2022年のクレジットカード不正利用が200億円超え⁉EMV 3Dセキュア導入義務化
クレジットカードの不正利用の増加が止まりません。2021年の年間の不正利用被害額は約330億円と、業界団体の日本クレジット協会が1997年に調査を開始して以来最悪となりました。そして2022年は1月から6月だけで200億円超えと、それを上回るペースで増え続けており、年間では400億円を超えそうな勢いです。(図1)
(図1)近年のクレジットカード不正利用被害額の推移
被害の大部分を占めるのが、他人のカード番号をECサイトで不正に利用する「番号盗用」によるものです。その被害額も不正利用被害に占める割合も増加を続けており、金額ベースで95%近くを占めるようになりました。
2022年10月、経済産業省の「クレジットカード決済システムのセキュリティ対策強化検討会」が、不正利用対策の一環として、全てのECサイトに対し、2025年をめどに本人認証サービス「EMV 3Dセキュア(以下EMV-3DS)」の導入を義務付ける方針を提言したことが話題となりました。既にほぼ100%のECサイトでEMV-3DSが導入されているEU加盟国では、クレジットカードの不正利用件数は半分近く削減されているといいます。いったいどのような仕組みなのでしょうか。
3D セキュアの普及を妨げた「不便」と「不利益」
EMV-3DSとは、クレジットカードの国際ブランド(Visa、Mastercard、JCBなど)が推奨する本人認証サービスです。カードの利用者があらかじめ登録した認証情報(パスワード、生体認証、ワンタイムパスワードなど)を利用して、カード利用者本人かどうかを判断します。3Dセキュアという本人認証サービスの名前を聞いたことがある人がいるかもしれません。EMV-3DSは、3Dセキュアの後継規格となります。
EMV-3DSの特徴は、「不正利用の可能性が高い取引」を判別し、処理を変えることです。ECサイトの利用者の大部分は、自分のカードを利用して買い物をする正規の利用者です。そういう人には余計な手間をかけさせず、怪しい人にだけ認証情報を追加で要求します。
一つ前の規格である3Dセキュアは、全ての取引に対して認証を求めていました。買い物をする利用者からすると、購入ボタンを押した後にもう一度パスワードを求められるのは面倒です。しかもパスワードを入力するのは本人認証サービスの画面でECサイトとは異なるので、見慣れない画面に「フィッシングにあったのかも」と感じる人もいます。そもそもパスワードを忘れてしまって決済ができないこともあります。そんな思いをした消費者の中には、買い物を途中でやめてしまう人が当然出てきます。
ECサイトでカートに商品を入れたのに決済を完了しないことを「カゴ落ち」と言います。サイト運営者は当然、カゴ落ち率を下げるために多大な努力を払っているのですから、カゴ落ち率上昇のリスクがある3DセキュアはECサイトから嫌われて、導入率は上がりませんでした。
後継規格であるEMV-3DSは、パスワード入力を求められるという消費者の「不便」と、カゴ落ちというECサイトの「不利益」の両方を解決できると期待されています。
データを利用したスコアリングで怪しい取引を精度高く判別
EMV-3DSは、ECサイトからさまざまな情報をデータとして認証サーバーに送り、設定したルールに基づくスコアリングを行なってリスク度を判定する「リスクベース認証」を行なっています。スコアによってリスクが「低い」と判断した取引に対してはフリクションレス(直訳すると「摩擦のない」)フロー、すなわち追加の認証は要求せずそのまま取引を承認します。リスクが「高い」と判定した取引は、認証を拒否して取引を承認しません。その中間と判定された取引にのみ、「チャレンジフロー」として追加の認証(パスワードなど)を求めます。
図2はEMV-3DSのリスクベース認証の概要を表した図です。(日本クレジット取引セキュリティ対策協議会「EMV 3-Dセキュア導入ガイド」より引用)
(図2)リスクベース認証の概要
この図では、スコアリングに使用するデータとして、デバイス情報、行動情報、属性情報の3つのカテゴリーに分けてデータの例が提示されています。EMVCo(EMV-3DSの規格を定めている業界団体)が公表している仕様書によると、他にもブラウザの情報(タイムゾーン、言語設定、スクリーンサイズ、色設定、JavaやJavaScriptの利用可否など)、請求先住所/出荷先住所の一致/不一致、決済の内容(金額、使用した通貨、決済を行なった日時、定期購入の場合頻度など)が使用されているようです。
仕様書に記載されている以外にも、認証サーバーの提供事業者が独自に追加データを要求することが認められており、多くの情報を送るほど判定の精度も上がるとされています。スコアリングのルールや判定基準は非開示ですが、多くの利用者がEMV-3DSを利用して誤りがフィードバックされることで、精度が上がることが期待されます。
セキュリティに伴う煩わしさを解消
3Dセキュアに比べたEMV-3DSの利点は他にもあります。まず一つは、決めた固定パスワードによる認証だけでなく、ワンタイムパスワードや生体認証などさまざまな認証方法に対応できることです。チャレンジモードで認証を求められたとしても、正規の利用者であればパスワードを思い出す必要なく簡単に認証をパスできるので、カゴ落ちのリスクが下がります。
また、ブラウザでの決済だけでなく、スマートフォンのアプリ内決済や、モバイルウォレットへのカード登録などの決済以外でカードを使う時の本人認証にも利用できます。こうしたニーズは3Dセキュアの規格が定められた1999年には存在しませんでした。スマートフォンの普及やキャッシュレスサービスの多様化に対応しています。
Visaによれば、EMV-3DSを導入済みの取引の95%が低リスクと判定され、追加認証なしで認証が完了しているそうです。言い換えると、EMV-3DSは、セキュリティ向上のためにカード利用者の95%に余分な手間をかけさせるところを、未然に防いだとも言えるでしょう。
実は既に2022年10月で全ての国際ブランドで3Dセキュアのサービスは停止しており、カード発行会社から登録を推奨される「本人認証サービス」の中身は、ほとんど全てがEMV-3DSに入れ替わっています。3Dセキュアのイメージで「カードの本人認証サービスって面倒なんだよな…」と思わず、ぜひ登録することをお勧めします。
SNSで発信中!
インティメート・マージャーの情報を各種SNSで発信中!
是非フォロー&チェックしてください♪
公式YouTubeチャンネル
公式Twitter
公式Facebook
公式Qiita
(参考)
第3回 クレジットカード決済システムのセキュリティ対策強化検討会(経済産業省)
https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/003.html
クレジットカード不正利用被害の発生状況 2022年9月(日本クレジット協会)
https://www.j-credit.or.jp/information/statistics/download/toukei_03_g.pdf
EMV 3-Dセキュア導入ガイドライン(1.1版)(クレジット取引セキュリティ対策協議会)
https://www.j-credit.or.jp/download/news20220916b1.pdf
EMV 3-D Secure(EMVCo)
https://www.emvco.com/emv-technologies/3d-secure/