クレジットカードは守られるのか 過去最悪の被害と最新不正対策

ECサイトのようなオンラインでの決済で、クレジットカード情報が流出して不正利用される事例が拡大している。日本では2021年度、被害額が過去最悪となり、その対策が急務となっている。

こうした状況を受けて経済産業省は、2022年から「クレジットカード決済システムのセキュリティ対策強化検討会」を開催しており、2023年2月2日には「クレジットカード決済システムのセキュリティ対策強化検討会 報告書」が公表された。

クレジットカード決済システムのセキュリティ対策強化検討会 報告書

店頭やオンラインでのクレジットカードを使った決済における安全性の強化を目指してこれまで検討してきた同検討会だが、その結論となる報告書が出たことで、今後のある程度の方向性が示された。

漏えいが続くクレジットカードは守られるのか。報告書を紐解くとともに、解決策として期待されるEMV SRC(Secure Remote Commerce)やFIDOなどの技術に言及したい。

過去最悪の被害額となったクレジットカード不正利用

日本のキャッシュレス決済比率が拡大して32.5％まで達し、そのうちの85％程度をクレジットカードが占めている。それに伴って不正利用も拡大しており、2021年の被害額は過去最悪の約330億円となった。

そのうち、店頭での支払いである対面取引では、IC化などによって割合は大きく減り、被害額全体の0.5％(1.5億円)にとどまった。ほとんどの被害が番号盗用であり、その割合は94.4％、約312億円と拡大している。つまり店舗での被害は少なく、ほとんどの被害がECサイトなどの非対面取引によるものだ。

そもそもクレジットカードは物理カードが存在することが1つのセキュリティの要素となるため、クレジットカード番号など一部の情報だけで決済できる非対面取引とは相性が良くない。

クレジットカード不正利用被害額の推移。クレジットカードの不正利用被害額は、2021年に300億円を突破。2022年も9月までで300億円を突破した。番号盗用は2014年から統計が開始されて、それ以降、被害額が急増している(日本クレジット協会のデータから作成)

クレジットカード情報の漏えい元は、加盟店や決済事業者などの事業者のデータベースだったり、クレジットマスターと呼ばれる手法だったり、フィッシング詐欺など。

漏えいした情報は、クレジットカード利用に関して対策が甘いECサイトなどの非対面取引で使われることがほとんどだと、報告書は指摘する。換金性があり転売しやすい商品、配送がないデジタル商品が狙われやすいが、最近はその時の人気商品など、多様な商品が狙われ、比較的低価格な商品の購入にも悪用されているという。

なお、クレジットカードの不正利用被害は、偽造カードが問題になった2000年前後の308.7億円をピークに、IC化などによって減少傾向だったが、2014年に100億円を再び突破して以降、番号盗用が急増して、2017年に200億円を超え、そして2021年に300億円を突破して過去最悪となった。

番号流出に備える

クレジットカードのセキュリティ対策としては、根本的にクレジットカード番号が漏れなければ大幅に被害を減らせる。報告書では、特にサイバー攻撃により事業者から番号を守ることに主眼が置かれている。

そもそもECサイトを運営するクレジットカードの加盟店に対しては、割賦販売法によってクレジットカード番号などを適切に管理する義務が課せられている。アクワイアラなどの加盟店管理事業者にも漏えい防止の措置が求められている。

クレジットカードの決済に関連するプレイヤーは多い。実際の決済時はデータが複雑にやりとりされる。日本の場合は独自のネットワークがある点も特徴。国家が提供したり、国際ブランド自身が提供したり、国によっても異なるが、国際取引ではたいていいずれかの国際ブランドのネットワークを使うのが一般的だ

「クレジットカード・セキュリティガイドライン」では、クレジットカード情報の非保持化または保持する場合はPCI DSS準拠といった措置が求められているが、「多くのEC加盟店が漏えい対策として非保持化を選択」(報告書)している。そのため、EC加盟店のデータベースなどから直接クレジットカード情報が盗まれる事態は多くない。

