解説！クレジットカードの不正利用対策

図1. クレジットカード不正利用被害の発生状況
（日本クレジットカード協会公表資料より、NRIセキュアが作成）

　当時、クレジットカードは磁気ストライプのみを搭載したカード（磁気カード）が普及しており、その磁気カードはスキミングという手法により容易に複製することが可能でした。
　加えて、磁気カードによる決済では、不正利用か否かを判断するために店側が”伝票に記入された署名”と”カード裏面に記載されているサイン”が同一のものであるかを照合する「署名」による本人確認が行われていましたが、正確に判断することは困難でした。

　そのため、加盟店は利用者に署名を求めることはあっても、実際に本人確認を正確に行えていないことが多かったのです。

■ICカードの登場

　そこで偽造カードへの対策として、ICチップを搭載した「ICカード」の利用が始まりました。
　こちらは暗号化等の対策により偽造が極めて困難です。また、本人確認方法についても、ICチップに事前登録されたPINと呼ばれる4桁の暗証番号を用いるため、紛失・盗難カードでの不正利用も防ぐことが可能です。

　しかしながら、ICカードによる決済を行うためには、ICカード自体の普及だけでなく、店側においてもICカードに対応した決済端末を導入する必要があったため、しばらくの間、ICカード決済の普及率は大きくは伸びませんでした。

■ICカード決済の推進

　上記の背景を踏まえ、国際決済ブランドであるVISAがICカード決済を推進するために、2015年4月にライアビリティシフトを打ち出しました。

　ライアビリティシフトにより、店舗へのICカード決済端末の導入が積極的に推進され、日本国内においてICカード決済の普及がようやく進み始めました。
　加えて、2018年6月に施行された改正割賦販売法では、店舗において2020年3月末までにICカード決済へ対応することが義務付けられました（図2）。

図2. 対面取引におけるクレジットカード不正利用対策の変遷（NRIセキュア作成）

改正割賦販売法でカード決済事業者に求められるセキュリティ対策

　近年では偽造カードによる被害額も実際に減少しつつあり、対面決済における不正利用対策は概ね終息すると考えられます。

　そのような状況から、次の不正利用のターゲットとして狙われているのは、近年急激に取引件数が増加しているECにおけるクレジットカード決済です。
　EC加盟店の増加に伴い、サイバー攻撃に脆弱なEC加盟店からの情報漏えいが増加していることも、ECにおける不正利用を助長しているのではないでしょうか。

　次章以降では、ECにおけるクレジットカードの不正利用に焦点をあて、解説していきます。

不正利用に狙われやすいECの業界

　ECの中でも不正利用で狙われやすい業界があることをご存知でしょうか。

　不正利用に関わる犯罪組織は、決済手段であるクレジットカードを標的にしていることからもわかるように、資金を多く得ることを目的としています。

　そのため、時代によって狙われやすい業界は多少変化しつつあるものの、一貫して換金性が高く転売可能な高額商品（電化製品、ジュエリー、ブランド品、航空券などのチケット等）を扱う業界が不正利用の対象される傾向にあります。

　逆に狙われにくい商材としては、単価が安く転売に不向きな野菜や果物といった生鮮食品が挙げられます。また、最近の傾向としてはゲームなどのデジタルコンテンツも不正利用の対象として狙われており、ゲームやアプリなどを大量に購入したアカウントを売買することで換金するといった手口が横行しています。

　不正利用被害の拡大に加え、改正割賦販売法によりECにおける不正利用対策が義務付けられた現在、EC加盟店はどのような不正利用対策を導入すれば良いでしょうか。改正割賦販売法の実務上の指針とされる通称”実行計画”（日本クレジット協会策定）を踏まえ、ECにおける不正利用対策を3つご紹介します。

１．セキュリティコード

２．3Dセキュア

３．不正利用対策ソリューション

ECにおける不正利用対策

セキュリティコード

　カード裏面に記載される3桁のセキュリティコードを用いた本人確認手段の1つを指します。セキュリティコードは、クレジットカード業界のセキュリティ基準であるPCI DSS（Payment Card Industry Data Security Standard）において、クレジットカード番号より取り扱いが厳しく規制されており、加盟店での保存が認められていません。

