一般社団法人セーファーインターネット協会(SIA)は2022年9月1日、報道機関向けにオンラインで「フィッシング、クレジットカード不正の現状と対策を考える会」を開催した。不正利用被害の現状報告とあわせてさまざまな不正利用対策が紹介されたが、イベントに登壇したメンバーからは、カードの不正利用防止対策として各所で導入が始まっている「EMV 3-Dセキュア(EMV 3-D Secure)」の話題が目立ち、大いに注目を集めた。
フィッシング、サイバー攻撃など「番号盗用」被害の拡大とまらず
そもそも同イベントが開催されるまでにクレジットカード不正をめぐる危機感が高まっている背景には、このところカードの不正利用被害が過去最高のペースで拡大していることにある。
日本クレジット協会がまとめた統計によると、2021年のクレジットカード不正利用被害額は約330億円。かつて物理的なカードを不正にコピーする手口の「偽造カード」による不正被害額が約308億円でピークを迎えた2000年以降では過去最高を更新してしまった。
業界を挙げて取り組んだICカード化により「偽造カード」被害を押さえ込んだのも束の間、代わって台頭してきたのがカード情報を盗む「番号盗用」の手口。不正被害額の総額約330億円のうちの実に約94%までをこの「番号盗用」が占めるまでになっている。統計のある今年2022年の1〜3月期でもわずか3カ月間の不正被害額は100億円を超え、うち94.6億円を番号盗用が占めるなど、勢いはさらに増している状況だ(画面1)。
画面1 (出典:一般社団法人セーファーインターネット協会)
番号を盗む方法として、カード利用者を騙して偽サイトから真正のカード情報を盗み取る「フィッシング」による手口、実在しそうなカード番号をプログラミングで自動生成する「クレジットマスター」と呼ばれる手口、そしてサイバー攻撃などによるECサイトからの情報漏えいなどが主な手口として考えられる。
そこでこれらの発生を未然に察知し、さまざまな対策を講じることで被害を防止しようと、行政やカード会社、EC事業者などが協力しながら取り組んでいるのが現状だ。
クレジットカードに関しては、経済産業省(経産省)が所管する割賦販売法において、番号盗用への対策がEC事業者の義務として課されている(法第35条の17)。ところが実態としては、実際に対策を組み込んでいるEC事業者は全体の5割程度に過ぎないとの調査報告もあり(不正検知サービスなどを手がける「かっこ」社による。2021年12月時点)、不正利用対策の底上げが喫緊の課題となっている。
その際の不正利用対策は決して1つではなく、EC決済に関わるさまざまな事業者がそれぞれの立場から複数の対策を講じることによって初めて達成されるものであるが、中でもカード番号の盗用対策として最も注目を集めているのが「EMV 3-Dセキュア(EMV 3-D Secure/略称EMV 3DS)」である。
EC事業者の不評を買った3-Dセキュアの弱点を解消
同イベントで多くの登壇者が指摘していたのが、「EMV 3-Dセキュア」の前身である「3-Dセキュア」に色濃く見られた課題のこと。オンラインでのカード決済取引は、かつてはカード番号やカード名義人、有効期限、セキュリティコードといったカード記載情報の入力をもとに利用照会が行われていたが、2000年代の初頭にカード決済の国際ブランドが仕様を統一して開発された「3-Dセキュア」が登場した。
「3-Dセキュア」は、イシュアードメイン(利用者、イシュアー)、アクワイアラードメイン(加盟店、PSP、アクワイアラー)、相互運用ドメイン(国際ブランド)の3つのドメイン(D)がカード取引に介在することで、オンライン決済のセキュリティ性を向上させる仕組み。一方で、カード利用者は先述のカード情報とは別に、あらかじめ自身で固定のIDとパスワードを新規に作成して設定しておく必要があり、オンラインでカード決済を利用する都度、それらの情報を正確に入力することが求められた。
問題はカード利用者が3-DセキュアのIDとパスワードをいつも覚えておけるとは限らないこと。さらに、クレジットカードを1枚しか持っていない人は少数派ともいえるような昨今にあって、どのカードにどのパスワードを設定したのか、思い出すことは困難を極める。
