリューションを導入する場合には更に複雑になり、誤判定による機会損失やマニュアルレビュー人件費などを検討要素に含める必要が出てきます。

     Pretty young lady taking a decision with scale above her head-1

    さいごに

     日本国内のEC加盟店における不正利用対策は、海外のEC加盟店と比較して導入が遅れています。

     かつての偽造カードによる不正利用対策についても、欧州や米国と比較して日本の対応が遅れていたために、海外から持ち込まれた偽造カードによって不正利用が行われるなど、対策の遅れている国が標的にされる傾向にあります。

     

     場所の制約を受けないECにおいては、対策の遅れている国もしくはEC加盟店に標的がシフトされる傾向が、より強く表れることが予想されます。

     加盟店はクレジットカード不正の温床となってしまわぬよう、早急な不正利用対策の実施が求められます。

     不正利用対策の導入についてお困りのことがございましたら、弊社までお気軽にご相談頂ければ幸いです。

     

    新規CTA