カード情報非保持化の次は不正利用対策が必須!ECで急増する不正利用を防ぐ方法とは
2018年の割賦販売法改正とそれに伴う実行計画では、カード情報非保持化と不正利用対策が義務付けられた。しかし、非保持化は対応済みだが、不正利用対策についてはこれからという事業者も多いのではないだろうか。ECでのカード不正利用は増加の一途をたどっており、今まで被害のなかった事業者も他人事ではいられない。
では具体的にどのような対策があるのか、ベリトランス株式会社平岩 知恵氏(決済事業部 加盟店営業第一部 シニアセールスマネージャー)、株式会社NTTデータ 川村 哲也氏(ITサービス・ペイメント事業本部 カード&ペイメント事業部 プラットフォーム統括部ペイメントインフラ担当 課長代理)に伺った。両社は不正利用対策にあたり連携して、「CAFIS Brain® for VeriTrans4G」という不正検知サービスを提供している。
番号盗用によるECの不正利用が増えている
クレジットカードの不正利用の被害額は年々増加している。ここ数年、大きな問題となっているのが、番号盗用によるECでの不正利用だ。一般社団法人日本クレジット協会「クレジットカード不正利用被害の集計結果について」によると、2016年から2017年にかけてその被害額は2倍近い増加となっており、不正利用被害額の約8割を占めている。
「クレジットカードの不正利用というと、以前は、漏えいしたカード番号と有効期限で偽造カードを作り、家電量販店などで買い物をして商品を転売するという手法が主流でした。しかし、IC化により偽造カードの作成が難しくなり、不正利用の場が、カード番号と有効期限があれば利用できるECにシフトしているのが現状です」。(平岩氏)
クレジットカードの不正利用では、カード会員の損害はカード会社により補償されることが多い。一方、カードの不正利用により購入された商品は、不正ユーザーの手に渡ったまま、戻ってこない。EC事業者にとっては、売上だけが取り消され大きな損害となり得るのだ。
クレジットカードの不正利用被害増加への対応として、2018年6月、割賦販売法が改正された。そして具体的に行うべきことを定めたものとして、2017年度~2019年度にかけて毎年、クレジット取引セキュリティ対策協議会より「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(以下「実行計画」)が公表されている。
実行計画に基づくEC事業者の対応
実行計画では、まず、カード加盟店におけるカード情報の非保持化(もしくはPCI DSS準拠)が義務化された。カード情報の非保持化とは、サーバ、PC、加盟店のネットワーク・機器でカード情報を「通過」「処理」「保存」しないことだ。ユーザーの代理としてカード情報を業務PCに打ち込むこともNGとなる。
EC事業者は2018年3月末までに、実店舗の事業者は2020年3月末までにカード情報の非保持化を行うことが定められている。EC事業者については、ほとんどが対応済だろう。ただし、これで完了ではない。非保持化と合わせて義務化されているのが、複数の対策を組み合わせた「多面的・重層的な不正利用対策」だ。カード情報の非保持化は、カード情報の漏えいを防ぐための対策だが、それでもすべてにおいて100%漏えいが防げるわけではない。万が一カード情報が漏えいした場合、あるいはすでに漏えいしているカード情報に対して、不正利用をさせないための対策も必要なのだ。
「この2年ほどは非保持化の対応がメインでしたが、それが完了して次ということで、不正利用対策についてのご相談が増えています」。(川村氏)
「加盟店さまに対しては、まずはなぜこの対策が必要なのかという背景をお話しした上で、具体的に必要な対策を国の指針に沿ってご案内しています。現時点で、加盟店さまがどういった対策を取られているのかを確認したうえで、次のステップとしてどういった対策があるのかをご案内する形です」。(平岩氏)
非保持化の次に対応すべき不正利用対策
2019年度の実行計画では、EC事業者における不正利用対策として、以下の4施策より、多面的・重層的な対策を導入することが推奨されている。さらに、不正利用されやすい高リスク商材(デジタルコンテンツ、家電、電子マネー、チケット)を扱っている加盟店は1方策以上、不正顕在化加盟店は2方策以上の対策が求められている。
1.本人認証(3Dセキュア/認証アシスト)
2.券面認証(セキュリティコード)
3.属性・行動分析(不正検知システム)
4.配送先情報(過去の不正配送先情報を蓄積、活用)
また、上記対策を考える際、その前にすぐにできる対策もあるという。
「まず、注文情報の『目視チェック』をおすすめしています。住所や氏名、連絡先、購入商品の内容に不審な点がある場合、出荷を止めることで不正利用を防ぎます。その他にも、ユーザー情報の変更があった場合の通知や、海外発行のカードには注意するなど、それほどコストをかけずにできる対策もあるので、加盟店さまの状況に合わせてご案内しています。弊社のオプションサービスとして、個別の注文情報について、属性確認や、不正者が空き部屋などに配送させる不正配送先の確認を行うこともできます」。(平岩氏)
とはいえ、すべての注文情報をチェックすることは難しい。個別の注文情報の確認も、件数が増えるとコストも増えていく。そこで次のステップとなるのが、3Dセキュアによる本人認証だ。3Dセキュアは、カード会社が積極的に推奨している不正対策で、ヨーロッパなどでは当たり前の対策となっている。
