2021年5月18日~21日にて、Visa Asia Pacific Security Summitが開催された。
Visa Security Summitとは、決済セキュリティに関するトレンド、洞察、Visaのソリューション等について議論されるVisa主催のイベントである。例年はアジア太平洋地域における開催地にて議論が行われていたが、今年はCOVID-19の影響により初のリモート開催となった。
本稿では、Visa Security Summitで議論されていた、COVID-19による決済市場の変化やVisaの方針について述べる。
COVID-19による決済市場の変化
COVID-19の影響により、消費者の行動は変化している。対面決済では、衛生面への配慮から、現金や接触ICカードによる決済から非接触IC決済[1]への移行が見られている。Visaによると、アジア太平洋地域において、Visaの対面決済のうち約半数は非接触IC決済が決済手段として選択されている。特にオーストラリア、シンガポール、ニュージーランド、台湾ではVisaの対面決済のうち70%以上が非接触IC決済であり、大きな割合を占めている。
Visaが提供する非接触IC決済としては、NFC[2]機能搭載の物理的なICクレジットカードを利用した決済以外にも、Apple PayやGoogle Payに代表される、クレジットカード情報をモバイル端末に紐づけて決済を行うモバイル決済がある。日本においても、モバイル決済については、2021年5月にVisaブランドのカードがApple Payに対応したことで、AndroidだけでなくiPhoneでもVisaの非接触IC決済が利用可能となった。[3]
一方で、非対面決済においても変化がみられている。COVID-19による巣ごもりの影響により、オンラインショッピングに代表される非対面決済の割合が増加している。世界的に見ても、2020年の店頭における売上高は前年に比べ10%減少しているのに対し、Eコマースにおける売上高は前年に比べ18%増加している。また、Eコマース加盟店の数も前年に比べ約50%増加していることから、消費者・加盟店ともにEコマースへの移行が見受けられる。
[1] 本稿における非接触IC決済とは、Visaのタッチ決済(レジにあるリーダーに非接触対応のVisaカードをかざすだけで、サインも暗証番号も不要で支払いが完了するサービス)を指す。但し、一定金額(原則1万円)を超えるお支払いはカードを挿し暗証番号を入力するか、サインが必要となる。
[2] Near field communicationの略称。かざすだけで周辺機器との無線通信を可能にする技術・規格を指す。
[3] Android端末では、2019年からVisaの非接触IC決済が利用可能であった。
非対面決済における問題点
このように利用が拡大している非対面決済だが、利用割合が増加する一方で、いくつかの問題が生じている。
問題点① 不正の増加
一つは不正利用の増加である。アジア太平洋地域で発行されたVisaブランドのカードにおける2020年の非対面決済の不正利用総額は、5億5300万ドルである。また、不正の中でもクロスボーダー不正[4]が大きな割合を占めており、2020年の不正総額のうち、約60%がクロスボーダー不正である。つまり、セキュリティ対策が不十分な国のECサイト等が国外から狙われている。
業種としては、ホテル等の宿泊施設、デジタルグッズ・ゲーム、コンピュータソフトウェア店等の上位10種が、非対面決済における不正の34%を占めている。宿泊施設においては、攻撃者がカードの有効性確認のためだけに予約を取る場合も多い。また、デジタルグッズ・ゲーム、コンピュータソフトウェア店の割合が多いのは、COVID-19による巣ごもりや在宅ワークにおける需要により攻撃者に狙われやすくなったものとも考えられる。
攻撃手法としては、セキュリティが弱いECサイトを狙ったスキミングやEメールおよびSMSを用いたフィッシング、なりすまし、BIN攻撃[5]等が増加している。これらは直接的な不正利用には至らなかったとしても、情報窃取のための有効な手段となる。また、従来から行われてきたリスト型攻撃においては、検知回避目的で、より低速且つ少数の試行による攻撃が増加している。
このように、不正自体が増加していることに加え、攻撃手法も幅広く巧妙なものに変化しているため、決済ネットワークに関わるプレイヤーのみならず、消費者自身でも不正を未然に防ぎ、いち早く気づける仕組みの整備が必要だと考えられる。
[4] 国境を越えた、国際的な不正を指す。
[5] クレジットカードの上6桁のBIN(銀行識別番号)を取得した上で残りの番号を推測し、それらの番号をECサイト等で試行し、存在するカード番号であることとそのカード番号の有効性を確認することを指す。
問題点② 機会損失
二つ目の問題は、加盟店の販売機会損失の多さである。非対面決済では、決済の試行に対する成功率が対面決済に比べて低い傾向にある。
例えば、消費者が決済をしようとした際、不正な取引と判断されて承認されない場合がある。対面決済での承認率は98%であるのに対し、非対面決済での承認率は80%である。本来は正常な取引であるにも関わらず決済が拒否され、購入に至らない場合、加盟店にとっては大きな機会損失に繋がる。
