原則全てのEC加盟店が、2025年3月末までに「EMV 3-Dセキュア」の導入を求められている。しかしEMV 3-Dセキュアは目先の不正対策に過ぎず、プラスαの対策を講じなければ被害を防ぎきれるとは言い難い。
このたび、不正検知ツールを展開する株式会社アクル、かっこ株式会社の2社に、今EC事業者が行うべきセキュリティ対策について解説いただいた。
EMV 3-Dセキュアを導入していない、あるいはEMV 3-Dセキュアを導入するだけで十分と考えているなら、ぜひ参考にしてほしい。

不正対策はEMV 3-Dセキュアだけでは不十分

EMV 3-Dセキュアとは、従来の3-Dセキュア（1.0）のバージョンアップ版として、EMVCo（※1）が新たに標準化したカード決済セキュリティの仕組みだ。EC事業者においては2025年3月の原則義務化に向けて、すでに導入している企業もあれば、これから対応する企業もあるだろう。

なかには「不正検知システムとしては、EMV 3-Dセキュアを導入すればそれだけで安心」と考えている事業者もいるかと思われるが、両社の話を統合すると、EMV 3-Dセキュアの導入だけで不正が防ぎきれるとは到底言えないようだ。

株式会社アクル（以下、アクル）は「EMV 3-Dセキュアの導入だけの対策では、クレジットマスターアタック（※2）を防ぐことはできず、また、EMV 3-Dセキュアによる本人認証だけではすり抜けられてしまうケースや、不正ログインにより他人のアカウント情報で決済されてしまう事例も発生している」と警鐘を鳴らす。

なぜクレジットマスターアタック（以下、クレマス）や不正ログインを防ぎきれないのか。それは、EMV 3-Dセキュアがあくまで決済時の本人情報の確認に利用されるシステムだからだ。不正対策は「決済時」の「点」だけではなく、「決済前」「決済時」「決済後」の「線」で捉えるべきというのが、アクルの見解だ。

そのためには、ログイン不正対策、属性行動分析や配送先情報の観点から検知可能な不正検知システムを活用して、不正対策をするのが望ましいという。なかなかそこまで考えが至らないEC事業者は、多いのではないだろうか。

※1 EMVCo：カード決済の安全と普及のために、JCBなど国際的なクレジットカードブランド6社で構成された団体。
※2クレジットマスターアタック：機械で自動生成した大量のクレジットカード番号の有効性を、ECサイトを介して確認し、有効な番号を盗用して不正利用すること

導入率は想定より少ない？EMV3-Dセキュアの障壁

実際、EC事業者のEMV 3-Dセキュア導入率はどれほどなのだろう。また導入を躊躇している事業者が多いとしたら障壁はどこにあるのか、そしてその障壁を打破するためには何が必要なのか。両社の見解を聞いた。

EMV3-Dセキュアの導入率は3割を超える程度か
アクルの不正認知・認証ツール「ASUKA」を利用している企業のうち、56％（※3）のEC事業者がEMV 3-Dセキュアを導入している。一方、業界全体でいえば「まだ30％前後なのでは」という肌感覚だという。

実際、かっこ株式会社（以下、かっこ）が2023年11月に行ったEC事業者実態調査（※4）では、EMV3-Dセキュアの導入は36.1％にとどまった。まだまだ導入を躊躇している事業者がいることがうかがえるという。

この導入率について、かっこは「感覚としては想定通り」とし、2025年3月の期限ぎりぎりまで様子を見たいという声もよく聞くとした。

※3：ASUKA通常版の利用加盟店における2024年6月末実施アンケート調査より
※4：かっこによる不正対策を行うEC事業者549名を対象とした2023年11月実施のアンケート調査より

導入の障壁はコストやカゴ落ち懸念
かっこは同調査の中で、EMV 3-Dセキュア導入における障壁についても尋ねている。これによると、主な障壁は、「導入コスト」「リスク判定のカスタマイズ不可」「不正のすり抜けへの懸念」の3つという結論が出た。

アクル側も、導入にあたり発生するコスト面で躊躇させている部分、社内における運用体制や導入によるカゴ落ち懸念についても不安があるのではと推測。

しかし、原則義務化を前に、EMV 3-Dセキュアの導入は避けられない。そのため、EMV 3-Dセキュアと不正検知サービスとの併用等によって、オーソリ承認率（※5）の向上等といった、より売上を向上させるための施策という認識を今後は持つ必要があると考えている。

導入の障壁打破に必要なのは多面的な対策
導入障壁はどう打破すればよいのか。EC事業者に必要な対策や考え方とはどのようなものがあるだろうか。

1. 導入コスト
導入コストはカード会社や決済代行業者との契約内容により異なる。ほとんどコストがかからないこともあれば、システム開発に数百万円かかることもある。導入キャンペーンを行っているケースがあるため、決済代行会社に確認が必要（以上、かっこ回答）。

