ニュース
急拡大するクレジットカード不正利用。EMV 3Dセキュアなど最新の対策
2022年9月14日 09:00
近年、クレジットカードの不正利用が急増している。2021年における全国のクレジットカード不正利用被害額は過去最高の330億円。そしてその主因となるフィッシングの2021年の発生件数は52.7万件で、2020年比で約2.3倍となっている。
特にEC事業者を中心に被害が拡大しており、その対策が急務となっている。9月1日、一般社団法人セーファーインターネット協会が主催し、ECでのカードの不正利用被害などについての勉強会を開催した。ここでは、警察庁や経済産業省、EC事業者などの不正利用対策について紹介する。
フィッシング急増。有効な対策は「DMARC(送信ドメイン認証)」
特に被害が拡大しているのが「フィッシング」による被害。フィッシングは、メールやSMSなどを送りつけて、偽のウェブサイトなどに誘導し、カード番号やパスワードなどを盗み取るという詐欺手法だ。
EC事業者や決済事業者なども対策を強化している一方で、フィッシングサイトや犯行の手口が多様化・巧妙化しており、個社での対策だけでなく、EC事業者・決済事業者を含め、業界全体で連携の強化が求められるという。
警察庁でも対策を強化しており、4月からはフィッシングサイトの情報を集約し、ベンダーに共有する取り組みを開始した。そのURLの取扱数も急拡大しており、月に2~3万のURLを取得・共有しているという。
警察庁 サイバー警察局サイバー企画課 課長補佐の清川敏幸氏によれば、特に増加しているのが「クレジットカードの利用確認」を装うフィッシングサイトだという。カードの利用履歴や明細に偽装して、カード情報等を入れさせるという手法による被害が増えている。
こうした被害を防ぐ取り組みとして、警察庁が推進している取り組みが「DMARC(送信ドメイン認証)」。なりすましメールが利用者に届かなくなる仕組みで、ドコモやヤフーなどがメールサービスに導入しているが、EC事業者ではまだ導入例が少ないという。そのため警察庁でも強く推進し、事業者への対応を呼びかけてくという。
不正利用対策に「EMV 3Dセキュア」
経済産業省においても、不正対策の主軸がオンラインスキミングやフィッシング対策となっていることを課題とし、対策を進めている。
経済産業省 商務・サービスグループ 商取引監督課の小西啓介氏によれば、クレジットカードの不正利用は、カードの番号盗用が主因で、2000年代はスキミングによる偽造カードなど「対面加盟店」での不正が多かったという。この点は「ICカード化」を推進し、ほぼ100%になったことで減少したが、代わってECサイトにおけるフィッシング等の不正利用が急増しているのが現状という。
また、クレジットカードを規制対象とする割賦販売法は、令和2年度の改正で、カード事業者だけでなく、決済代行事業者、QRコード決済事業者などに対象を拡大。事業者には、セキュリティ関連の規定である「PCI DSS」の準拠を求めている。また、3月に「PCIDSS Ver.4.0」が発行され、今後移行を開始する予定。Ver.4.0にはオンラインスキミングやフィッシングへの対応が規定されている。
今後の対策としては、割賦販売法に規定するセキュリティ対策の実務上の指針となる「クレジットカード・セキュリティガイドライン」の対応を求める。
その中でも重要な対策が、ECサイトにおける本人認証として「EMV 3Dセキュア」の推奨だ。
EMV 3Dセキュアは、カード番号入力後に、ワンタイムのパスワードを使って認証するもの。EMV 3Dセキュアは、ワンタイムパスワードかつ、リスクが高いユーザーにのみ入力を促すため、ECで問題となるカゴ落ち(購入意向はあるが認証操作に手間取り、断念してしまう)を防げるしくみとなる。
経済産業省では、「漏洩防止対策」「不正利用対策」「フィッシング防止」の3つの軸でセキュリティ対策を強化。漏洩防止対策については、さらなる制度的措置を検討していくほか、不正利用防止についてはEMV 3Dセキュア原則化という方向性を定めている。またフィッシング防止については、DMARCの導入や周知啓発の強化、事業者と行政機関における共同の不正検知の仕組みづくりなどの連携強化などを図っていく。
また、クレジットカードで導入が増えている「リアルタイムの利用通知」が「結果的に不正利用を防ぐのではないか」とした。
現金化ルート確立が不正利用増の一因に。不正利用者をDB化
カード不正流出の増加は、カード情報漏洩やフィッシング詐欺の影響だけでなく、“ダークウェブ”でのカード情報売買やECや個人間売買の普及により、「現金化ルートが確立された」(かっこ株式会社 小野瀬まい氏)など複合的な要因があるという。また、かつては家電製品など、価格が高いものが不正の中心だったが、最近ではコスメや化粧品、日用品・雑貨などの「低単価な商品でも不正被害が増えている」という。