また、決済画面での入力項目数が多いことや、決済時に別の画面に遷移するなど、決済に至るまでのフローが複雑で購入自体を諦めてしまう「かご落ち」により、販売機会を逃してしまうこともある。
消費者の動向を受け、ECサイトを開設する企業が増える中で、非対面決済における機会損失をいかに減らすことができるかは今後の重要な課題と言えるだろう。
Visaの戦略 ~問題解決のための4つの方針~
Visaはこれらの問題を解決するために、以下の4つの方針を立てている。
方針① データの無価値化
「データの無価値化」とは、決済に使われるデータを別の値などに置き換えることで、たとえデータを盗まれたとしても不正利用に至らないようにする方法である。その一つのサービスとして、VisaはVTS(Visa Token Service)を提供している。
VTSとは、クレジットカードのカード番号(PAN)を一意のトークン番号に変換し、このトークン番号を用いて決済処理を行うVisaのサービスである。一つのカード番号(PAN)に対し、特定の端末ごと、または加盟店ごとに別々のトークン番号が発行される。
仮にトークン番号が漏洩したとしても、攻撃者はそれぞれのトークン番号を別の端末や別の加盟店での取引で使用することはできないため、カード番号(PAN)が漏洩した場合に比べ、不正の実行範囲を狭めることができる。Visaは、カード番号(PAN)を利用する場合と比較し、VTSを利用した取引の不正率は平均で26%減少したと報告している。
VTSの決済処理の流れは以下の通りである。
図1:トークンの発行処理とその後の決済処理のイメージ(一例)
Visaの資料をもとにNRIセキュアが作成
- 消費者はECサイトの画面上でカード情報を登録する。
- ECサイト加盟店(トークンリクエスタ―)がTSP(トークンサービスプロバイダ)にリクエストを行う。
※この際、カード番号(PAN)は加盟店サーバを経由しない。 - TSPはトークン生成可否をイシュアに問い合わせる。
- イシュアは消費者の識別と検証をし、結果をTSPに通知する。
- TSPはイシュアからの承認を受け取った場合、トークンを生成し、加盟店に渡す。
- 加盟店は受け取ったトークンでその後の取引を行う。(トークンは決済処理時にTSPでPANに戻され、イシュアで処理される)
※消費者がアカウント登録・カード登録を加盟店にしている場合は、トークンは加盟店にて保持され続ける。
加盟店は消費者からカード情報(PAN)の入力を受け、TSPに送信する。その後の取引はトークンを使って行うため、決済処理において決済ネットワーク上に流れる情報は無価値化されたトークンのみとなり、不正を防止することができる。
さらに、加盟店としては、PANを自社サーバで伝送・処理・保存しないため、PCI DSS準拠の必要性もなくなる。また、クレジットカードの有効期限に伴う更新や、カードを紛失した際のトークン停止についてはイシュアが担うため、加盟店はトークンのライフサイクル管理をする必要もない。
このようにVTSは、加盟店に負担をかけずに、決済に用いるデータが漏洩したとしても被害を最小限に抑えることができる。
方針② データの活用
二つ目の方針は、取引に用いるデータに対して認証要素を追加することで、複数のデータを活用し取引の信頼性を向上させることである。その一つのサービスとして、Visaは3D Secure(以下、3DS)を提供している。
3DSとは、クレジット決済時に、クレジットカード情報に加え、本人のみ把握しているパスワード等を用いて認証することで、不正取引を防止する本人認証技術である。現在、世界におけるイシュアの3DS導入率はヨーロッパが97.6%で最も高く、アジア太平洋地域においても73.6%と世界の中ではやや低い水準とはなるものの、全体的に導入率は上昇傾向にある。
図2:世界のイシュア毎のEMV 3DS(3DS 2.0)[6]の導入率
(出典:Visa Security Summit資料)
現在、3DS v1から後継プロトコルである3DS v2への移行が進んでいる。3DS v1では逐次パスワード認証を求められることや固定パスワードを忘れたことによるカゴ落ちリスクが高いことが問題であった。
後継の3DS v2では、リスクが高いと判断された場合にのみ認証を行うリスクベース認証が採用されているほか、認証方式として生体認証やワンタイムパスワード等がサポートされているため、カゴ落ちリスクが減少している。
さらに、3DS v2では認証に用いるデータ量が3DS v1に比べて10倍以上となった。これにより認証の精度が高くなり、本来は正しい取引であるにも関わらず拒否されてしまう事例が減少し、結果的に承認率が上昇している。
例えば、旅行業界では、ホテルやレンタカーのEコマース決済取引に関する情報をデータに含める方向へと進んでおり、承認率の向上を図っている。COVID-19の影響により旅行業界における売上高は減少しているものの、ワクチン接種率の増加等を受けて消費者が再び増加する可能性は考えられるため、今後重要な変更となると考えられる。
