クレジットカード・セキュリティガイドライン(5.0版)で示された今後の不正利用対策の考え方(線の考え方)とEMV3Dセキュアの位置づけについて|株式会社アクル

MEDIA_ARTICLE

クレジットカード・セキュリティガイドライン(5.0版)で示された今後の不正利用対策の考え方(線の考え方)とEMV3Dセキュアの位置づけについて

公開日
最終更新日

クレジットカード・セキュリティガイドライン(5.0版)が発表されました。
しかし今回のガイドラインの改定は、「EMV3Dセキュア一本でいいじゃないか」といった議論に改めて終止符を打ち、多様化する不正利用に対して、国が新たな不正対策の形を提案したと考えています。
今回はEMV3Dセキュアにおける不正対策のリスクと、新たに打ち出された不正対策の形について解説します。

クレジットカード・セキュリティガイドライン(5.0版)が発表されましたが、とても重要なメッセージが発信されています。従来からアクルはEMV3Dセキュア義務化による全体的なセキュリティレベル向上には賛成の立場を取ってきました。一方でかねてからEMV3Dセキュア一本化に対するリスクも発信してきました。

しかし今回のガイドラインの改定は、「EMV3Dセキュア一本でいいじゃないか」といった議論に改めて終止符を打ち、多様化する不正利用に対して、国が新たな不正対策の形を提案したと考えています。

不正対策4方策から、「線の考え方」へ

以下は、今後の不正利用対策の考え方(線の考え方)として、クレジットカード・セキュリティガイドライン(5.0版)において公表されたものになります。

▲セキュリティガイドラインに示された今後の不正対策の考え方
(出典:クレジットカード・セキュリティガイドライン(5.0版)改定ポイント)

具体的には、従来の不正対策4方策(セキュリティコード、3Dセキュア、配送先住所、属性行動分析(不正検知))に変わり、決済の流れの中で起こる多様な不正アタックに対して、どう対策していくかが時系列に沿ってより明確に示されています。これは国が推奨する不正対策のあり方が、根本的に変わったことを意味しています。

不正が多様化する中で、今までの4方策といった単純な括りにおいて対策できるものではなく、時系列の中でより具体的な対策をしないと、完全には防ぎきれないということを改めて示した形になります。これは義務化が推進される中で、EMV3Dセキュアさえ実装すれば全てを免れることができるといった一部の誤った議論に終止符を打つものでもあります。EMV3Dセキュアで対策できるのは、ほんの一部分であるということも、この線の考え方の中で明確に示されました。

クレジットマスターアタックとEMV3Dセキュア

近年増加傾向であるクレジットマスターアタック(カード有効性チェック)については、当社にも数多くの相談が寄せられています。

今回クレジットマスターアタック対策とEMV3Dセキュアは明確に区分されているのは何故でしょうか?本来EMV3Dセキュアにてフィルターをかけることは可能であるとも考えられますが、おそらくその理由としては、シンプルに実績としてクレジットマスターアタックをEMV3Dセキュアが効果的に抑止できていない現実があるからだと考えています。

実際当社へもクレジットマスターアタックの相談は増えていますが、EMV3Dセキュアを実装しているものの、効果的に抑止できず、オーソリゼーションを大量に叩かれてしまった加盟店のお声も聞いています。

クレジットマスターアタックの対策にはEMV3Dセキュアとは別に、そのための必要な対策が個別に求められるということについて、国が明確に示したことは非常に重要なポイントになります。

不正ログイン対策とEMV3Dセキュア

昨年より増加しつつある、不正ログイン被害も「カード決済前」における対策が必要とされます。業界もこの問題に対処し始めており、独立行政法人情報処理推進機構(IPA)が2023年3月16日に発表した「ECサイト構築・運用セキュリティガイドライン」では、不正ログイン対策の要件が明確に示されています。今回は、初めて「クレジットカード・セキュリティガイドライン」にも明確に記載されています。

主には、なりすましで不正にログインをされてしまい、ひも付きのクレジットカードで購入されてしまう事象ですが、真正ユーザーのアカウントに入り込み、そのまま不正に購入されてしまうため、「カード決済時」の審査においてはEMV3Dセキュア含めなかなか不正判定が難しいという課題があります。

今回の線の考え方においても、「不正ログイン対策」は「カード決済前」での対策が推奨されており、EMV3Dセキュアでは非対応として改めて整理されています。

配送先情報のチェックとEMV3Dセキュア

「カード決済後」の対策である「配送先情報のチェック」はどうでしょうか。これについては、EMV3Dセキュアも住所情報のパラメータを連携することができるので、住所情報も有効に審査に反映され、チェック機能としての役割もあるのではないか?と思うかもしれません。

しかし、結論からいうと、EMV3Dセキュアに連携する住所情報は現実的には、有効に機能しえないと考えています。なぜなら日本住所特有の「名寄せ問題」があるからです。EMV3Dセキュアには、この名寄せ機能がありません。

不正利用者は検知を意図的に避けるために、同一住所の表記に揺らぎをかけてきます(3-1-2, サン-1-二 など)。しかし名寄せ対応していないEMV3Dセキュアでは、いくら住所情報を連携したとしても、完全に有効に活用できるかといえば、難しいと言わざるを得ません。

EMV3Dセキュアだけでは不十分

クレジットカード・セキュリティガイドライン(5.0版)で示された「線の考え方」は、今後の不正対策のあり方について加盟店により具体的な道筋を示したことが重要なポイントです。EMV3Dセキュアは数ある対策の中の一つに過ぎず、クレジットマスターアタックや不正ログインなどの多様化する不正利用についても、個別に対策が必要とされることが改めて明示されました。

義務化で盛り上がるEMV3Dセキュアですが、その対策で十分かといえば、そうではないのです。

不正検知認証システム「ASUKA」について

多様化する不正利用に対して、EMV3Dセキュアだけでは十分ではない、ということが改めてセキュリティガイドラインにて示されたわけですが、では全ての必要な対策をひとくくりで効率的に行えるツールはあるのでしょうか。

実は、アクルで提供している不正検知認証システムASUKAは、属性行動分析のみならず、クレジットマスターアタック対策や、不正ログイン対策、そして配送先チェックまで広範囲にカバーしているのが特徴です。

特に、ASUKAはオーソリゼーションの手前で審査をかけるもので、「カード決済前」に、属性行動分析、クレジットマスターアタック対策、不正ログイン対策、そして配送先チェックなどの必要な対策を全て行うことが可能です。
かねてよりアクルでは、「ASUKA+EMV3Dセキュア」の併用を推奨してきました。

是非この機会に、加盟店様自身のセキュリティ対策を見直し、より安全な取引環境を実現しましょう。興味のある方は、是非当社にお問い合わせください。


SHARE