スマホでネットショッピングを楽しんでいて、ふと衝動買いの気持ちが湧き上がりついポチッとショッピングカートに商品を入れてしまった。勢いで支払い画面まで進み、クレジットカード番号などを入力したところで、画面上には「パスワードを入力してください」の非情な文字が。残念だが、思い出せないものは思い出せないし、あらためてパスワードを登録する気力もない。ショッピングカートに入っていた商品はそこで売り場に「返品」されていく。
カード加盟店であるオンラインショップ側にとってはたまったものではない。このようにお客の「カゴ落ち」を誘引しかねないとして、導入に二の足を踏む加盟店も多かったと聞く。経済産業省・商務・サービスグループ 商取引監督課 セキュリティ専門官の小西 啓介氏は「(3-Dセキュアは)10年前にもチャレンジしたが、限定的なところにしか普及しなかった」と振り返る(画面2)。
そんな3-Dセキュアは、まもなくサービスを終了するという(2022年10月でのサービス終了が関係各所からアナウンスされている)。
画面2 (出典:経済産業省)
一方、20年の時を経て登場してきた「EMV 3-Dセキュア」は、3-Dセキュアのこうした使い勝手の悪さを裏返しにした新しい仕組みと考えればよい。最大の特徴は、すべてのカード取引を無条件に3-Dセキュアの対象とするのではなく、あらかじめデバイス情報などお客のアクセス環境などの情報を基に不正リスクの有無について判定を行い(この機能を「リスクベース認証」という)、うたがわしい取引だけを追加の認証に誘導する。これにより、多くの正常な取引ではパスワード入力など追加の認証なしに決済を完了できる(画面3)。
画面3 (出典;同イベントでのメルカリ説明資料より)
追加の認証が発生する場合であっても、従来のような固定パスワードでなく、動的に生成されたワンタイムパスワード(OTP)をカード利用者の登録済み携帯電話番号にSMSで送信したり、生体認証を利用できるなど、「カード利用者が覚えておかなくてもいい」ように改善されている。
被害額が10分の1になったメルカリ
先行して「EMV 3-Dセキュア」に取り組み、効果を数字で体感する企業も出てきている。グループのスマホ決済サービスであるメルペイを通じたフィッシング被害などを起点として、盗んだカード情報によるクレジットカードの不正利用が2021年末ごろから増加したメルカリでは「EMV 3-Dセキュア」の導入を順次、開始している。その結果、対策前の2021年12月と比べて、2022年8月の不正利用金額は10分の1にまで減少した(画面4)。来期決算(同社は6月決算)から不正利用の影響は減少する見通しだという。
画面4 (出典;同イベントでのメルカリ説明資料より)
メルカリ・執行役員 VP of Trust and Safety Japan Regionの篠原 孝明氏は「3-Dセキュアはあまりよくなかったが、EMV 3-Dセキュアではカゴ落ちの影響も軽微となり、非常に有用だった」と導入を評価した。
同社ではもちろん、EMV 3-Dセキュア以外にも、フィッシング対策としてSMS認証を追加するなどの対策を講じているほか、FIDOのパスワードレスや生体認証への対応など今後も多角的にアカウント作成時や不正ログインへの対策を強化していく方針だという。
EMV 3DSフローの前に自社の不正検知を組み込んだヤフー
ヤフーも「EMV 3-Dセキュア」を導入済み企業の1つだが、その導入の仕方にちょっとしたひねりが効いていて興味深い。同社もまた、ECモールのYahoo! ショッピングやPayPayモールに加えて、個人間取引にも利用されるヤフオク!、PayPayフリマなどでもれなくカード不正利用に悩まされている当事者である。そんなヤフーでも、「EMV 3-Dセキュア」を今年8月17日からYahoo! ショッピングとPayPayモールに導入した。