その代わり、ECサイトを改ざんしてクレジットカード番号を窃取する手法が増え、特に最近は決済アプリケーションの脆弱性をついて改ざん、番号などを窃取する攻撃が頻発している。非保持化によって自社内にクレジットカード情報がなくても、利用者がクレジットカード情報の入力をする際に盗まれるため、非保持化だけでは攻撃に対処できなくなっているのが現状だ。

報告書では、ECサイト自体が脆弱性対策に「自ら責任を持って対応することを求めていくべき」として、「すべてのEC加盟店が既知の脆弱性対策を実施することで漏えい防止の効果が期待できる」と指摘。セキュリティリテラシーが低いEC加盟店も多く、自主的な取り組みだけでは実効性を確保することは困難として、EC加盟店全体に対してクレジットカード番号などの適切管理義務を課すことが適切だとしている。

具体的な措置として、当面はEC加盟店でクレジットカード番号の適切管理業務の水準引き上げを挙げ、EC加盟店のシステム、ECサイト自体の脆弱性対策を必須とする。

アクワイアラ側には、加盟店管理の中でEC加盟店に対するセキュリティ対策も求める方針を示す。新規加盟店に対して、サイトのセキュリティチェックリストによる脆弱性対策の実施状況を申告させる、という試行が2022年10月から開始されていて、今年度中に抑止効果を判断する。

アクワイアラに加盟店のセキュリティ対策を管理させることが現実的かどうかも検討。当面は加盟店のシステム・サイトの脆弱性対策に関して加盟店調査項目を拡大。適切に加盟店管理が実施されているか、国の監査も実施する(2025年4月から)。

加盟店、アクワイアラだけでなく、オンラインの非対面取引では決済代行業者やECモールなどのPSP(Payment Service Provider)の存在も重要だ。決済機能やシステムを提供することから、アクワイアラよりも加盟店との接点が近く、クレジットカード情報も管理している。

まずは国としてPSPの実態把握にようやく乗り出す。メタップスペイメントが2021年に最大46万件のクレジットカード情報を流出させたが、クレジットカード情報を集約しているのがPSPのため、攻撃に遭うと漏えい件数が一気に跳ね上がる。

報告書では、「業界横断的な業界団体が存在しない」、「民間企業であるアクワイアラの調査・指導には限界がある」といった点から、法的な登録義務、国による新規参入の制度構築などが提案され、今年度中にも制度などを国が検討する。

報告書では、EC加盟店に対して不正アクセスの早期検知も求めるなどハードルが高くなっている。とはいえ、特に小規模なECサイトが決済システムを自前で構築する例はまれで、PSPを使うのが一般的であり、報告書は、イシュアの本人認証の強化、PSPの対策強化が主眼となっている、と経産省では話している。

EMV 3Dセキュアを'25年3月までに導入

流出面だけでなく、漏えいした番号などを使った不正利用の防止についても検討されている。割賦販売法では、対面での不正利用防止に関しての定めはあるが、非対面取引ではすべてのEC加盟店に対策を求めていなかった。報告書では、「非対面取引における利用者の適切な確認として、本人認証を実施すべきと考えられる」とした。

まずはすべてのEC加盟店に対してイシュアによる本人認証を必須として、その手法としてはEMV 3-Dセキュア(EMV3DS)を2025年3月までに導入することが求められている。

EMV3DSはECにおける「カゴ落ち」(購入意向はあるが認証操作に手間取り、断念してしまう)リスクを削減しながら対策できるとして、事業者からも効果が出ているとの報告がある。これを段階的であってもすべてのEC加盟店に義務づける。報告書で導入時期を明確にした点、すべての加盟店に義務づけをした点を評価する声もあるようだ。

クレジットカードが不正利用されてカード保有者が支払いを拒否した場合に、イシュアが加盟店への代金支払いを拒否するチャージバックでは、店舗側は犯罪者に商品を送付した上で代金を回収できない状況になる。ただ、EMV3DSを導入していた場合、この代金をイシュアが補償してくれる(ライアビリティシフト)。こうしたことからも、EC加盟店はEMV3DSの導入は検討すべきだろう。