　そのため、クレジットカードの所有者本人のみが確認可能な情報とし、それを入力させることにより正しい利用者どうかを確認します。

　加盟店にとってセキュリティコードを本人確認として利用することは負担が軽い対策であるため、日本国内におけるEC加盟店における法対応として最も採用されることが多いのはないかと見ています。

　しかし、これは十分な対策であると言い難いでしょう。

　本来保存が認められていないはずのセキュリティコードが、日々のセキュリティ事故において漏洩しているケースが少なくないからです。

　不正に入手されたクレジットカード番号とセキュリティコードを利用した不正利用が実際には後を絶ちません。

3Dセキュア

　3Dセキュアとは、クレジットカードに紐づく形で事前に登録されたIDとパスワードを用いる本人確認手段の1つです。

　クレジットカード所有者本人のみが知り得る認証情報を用いるため、カード裏面記載のセキュリティコードを利用するより本人確認手段として有効と言えます。

　また、現行仕様であるVer1.0ではパスワード忘れによって購入を諦める”カゴ落ち”のリスクが懸念されてきましたが、次期仕様であるVer.2.0ではリスクの高い決済にのみ認証を行う「リスクベース認証」を採用しているため、3DセキュアVer.2.0は利便性とセキュリティのバランスが取れた不正利用対策として期待されています。

「３Dセキュア」とは？本人認証でクレジットカードの不正利用を防ぐ

不正利用対策ソリューション

　各ベンダが提供している独自の不正利用対策ソリューションでは、決済時に取得する情報から、その決済が正当か不正かを判定する仕組みを取り入れています。

　取得する情報については、消費者が入力する個人情報や配送先住所、加えて、ECサイト上の仕組みで取得可能なIPアドレスや端末情報などが挙げられます。

　これらの情報を総合的に判断しスコアリングを行うことで、”正当”、”不正”もしくは”疑わしい”といった判定を行います。

　EC加盟店はこの判定情報を元に、”正当”であれば通常通り決済処理を行い、”不正”であれば決済を拒否します。そして”疑わしい”場合には一旦保留として人手で取引内容を確認するといった対応が取られるケースが多く、デジタルコンテンツ販売などの即時性が求められる取引においてはあえて通過させるケースもあります。

　このような不正利用対策ソリューションを導入することで不正利用を一定程度防ぐことが可能になりますが、ソリューション導入にはもちろん多額の費用がかかります。

　現在の日本国内においては不正利用における被害を加盟店が負担しているケースは少ないので、大手加盟店の一部に導入されているのみに留まっています。

■不正利用対策実施時に注意したいこと

　前段では不正利用対策ついて紹介しましたが、不正利用対策を検討するにあたり非常に重要なことは、ECにおける収益を最大化する、ということです。

　不正利用対策に費用がかかることは避けられませんが、それにより現在発生している不正利用被害額が対策費以上に抑えられるのであれば、EC加盟店にとっても十分なメリットがあると言えるでしょう。

　ここで、ECにおける不正利用に関するコストについて、不正利用対策として3Dセキュアを導入しているECサイトを例に見てみます。

　① 対策導入・維持にかかる費用
　② 対策によって生じるカゴ落ち
　③ チャージバック（売上の取消）、及び、それにかかる人件費

　もし不正利用対策を何も実施していない加盟店であれば、不正利用による加盟店の負担は③のみとなります。

　そのため、③の費用が、対策実施によって生じる費用①②の合計金額を下回るようであれば、対策を実施するモチベーションは低くなってしまうでしょう。

　なお、①において不正利用対策ソリューションを導入する場合には更に複雑になり、誤判定による機会損失やマニュアルレビュー人件費などを検討要素に含める必要が出てきます。

さいごに

　日本国内のEC加盟店における不正利用対策は、海外のEC加盟店と比較して導入が遅れています。

　かつての偽造カードによる不正利用対策についても、欧州や米国と比較して日本の対応が遅れていたために、海外から持ち込まれた偽造カードによって不正利用が行われるなど、対策の遅れている国が標的にされる傾向にあります。

　場所の制約を受けないECにおいては、対策の遅れている国もしくはEC加盟店に標的がシフトされる傾向が、より強く表れることが予想されます。

　加盟店はクレジットカード不正の温床となってしまわぬよう、早急な不正利用対策の実施が求められます。

　不正利用対策の導入についてお困りのことがございましたら、弊社までお気軽にご相談頂ければ幸いです。