同社ではそれまで、それらの決済取引を不正検知システムと、人力(専門審査チーム)の両軸により、24時間365日体制で監視チェックしてきた(画面5)。前者の不正検知システムはルールベース判定と機械学習を組み合わせて同社が独自開発したものだが、今回の「EMV 3-Dセキュア」の導入にあたり後者の人力チェックの部分をそっくり「EMV 3-Dセキュア」に置き換えることで、全体のフローを再構築したという(画面6)。「カード取引において、当社独自開発の不正検知システムが不正の懸念を示したものについてのみEMV 3DSを通す仕組みで、(従来の専門チームに充てていた)人間の工数も減らすようにした」(ヤフー・コマースインフラ本部安全対策部 部長の藤田 智子氏)
画面5 (出典;同イベントでのヤフー説明資料より)
画面6 (出典;同イベントでのヤフー説明資料より)
すべての取引について強制的に「EMV 3-Dセキュア」に回すのではなく、取引内容の前さばきとして構築済みの自社システムを組み合わせることで、「導入はしているが、必ずしもEMV 3-Dセキュアを用いない」フローを実現している点は注目に値する。
システム開発と運用のためのコスト負担が課題か
いいことづくしにも聞こえる「EMV 3-Dセキュア」。しかし、何事にも課題はある。
先述のかっこ社がEC事業者に向けて実施したアンケート結果からは、「EMV 3-Dセキュア」導入への不安な点として、「システム開発コストが数百万円かかる」「ランニング費用がかかる」と費用負担面での心配が上がっている。費用対効果で考えれば、先に挙げたメルカリのようにカゴ落ち防止とカード不正利用防止の2つで「十分に元が取れる」算段のできる事業者の場合にはあまり気にならないだろうが、中小規模の事業者にとって始める前に不安が生じるのは当然のことだろう。
他のEC事業者からのコメントには「リスクベース認証の基準が自社の商材や客単価に合っているのか不安」、「ワンタイムパスワードが突破される事例も出てきており、すり抜けが心配」など、確かに心配になって当然な気持ちが吐露されていた。
とはいえ「EMV 3-Dセキュア」の導入がEC事業者の任意であれば、他の方法でカード不正対策を講じたり、まずは他事業者の様子を見ることもできるので、不安は少し解消されるだろう。ただ、もしもEC事業者に対して「EMV 3-Dセキュア」の導入が義務化されるとなれば、そうはいかない。今後、義務化はあり得るのだろうか?
法律ではなく民間の指針による立て付けで、義務化の見通しは?
イベントでは、登壇した経産省の資料内でも強調されていた「EMV 3-Dセキュア」だが、今後、EC事業者に導入が義務化される可能性はあるのだろうか?
そもそも経産省では、法律(割賦販売法)と事業者の義務の関係に関して、「法律にして硬直的にならないようにとの意図で、民間で規定するガイドラインにより対応してもらっている。このガイドラインが法的性格を帯びるような形で実務上の指針となっている」(前出・経産省の小西 啓介氏)との立ち場を取っている。
ここでいうガイドラインとは、毎年度末に「クレジット取引セキュリティ対策協議会」(事務局:日本クレジット協会)が作成、公表してきている「クレジットカード・セキュリティガイドライン」を指す(画面7)。クレジットカード取引に関わるカード会社、加盟店、決済代行業者などの関係事業者が実施するべきクレジットカード情報漏えい・不正利用防止のためのセキュリティ対策が掲載されており、この文書内に掲げられた措置か、それと同等以上の措置を講じている場合には、同法で定めるセキュリティ対策の基準を満たしていると認められる構造だ。
画面7 (出典:経済産業省)
社会情勢にあわせて毎年改訂され、現時点では2022年3月に公表された「3.0版」が最新バージョンとなる。「3.0版」での「EMV 3-Dセキュア」の書きぶりは、その他のカード不正利用対策と並んで、ECサイトでの本人認証技術として「推奨」されるにとどまっている。
経産省では今年、割賦販売法の改正を審議する割賦販売小委員会の下に、学識者、業界関係者、実務家などを委員に招く「クレジットカード決済のセキュリティの在り方検討会」を設置。8月4日に第1回会合を開催した。この中で具体的な対応の方策などが議論され、その結論が2023年の年初から春ごろまでに開催予定の割賦販売小委員会に報告されることになる(画面8)。「クレジットカード・セキュリティガイドライン」の改訂作業もこれらの流れと並行して行われることから、来春公表されるであろう新版の内容に盛り込まれると考えてよいだろう。