しかし日本の場合、決済時に別画面での入力項目が増えることで、離脱につながるのではないかという事業者の懸念がある。その代わりに検討されるのが、ユーザーには見えない形でチェックできる、不正検知システムによる属性・行動分析だ。
「実行計画において、属性・行動分析が不正検知に有意義との追記もあります」。(川村氏)
「ヨーロッパなどでは3Dセキュアは必須化されECサイトでの導入が進んでいますが、3Dセキュアによる離脱を懸念する日本の事業者は、ユーザーの負担となる本人認証は行わずに、不正検知システムなど属性・行動分析を導入するというケースが多いですね」。(平岩氏)
そのニーズに応え、ベリトランスでは、NTTデータの不正検知システム「CAFIS Brain®」を総合決済サービス「VeriTrans4G」に標準接続している。それが「CAFIS Brain® for VerTtrans4G」だ。
CAFIS Brain® for VeriTrans4Gの特徴
CAFIS Brain®は、エンドユーザーのデバイス情報を始めとして、IPアドレス、取引情報や決済情報などを総合チェックすることで、不正取引を検知する属性・行動分析サービスだ。
「不正検知システムは、ユーザーを『見える化』するサービスです。たとえば、同じ個人情報で複数の端末から連続で注文があったり、複数の個人情報で同じ端末から連続で注文があったり、同じ端末から複数の決済手段で連続注文……など、IPアドレス等だけではわからなかった不正利用の可能性の高い注文がわかるようになります」。(平岩氏)
「実行計画で示されている4施策のうち、属性・行動分析以外はマッチング技術です。3Dセキュアも、セキュリティーコードも、事前登録情報や手元情報と照合を行う技術ですし、配送先情報も、過去の不正配送先リストと突合するマッチングです。しかし、属性・行動分析は違います」。(川村氏)
「他の対策があくまでも過去のデータに基づいていることを考えると、属性・行動分析は、『生きているデータ』を見るものと言えるかもしれません。不正検知システムにもいくつか種類があり、弊社では事業者様のニーズに合ったものをおすすめできるようにしています。CAFIS Brain®は、国内にサーバがあり、日本のカード決済について知見のあるNTTデータさんが提供しており、日本特有の決済事情に合わせてチューニングを行うことに長けている点が特徴です」。(平岩氏)
CAFIS Brain®は、2014年から日本で開始されたサービスで、EC加盟店をはじめとして、決済代行会社の決済システム、銀行の共同インターネットバンキングシステムやコード決済事業者のアプリケーションなど、業種業態、用途を問わずさまざまなところに導入されている。
「日本国内において、エンドユーザーのデバイスとの接点が一番多いのがCAFIS Brain®ではないかと思います」。(川村氏)
また、CAFIS Brain®は、3Dセキュアのリスクベース認証としても活用されている。3Dセキュアのパスワード認証だけでなく、CAFIS Brain®による”なりすまし取引”チェックが並行して行われることで、より強固なセキュリティ対策を実現している。
「これまでのセキュリティ対策は、攻撃者からのアクセスをどのようにして防ぐかということに注力していました。属性・行動分析サービスにおいては、ユーザーを“見える化”することで、真正利用なのか“なりすまし”利用なのかのリスク判定を行います。注文者を目視確認するための“モニター”を設置するようなものです。“モニター”と通じて注文者の振る舞いを確認することで、不正注文を精度高く見極めることが可能となります。」。(川村氏)
不正利用対策はすべての人に関係する
2016年から始まった実行計画も大詰めとなっているが、不正利用は日々変化しており、状況に応じた対策が必要だ。
「弊社では、加盟店さまに状況に合わせてコンサルをさせていただいています。そのひとつが不正検知です。不正利用対策について、たとえば、現時点では目視チェックだけで良いかもしれない。しかし、今は必要がなくても、将来的なニーズを考えて必要なソリューションを揃えています。他の加盟店さまがどのような対策をされているかという事例もご紹介できますので、まずはご相談いただければと思います」。(平岩氏)
「不正利用の多い商材から対策が進むことで、これまで不正利用があまりなかったところで不正利用が多発するということもあります。今までなかったからといって、安心できません。クレジットカードの不正利用対策は、国が主導して取り組んでいるものです。加盟店さまはもちろん、エンドユーザーにまで周知することで、お互いに理解を深めていき、対策を進めていきたいと思います」。(川村氏)
このまま不正利用被害が増え続けると、EC市場の成長にも影響しかねない。不正利用は、情報漏えい、不正利用の一件ずつの積み重ねで被害額が大きくなっていく。逆に、すべてのEC事業者が適切な対応をすることで、被害を可能な限り小さくすることも可能だ。ベリトランスでは、CAFIS Brain® for VeriTrans4Gをはじめ、不正検知の両域で実績を持つ複数の不正検知ソリューションを組み合わせ、業種・商材や不正使用発生状況、予算に応じて検討できる幅の広いラインナップとして提供している。まだ対策の十分でない事業者は、まずは相談してみてほしい。