加えて、クレジットカードだけでなく、〇〇Payといったアプリ決済/コード決済での被害も増えている点も課題だ。「コード決済はリアル店舗で使われ、かついろいろな資金源を紐づけできるため、不正利用に狙われやすい」(キャッシュレス推進協議会 福田 好郎氏)という。
カード会社は利用状況を常にモニタリングしており、東京で使われた直後にアメリカで使われたら「怪しい取引」と認識できる。しかし、コード決済を挟んでクレジットカードを使うと「どこで使われたか」がわかりにくくなる。また、ECでは住所を入れるので、犯人の“足”が付きやすいが、リアル店舗であれば足が付きにくいため、コード決済における不正対策強化も急務だ。特に個別の事業者だけの対策には限界があるため、業界横断の取り組みが必要という。
そのためにキャッシュレス推進協議会が提案しているのが、「不正利用情報確認データベース(CLUE)」という取り組み。不正利用を行なった人を特定する識別子を事業者間で共有し、その識別子(リスクが高いアカウント)の取引を調査・警戒することで、不正な取引を防止することを目的とする。つまり不正が多く、リスクが高いとみられるユーザーの情報を共有する取り組みだ。
現在、コード決済などのキャッシュレス事業者を中心に取り組みを進めているが、ECサイト運営者などの参加も想定して準備を進めている。他社にユーザー情報を共有することから、個人情報保護委員会などとも連携し、ルール策定や平等性に配慮しながら作業を進めていく方針。
不正利用で大打撃のメルカリ。導入効果が高い「EMV 3Dセキュア」
EC事業者においても不正対策の取り組みを進めており、ヤフーでは、ルールベースのリスク判定と機械学習の導入により、業界全体ではフィッシングが拡大する中でも「Yahoo!ショッピング」や「PayPayモール」での不正を横ばいに抑えている。また「ヤフオク!」と「PayPayフリマ」では、不正は減少傾向となっているという。また、8月17日からはYahoo!ショッピングとPayPayモールにおいて「EMV 3Dセキュア」を導入した。
カードの不正利用とフィッシングにより、事業面で大きな影響を受けたのはメルカリだ。
メルカリ・メルペイでは、'21年末から不正利用が増加し、2022年度上期にはカード不正利用で23億円、フィッシングの影響は9億円と大きな損害を受けた。ただし対策を完了した7月以降、不正利用の影響は減少傾向にある。
メルカリ。メルペイの不正対策では、「未然の防止」と「不正検知の早期対策」の2軸で対応する。
特に不正減少の大きな要因となったのが、EMV 3Dセキュア2.0を導入したことだという。購入時にリスクが高いとみられる取引に対し、ワンタイムパスワードの入力を求めることで、不正利用を減らす仕組みだ。
従来の3Dセキュア(1.0)では、取引ごとにパスワードの入力を求めていたが、パスワードを忘れてしまっている人が多く、カートに商品を入れたけれども決済に至らない「カゴ落ち」が発生していた。しかし、EMV 3Dセキュアではデバイス情報をもとに、“リスクが高いと見らえる”取引にだけパスワードを求めるほか、パスワードもワンタイムで生成するため、パスワード忘れが生じない。そのため、カゴ落ちも少なくなっている。
EMV 3Dセキュア導入後、「決済の離脱率は2~3%程度でカゴ落ちは軽微。一方で、不正利用金額は約1/10まで減った」(メルカリ 執行役員 VP of Trust and Safety Japan Region 篠原 孝明氏)という。
EMV 3Dセキュアは2月のアプリアップデートから導入したものの、「しばらくは不正が残った」という。ただし、不正利用者がアプリをダウングレードしたりカードを変えるなど、「EMV 3Dセキュアを『嫌がっている』ことが見て取れた」ため対策に自信を深めたという。こうしたリスクの潰しこみが終わった結果、7月以降は大幅に不正が減少しているという。
メルカリでは、SMSでの注意喚起においてもフィッシングと間違われないように、「〇〇のデバイスでログイン」や「パスワードを変更した」など行なった操作を明示するように工夫。また、今後もFIDO(パスワードレスや生体認証)の推進などで、不正対策に取り組む。
一方ユーザーができる対策としては、「普通のこと」としながらも、以下の3つを常に意識するよう呼びかけた。
・不審なメールやSMSを開かない
・アプリ・公式サイト以外で情報入力しない
・クレジットカードの利用明細をこまめに確認
メルカリ篠原氏は、今後の課題として、「業界横断の取り組み」が必要と呼びかける。「自社の不正対策は、どうしても事後的なパッチワークでの対応になる。未然に不正を防ぐためにも、業界を横断した情報共有が必要」と語った。