2. リスク判定のカスタマイズ不可
リスク判定のカスタマイズについては、現状、カード会社が個別に設定するのは現実的ではなく、取得できる情報も限られている。そのため不正検知システムの併用で最初のリスク判定の精度を上げることが重要（以上、かっこ回答）。

3. 導入によるコンバージョン影響の懸念
EMV 3-Dセキュアのチャレンジ認証やカード会社側でのワンタイムパスワード（OTP）の対応により、旧来の3Dセキュア1.0から比べ、コンバージョン影響は解消傾向にある。しかし過去のイメージや、体制が整っていない状況でのネガティブなイメージが強く、そのことが障壁になっていると感じている。加盟店の状況に合わせた不正対策ができるサービスを併用することが望ましい（以上、アクル回答）。

※5 オーソリ承認率：クレジットカード決済におけるオーソリ（オーソリゼーション）は、利用するカードで決済できるかどうかを、クレジットカードに問い合わせる与信処理のこと。カード会社は3-Dセキュア導入後も不正が多い加盟店に対してオーソリ審査を厳しくし、不正利用を防ぐ対策を行う。その結果、正規ユーザーがクレジットカードの利用ができず販売機会の損失につながるリスクがある。

障壁を越えてやるべきこと

導入の障壁打破対策を行ったら、次は2025年3月までにEMV 3-Dセキュアを導入するための具体的な実行計画だ。

まずは既存システムで対応できるかを決済代行システムへ確認。個人情報保護を強化するなどの対応が必要になる。

また冒頭でアクルが指摘したように、EMV3-Dセキュアの導入だけでは「点」の対策にしかならない。「決済前」「決済時」「決済後」の「線」で対策することで、不正利用取引のブロックが可能になる。

2024年3月に改定された「クレジットカード・セキュリティガイドラインでも、「特に、不正利用が多発しているEC加盟店においては、多面的・重層的な対策を講じる必要がある」とされている。取扱商材や不正利用の発生状況等のリスクに応じて、以下の4つの方策をベースとした対策を導入することが必要とされる。特に換金性があり転売されやすいような高リスク商材の取扱加盟店は1方策以上、不正が顕在化している加盟店は2方策以上の導入が必要だ。

※画像引用元：クレジットカード・セキュリティガイドライン［5.0版］（公表版）p.32,33

一方でかっこは、EMV 3-Dセキュアのリスクベース認証の精度を向上し、効果的な活用をするためには「顧客情報の連携を強化することが重要」としている。具体的には「デバイス情報や配送先情報等の属性情報」をシステムに連携することだという。これにはシステム開発の検討が必要となる。

さらにかっこは「EMV 3-Dセキュアを導入して金銭的被害がなくなったとしても、それで対策が完了するわけではない」と警鐘を鳴らす。導入後の状況を継続的に把握することが重要であり、実被害がない場合でも、不正被害が続くとカード会社がカード決済のオーソリ承認率が低下するなど、予期しない影響が出る可能性がある。また「いつも使っているカードが特定サイトで使えない」という問い合わせが増加する可能性も考えられる。

導入後も、不正利用についてのチェックは必須となる。やはり、必須とされるEMV 3-Dセキュアの導入だけでは不十分といえそうだ。

大手総合モールやキタムラも　不正検知ツール導入での変化

EMV 3Dセキュアは統一された不正検知対策のため、店舗ごとの対策には欠けてしまう面がある。アクル、かっこともに、各店舗のルールに対応するため、不正検知ツールを提供している。不正検知ツールで何が変化したのか、各社の改善例を教えていただいた。

大手総合モールECの例（アクル）
取扱高が年間100億円以上の大手ECモール。取扱高の大きさもあり、毎月数百万円レベルの不正が常態化していた。

2021年後半には、月間1000万円レベルの不正が発生した。これを受け、アクルの不正検知・認証ツール「ASUKA」を導入したところ、不正利用は大幅に減少した。

それでも不正目的と見受けられるアクセスが増加傾向にあったため、3万円以上の決済についてのみEMV 3-DセキュアをONにする実装を行い、利用者のコンバージョン影響、ECサイトの利便性へのネガティブ影響を回避しながら不正利用を減少させることに成功した。

株式会社キタムラの例（かっこ）
株式会社キタムラでは、3-Dセキュアを導入していたが、不正注文が発生している状況だった。そこで2023年3月から不正注文検知サービス「O-PLUX」と併用して多面的な対策を実施。

結果、3-Dセキュアを補完する形で不正傾向にあった審査を実現し、「O-PLUX」でOK判定した注文に関しては不正利用が発生しなかった。

まとめ

EMV 3-Dセキュアの導入だけでは、自社のサイトを不正利用から完全に守り抜くことは難しい。取扱商品の特性や規模に応じて、適切な対策をとる必要がある。

不正利用を防止することは、自社サイトを守ることになり、またかけがえのない顧客を守ることに繋がる。不正利用をすぐに検知し認証できるよう、複数の防止策を用意することで「転ばぬ先の杖」としよう。