かっこ株式会社
O-PLUX事業部 事業部長
小野瀬 まい氏

ネットショッピングの利用は拡大の一途を辿っているが、同じくクレジットカードの不正利用も後を絶たない。その被害額は、2020年の253億円から2021年には330億円へと急増しており、対策強化は喫緊の課題だ。 そのような中、2016年以降、業界の標準規格とされてきた本人認証システム「3D セキュア」が、2022年10月に「1.0」から「2.0」 （EMV3Dセキュア） へとバージョンアップされることに伴い、EC事業者は「2.0」への移行又は導入が求められることになるが、それだけでセキュリティ対策が万全とは言えない面もある。不正被害の実態や対策について、オンライン上での不正行為を検知するサービス「不正チェッカー」を提供している、かっこ株式会社のO-PLUX事業部 事業部長 小野瀬まい氏にお話を伺った。

1年で被害額30％増　その背景にあるのは…？

日本クレジット協会「クレジットカード不正使用被害額調査」より

――クレジットカードの不正利用の実態を教えて下さい。

小野瀬氏：日本クレジット協会のデータによれば、カードの不正利用による被害額は2016年の142億円から、2021年には330億円へと増えています。特に2020年からの1年だけでも77億円、実に30％増となっています。

そのうち、対面式（オフライン決済）の偽造カード被害は2017年以降減少し、2021年は全体の1％未満となっていますが、そのぶん非対面式（オンライン決済）での番号盗用による被害が全体の95％を占め、被害額の急増や対策の難しさから深刻さを増しています。

背景としては、カード情報の漏洩事故が減らないことと、フィッシングメールなどで流出したカード情報がいわゆるダークウェブ上で売買されている実態があります。さらにここ数年の特徴として、フリマサービスやオークションサイトなど、CtoCビジネスが普及してきたことで個人間での売買が活発になったことが挙げられます。CtoCの販路が広く普及したことで、不正者にとっても転売先が広がり、現金化が容易になったとも言えるわけです。

――　一方、セキュリティ対策にはどのようなものがありますか？
小野瀬氏： 2018年に施行された「改正割賦販売法」の実務指針である「クレジットカード・セキュリティガイドライン」（現行は3.0版）では、EC（非対面取引）におけるクレジットカードの不正利用対策として、「本人認証」「券面認証」「属性行動分析」「配送先情報」の4つの方策が挙げられています。

本人しか知り得ない情報で認証するのが本人認証。3桁のセキュリティコードで認証するのが券面認証。属性行動分析は各ベンダーが提供する不正検知システムなどが該当します。また配送先情報も、ベンダーなどが提供する不審住所データと照合して、怪しい住所には商品の配送を停止するサービスなどを指します。

このうち「本人認証」の具体的な手法として、カード会社や決済代行会社を通して普及が進められているのが「3Dセキュア」です。「3Dセキュア」は、2022年10月で、従来のバージョン「1.0」から「2.0」へと更新され、「1.0」はサポートが終了することが決まっています 。

3Dセキュア「1.0」から「2.0」への移行で変わること

――「1.0」の特徴について教えてください。

小野瀬氏： 「1.0」では、カード所有者が専用パスワードをあらかじめ登録しておき、決済の際に認証画面にパスワードを入力することで本人認証を行っています 。セキュリティ対策としては有効であるものの、いくつか改善すべき点が目立つようになってき ました。

例えば、ネット決済の度にパスワード入力が求められるので、ユーザーにはわずらわしく、またパスワードを忘れてしまうなどで、購買手続きがストップしてしまう“かご落ち”事例が増えていたのです。かご落ちの頻発は、事業者にはデメリットとなってしまいます。

また、カード会社にもデメリットがあります。3Dセキュアを導入していても、その認証画面そっくりの画面にパスワードを入力させて情報を吸い取るフィッシングの手口も現れるようになり、本人認証が突破されて不正にアクセスされた取引の場合、チャージバックはすべてカード会社の負担になってしまいます。