また、キャッシュレスサービスやECモールにカード情報を登録しておけば買い物ができるため、「アカウント自体がクレジットカード番号等と同等の情報」と報告書は言及。これは、Amazonや楽天市場にクレジットカードを保存したり、PayPal、PayPayなどにカード情報を保存して決済に使ったりといった利用を想定したものだ。

こうしたアカウントに対しては、クレジットカード番号を紐付ける際にEMV3DSによる本人認証を行なう、もしくはログイン時の本人認証でEMV3DSと同程度のなりすまし防止策などの必要性が示された。ただ、現状ではこれは協力を要請するという段階で、強制力までは示されていない。

クレジットカード決済システムのセキュリティ対策強化検討会 報告書で求められている各プレイヤーのセキュリティ対策(国の方針も含む)

EMV3DSやFIDO、Click to Payを活用

この「EMV3DSと同等」の基準に関して、クレジットカードの業界団体であるEMVcoが2018年からFIDO Allianceと連携しており、オンラインでの決済においてFIDO認証を活用した安全性の強化を図って活動している。2022年12月には、EMVco、FIDO Alliance、W3Cが共同でリリースを出しており、3者での取り組みを継続する意向だ。

この取り組みでは、EMVcoのEMV3DSに加え、Web認証を含むFIDO2認証を活用。FIDO2認証の結果はEMV3DSの参照情報としても使うこともできるほか、商品決済時にクレジットカードを選択すると、事前に登録したFIDO認証資格情報を呼び出して本人認証する、といった使い方も考えられている。

本人認証を強化する取り組みとして期待できるが、FIDO AllianceのボードメンバーでもあるNTTドコモの森山光一氏によれば、現時点で、FIDO2認証と組み合わせた事例は国際的にもないとのこと。EMVco自体が進めている取り組みのため、今後は広まる可能性はあるだろう。例えばJCBは、活用の可能性に関して検討を始めているようだ。

EMVcoはさらに、EMV SRC(Secure Remote Commerce)を策定している。ECでの決済のためのセキュリティ仕様で、2023年1月にはSRC1.3が登場した。米国では、例えばVisa Checkoutなどと呼ばれていた技術を国際標準化したもので、実際のサービスとしては「Click To Pay」という呼称に統一されている。

Click To Payのログイン画面。上部にある右向きの矢印のようなマークがClick To Pay(EMV SRC)のアイコン。対応している国際ブランドのアイコンも併記されている

この仕様に対応すると、ECサイトでクレジットカードを入力する際に安全性が向上する、とされている。ECサイトの決済画面に「Click To Pay」のボタンが用意されるので、これを選ぶと専用サイトが立ち上がってクレジットカード情報を登録するか、専用アカウントへのログインが求められる。

このアカウントは、Visa、MasterCard、American Expressといった国際ブランドが直接サービスを提供しており、各ブランドのクレジットカードと住所を登録することで、ワンタッチでカード情報と配送先住所を入力できる。これによって利用者は、ECサイトごとにクレジットカードを直接入力しないで済むし、ECサイト側もクレジットカード情報を管理しないで済む。

あらかじめ登録されていたクレジットカードが選択できる。登録自体はMasterCardとVisaで別々に登録したが、決済画面では一覧表示される。三井住友カード(Visa)とRevolutはカード券面がきちんと表示されているが、三井住友カード(MasterCard)は券面が表示されていない。このあたりの理由はちょっと不明

EMV SRC仕様では、EMV3DS、EMV Payment Tokenizationなどの技術と併用できるため、カード情報はトークナイゼーションによって無関係なデータに変換、暗号化して送信することで、経路でトークン化された情報が盗まれても被害が出ないようにできるようだ。

カードと住所を同時に登録できるため、ECサイトに会員登録しなくてもクレジットカードと住所の情報を送信できるし、住所、メールアドレス、電話番号のデータはマスキングされていて、他者が特定しづらくする、といった配慮もされている。

決済時は、Click To Payを選ぶと各国際ブランドで登録したクレジットカードがブランドを問わず一覧で表示され、使いたいカードを選べばいい。トークナイゼーションを併用すれば、決済時はトークン化された番号が使われるため、サイトが改ざんされていてもクレジットカード番号自体を盗むことができないので、安全性が向上する。