議論の行方に注目しつつ、年度末に公表されるであろうガイドラインの記載を見守りたい。
画面8 (出典:経済産業省)
そのほか「フィッシング、クレジットカード不正の現状と対策を考える会」での登壇者の発表(抜粋)
警察庁・サイバー警察局サイバー企画課 課長補佐の清川 敏幸氏は、警察庁がインターネット利用者をはじめ、消費者庁、日本通信販売協会、ブランド団体、日本サイバー防犯対策センターなどから情報提供を受けたフィッシングサイトの関する情報をウイルス対策ソフト事業者などに対して通知することで、利用者が当該URLにアクセスした際にウイルス対策ソフトが警告を表示させるなどの対策を行っていることを説明した。また、なりすましメールが送れなくなる送信ドメイン認証技術、「DMARC」の導入推進を事業者に呼びかけた。
経済産業省・商務・サービスグループ 商取引監督課 セキュリティ専門官の小西 啓介氏は、国際ブランドが定めたセキュリティ基準の「PCI DSS」が今年3月に9年ぶりのバージョンアップ(4.0)を果たしたことに触れ、2024年3月末までを期限として移行が始まっていくことを紹介した。
かっこ・O-PLUX事業部 ディビジョンマネジャーの小野瀬 まい氏は、2022年上期のカード情報漏洩の実態として、21サイトから66万件の情報が流出したことを指摘。ECサイトにおけるカード情報の非保持化は浸透したものの、ペイメントモジュールの改ざんなどを主な手口として、流出に歯止めがかかっていないとした。
キャッシュレス推進協議会で事務局長・常務理事を務める福田 好郎氏は、「キャッシュレスではコード決済も不正犯によく狙われるが、コード決済の裏にクレジットカード番号が紐付くことがあり、クレジットカード不正利用の出先として使われることがあるためだ」と指摘した。また、不正アクセスを早期に検知して対応するには、もはや個社対応では限界があるとして、複数の決済事業者などで不正利用者を特定する識別子を共有するデータベース「CLUE(クルー)」の概要を説明した。
ヤフー・コマースインフラ本部安全対策部 部長の藤田 智子氏は、Yahoo! ショッピング、PayPayモールでのカード不正状況を説明し、発生金額の全体に対して実際の被害額は抑えられていることを明らかにした。この不正防止を支えてきたのが、同社が独自開発した不正検知システムによる判定と、専門審査チームによる24時間365日チェックであり、さらに今年8月からは「EMV 3-Dセキュア」の導入を開始したところ。
PayPay・法務・リスク管理本部金融犯罪対策室 マネージャーの水嶋 康一朗氏は「PayPayはコード決済で使う印象が強いが、実はオンライン決済も力を入れている」と切り出し、SMS認証を必須にするなど複数の不正防止対策を盛り込んでいることを明らかにした。PayPayは残高チャージ、カード登録による直接利用のいずれにおいてもクレジットカード情報との紐付けが発生することから、フィッシングや不正取得したカードの利用それぞれに対して対策を講じているという。
メルカリ・執行役員 VP of Trust and Safety Japan Regionの篠原 孝明氏は、不正利用への対策として、「未然防止」と不正検知後の早期対策」の2軸を推進していることを説明した。他方で、「フィッシングサイトやフィッシングSMSについてはすでに本物と見分けがつかないくらい巧妙に作られており、利用者の側でもURLや送信元アドレスを確認する必要がある」とも指摘し、「不審なメールやSMSのリンクを開かない」「アプリ・公式サイト以外でお客さまの情報を入力しない」「クレジットカードの利用明細を確認」という個々人でできる3つの対策を紹介した。
セーファーインターネット協会で事務局長を務める中嶋 辰弥氏は、民間主導で不正防止対策を推進している現状を話し、「Eコマース分野で発生する問題については当協会(SIA)の関係事業者が集まり、協議する場である『EC事業者協議会』を開催している。対策を講じても裏をかく新たな手口が出てくるのが不正の実態であるため、勉強会を開催して終わりではなく、今後も継続的に関係省庁、関係団体、事業者の皆さまと連携し、注意喚起や啓発活動に取り組んでいき、不正防止に努めていきたい」と語った。
登壇者による記念撮影