これらの点が3Dセキュア「1.0」から「2.0」への移行によって解消されると期待されています。

――「2.0」ではなにが強化されたのですか？
小野瀬氏：まず、本人認証の方法が変わり、「2.0」ではワンタイムパスワードや生体認証が推奨されています。これにより、パスワードを事前に登録しておく必要がなくなり、仮にクレジットカード情報が盗まれたとしても不正利用に繋がりにくくなったわけです。

また「2.0」では、「リスクベース認証」 が行われるようになりました 。リスク度判定の結果、リスクが低い取引については認証を行わずに手続きが進められるなど、リスクの度合いに応じて認証のレベルを上げていくという考え方です。これによって、正常ユーザーの手間は大幅に軽減されることになり、“かご落ち”も少なくなります。

「不正チェッカー」でクレジットカードの不正利用の不安も解消

――そうなると今後「2.0」への移行や導入は加速していきますね。

小野瀬氏：大手EC事業者ではすでに「2.0」に対応済みの事業者も少なくありませんが、中小事業者では、「1.0」と「2.0」ではシステムの仕様が全く異なり、新システムに切り替えるために開発コストが掛かることから、移行が進んでいるとは言えない状況です。

一方で、「1.0」は10月をもってサポートが終了するためそのまま使い続けることはできませんし、「2.0」への移行や導入をしたとしても、不正が多発した場合には、カード会社から追加対策の実施や決済手数料の変更を求められることもあり得ます。中小事業者には悩ましい限りなのですが、そういう声に応えて、当社では「不正チェッカー」という不正注文検知サービスをおすすめしています。

先ほど、「クレジットカード・セキュリティガイドライン」 で規定している不正利用対策は4つに分かれていると説明しましたが、不正利用を防ぐために、多面的・重層的な対策の実施が推奨されています。 当社の「不正チェッカー」は、このうち「属性行動分析」と「配送先情報」に対応していますので、3Dセキュア2.0との併用はもちろん、3Dセキュア2.0の導入が難しい事業者にとっても、安全なEC運営が可能となります。

――具体的にはどのような特徴がありますか？

小野瀬氏：「不正チェッカー」は、各種情報と照合することで、その取引が「OK」なのか「NG」なのかを審査し、その判定理由とともに提示します。注文に不審な点がないかをリアルタイムに解析できます。

具体的には、IPアドレス等から同一デバイスかどうかのチェックや、短期間の大量購入や同一人物によるなりすましのチェックが可能です。また、当社の不正検知サービスで共有されている約2万サイトの情報から構築したネガティブデータベースとの照合もできます。加えて、商品の送り先として、マンション等の空き室が悪用されるケースが少なくありませんが、日本最大級の不動産・住宅情報サイトと提携して不動産空き室情報との照合もできるようになりました。

初期費用は5万円。月額基本料金は1,000件分の審査費用として4,000円。追加の審査については1件4円の費用で導入が可能ですので、「3Dセキュア2.0」の導入に躊躇されている事業者に喜ばれています。また実際に3Dセキュアと併用されている事業者からは、「導入後はカード会社からの調査依頼が減り、効果が出ている」という声をいただいています。

「不正チェッカー」は、自社開発のサービスですので、さらなる機能拡充も進めていく予定ですし、上位機種の「O-PLUX」とのデータ共有も、今後さらに進んでいく予定です 。またサポート面も柔軟に対応していますので初めて不正検知サービスを利用する事業者でもスムーズな導入が可能です。

当社は、今後も利用企業からの声をサービスに反映させていくと同時に、当社が持っている情報を積極的に発信していくことで、事業者のセキュリティ強化に貢献していきたいと考えています。安全安心なEC環境を作っていくために、関係省庁や業界団体等とも協力しながら、業界全体で一体となってセキュアな環境づくりの底上げをはかっていければうれしい限りです。