カゴ落ちへの面でも効果はありそうだ。決済をしたいと思っても、会員登録やクレジットカードの入力が必要になって買い物を諦めるという例は多い。Click To Payでは住所も登録しているので、カードを選ぶと同時に配送先住所も設定できる。会員登録やカード・住所入力が不要になるためカゴ落ちリスクが減少する。

現状のClick To Payでは、専用サイトへログインする際にIDを使い、SMSやメールへの認証番号を送信する2段階認証となっている。ここにFIDO認証を組み合わせることで、ログインの安全性と利便性が高まることも期待できそうだ。

EMV SRCを利用しなくても、FIDO2認証をクレジットカードの利用に活用することはできる。ECサイトにログインする際にFIDO2認証やパスキーが利用されるようになれば、フィッシングサイトにクレジットカード番号を入力するといった被害も減らせるだろう。複数端末で使えるパスキーに対応すれば、なお利便性が向上する。現状ECサイトでパスキーに対応したサイトは多くはないが、これから拡大する可能性はある。

SRCは、既存の決済に関わるプレイヤーがそれぞれ役割を担っており、例えばSRCイニシエーターはアクワイアラやPSP、SRCシステムはCAFISのような決済ネットワーク、DCF(Digital Card Facilitator)は前記の国際ブランドが提供するようなデジタルウォレットサービス、といった具合だ。

SRCにおけるプレイヤー。基本的には既存のプレイヤーが参加する形になっている

DCFは現在国際ブランドが担っているが、ほかの事業者が提供することもできる模様。W3CのWeb Payment APIと連携するため、例えばApple Pay/Google Payのように、すでにクレジットカード情報を保管しているサービスがDCFとしてSRCをサポートすることはありえるようだ。

この仕組みだと、国際ブランドなどのDCFが侵入されるような事態になった場合に危険な印象もあるが、セキュリティレベルが高いと想定されている事業者に預ける方が安心という判断はあるだろう。

問題は、Click To Payに対応している国がまだ一部にとどまっているという点で、日本はJCBを含めてどこも対応していない。SRC(Click To Pay)に対応するためには、国際ブランド、決済ネットワーク、PSP、アクワイアラ、イシュア、加盟店などと幅広いプレイヤーが、全体として対応を進める必要がある。

現時点では、JCBが2022年に社内で概念実証(PoC)を実施してSRCシステムを構築したというが、実際の導入には検討段階。Visaも海外ではすでに提供しているが、国内では「適切なタイミングで推進していきたい」という状況だ。まずは国際ブランドが展開を決めてから各社が動く形になるとみられるので、実際の展開には時間がかかりそうだ。

前出のクレジットカード決済システムのセキュリティ対策強化検討会報告書では、「将来的にはクレジットカード番号14～16桁ではないトークナイゼーションをどのように使い得るか、検討課題として視野に入れておくべきという意見もあった」という程度で、最新技術に関しては検討の俎上に上がっていない。

非対面取引でのトークナイゼーションは、国内でまだほとんど普及していない。例えばSquareはトークン化や暗号化をしてカード情報を保管しているというが、決済時に送信されるクレジットカード情報がトークン化されているわけではない。Squareのような、いわゆる保管時(Card on File＝CoF)のカード情報のトークン化はすでに存在しており、JCBもPSPや加盟店向けにCoFトークナイゼーションの開発を進めているという

クレジットカード番号を直接入力しないパターンでは、例えばApple Payの場合、クレジットカード登録時点でトークナイゼーションが行なわれていて、決済時にはトークン化された番号が送信される。

トークン化された情報は盗まれても、他人がそのまま別の決済で使うことはできないので、不正利用の対策として期待されるが、Click To Payと同様、各プレイヤーの対応が必要で、普及にはまだ少し時間がかかりそうだ。

報告書では、最新技術の導入に関しては民間事業者の取り組みに任されているが、実効性のある対策として、EMV3DS以外にも、トークナイゼーション、Click To Pay、FIDO2認証など、技術的な方面で期待できる技術が登場している。カード決済を安全にするためにも、こうした技術の展開にも期待したい。