全世界において、3DS v2における承認率が実際に3DS v1を初めて上回ったのは、2021年2月のことである。アジア太平洋地域においては未だ3DS v1のほうが高い承認率を示しているが、これは高リスクの加盟店から順次3DS v2を採用しているためであり、今後3DS v2がより普及してくれば承認率も上がると考えられる。
一方で、3DSはイシュアと加盟店の両方が対応している必要があることに加え、3DS v1と3DS v2の互換性はないため、イシュアと加盟店それぞれで対応する3DSのバージョンを合わせる必要があることも普及における障壁となっている。
このように、3DS は導入の障壁はあるものの、消費者の購買意欲を喪失させずに不正利用の発生率を低減できる技術であり、今後の普及が期待される。
[6] EMV 3DSはEMV Co.が標準化した仕様であり、3DS 2.0と同義である。
方針③ データの保護
三つ目の方針は、決済システムのセキュリティ環境をより強固にすることである。強固なセキュリティ環境の指標としては、各種基準への準拠が挙げられる。基準とは、例えばPCI DSSと呼ばれる、PCI SCC(PCI Security Standards Council)が定めている国際セキュリティ基準がある。
PCI DSSは一度準拠しさえすればセキュリティ対策が万全になるというわけではないため、高いセキュリティレベルを維持しながら、年次で準拠更新をしていくための継続的な対策も併せて実施していくことが重要である。
COVID-19による影響で在宅勤務への対応等をした結果システム環境が変化したことにより、PCI DSS準拠への影響も少なからず出てきていると考えられる。
物理的な面では、今までオフィスで行っていた業務を自宅で行う場合、審査員が自宅を訪問することはできないため、同意書へのサインを持って安全な管理をしていることを証明する等、訪問とは別の手段によって要件を満たすことが必要となる。
また、従業員にリモートアクセスのアクセス権を渡す前には、リスクアセスメントを徹底し、責任の割り当てを再度見直す必要がある。ネットワークにおいても、オフィス以外からのアクセスが増えたことにより、FWのルール変更や個人PCへのパーソナルFWの導入も必要となる。
さらに、インシデントが起こった際の対応についても、オフィスで業務を行う場合と自宅で業務を行う場合の対応が異なる可能性もあるため、インシデント対応計画の見直しが必要になる。これらの手段はPCI DSSの要件で明確に定義されているものではなく、一例ではあるが、従来とは異なる対策が必要になる可能性は少なからずあるだろう。
このように、COVID-19により各要件への対応が変わってくることが多く考えられるため、セキュリティホールを作らないためにも、再度リスク評価をし、見直しをすることが重要だと思われる。
方針④ 消費者に権限を与える
四つ目の方針として、Visaは「消費者に権限を与える」ということを掲げている。これは、決済業界における主要なプレイヤーである加盟店、決済代行事業者、アクワイアラ、イシュアだけでなく、消費者自身も不正を未然に防いだり、いち早く気づける仕組みを整備したりして、不正利用対策に消費者を巻き込むことを意味している。
例えば、決済が行われるたびに消費者に通知が行く仕組みを整えることで、意図しない取引を消費者自身が検知することが可能となる。
不正に対する取り組みとしては、事業者側で実施し、消費者としては特段意識せずに対策を進められるものもあるが、消費者を取り込み、決済市場全体で不正への取り組みを実施していくことは効果的である。
おわりに
本稿で述べてきた通り、COVID-19により決済市場は大きく変化してきている。利便性を損なわずセキュリティを向上させることはこれまでも重要なテーマであったが、非対面取引の増加など、今までとは違った消費者の行動や攻撃者の行動が幅広くなる中で、その重要度はより増してきている。また、暗号資産[7]やNFT[8]等の新しい技術も出てきたことで、更に決済市場は変化していくと考えられる。
また、COVID-19の流行に伴う緊急対応として一時的なシステム変更を実施した環境に対し、セキュリティホールを狙った攻撃が増加している。前述のVTS、3DS等の技術を導入することだけでなく、PCI DSSへの準拠など従来のセキュリティ対策を再度見直すことも重要である。
2022年初頭にはPCI DSSv4.0が公開予定である。v4.0では、新たにカスタマイズアプローチという考え方が導入され、PCI DSSの各要件を満たすための手段を事業体が選択することも可能になる予定だ。新たな消費者行動に伴い巧妙化する攻撃に対応するために、柔軟性を持った対策を講じていくことが必要になるだろう。
NRIセキュアでは、PCI SSCの管理する各種基準(PCI DSS、PCI P2PE、PCI 3DS等)のコンサルティングから審査に至るまでの準拠支援に加え、決済セキュリティ全般に関する支援を提供している。決済領域全般におけるセキュリティに関わるご相談については、当社まで是非お問い合わせいただきたい。
[7] 現物のない電子データ資産であり、インターネット上での送金や決済に用いられる。ブロックチェーンと呼ばれる仕組みで管理されている。
[8] Non-Fungible Token:非代替性トークンの略称。ブロックチェーン技術を活用することで唯一無二の資産価値を付与する技術を指す。