1.EMV 3Dセキュアの導入の優先順位
4.0版の段階では「2025年3月末まで」という期限が切られていましたが、今回の5.0版ではその導入に優先順位がつけれられました。具体的には以下の優先順位になります。
Tier1)不正顕在化加盟店※1
Tier2)不正顕在化加盟店ではないが不正が発生している加盟店※2
Tier3)高リスク商材取り扱い加盟店 ※3
Tier4)上記以外の加盟店
特にTier1に該当する加盟店については、即時3Dセキュアの導入着手をしなければいけないとされています。
やはり2023年も不正被害金額は過去の金額を更新していますが、その背景には不正発生は一部の加盟店に偏っているという状況があるのかもしれないですね。
※1・・・不正利用金額が3ヶ月連続50万円超えに該当する加盟店
※2・・・直近2年で不正が5件以上または累計で10万円以上発生した加盟店
※3・・・デジタルコンテンツ、家電、電子マネー、チケット、宿泊予約サービスを扱っている加盟店
2.不正対策の全体像の提示
以前のガイドラインにおいては、4つの方策(①本人認証(EMV 3-Dセキュア、認証アシスト)、②券面認証(セキュリティコード)、③属性・行動分析、④配送先情報)をベースに対策を導入することを指針としていましたが、今回のガイドラインの更新により方向転換がありました。
その転換の背景には、加盟店の業種や業態、取扱商品、不正利用の実態等により、効果的な不正利用対策が異なっていて、4大方策のうちいくつかの方策を導入したとしても抑止効果が得られにくいケースも散見されたことがあるといいます。
そういった背景から今後は、より抑止効果を高めるために、決済の場面(決済前・決済時・決済後)を考慮して、それぞれの場面ごとに対策を導入するという、点ではなく線として考える指針の策定が求めらるようになりました。
つまり、EMV 3Dセキュアのみでの不正利用対策では十分でないケースもあるため、そういったケースにおいては決済時だけではなく決済前・後の対策も講じることが示されています。
上図のとおり、EMV 3Dセキュアはあくまで決済時の不正対策になります。
昨今の複雑化している不正利用においては、不正集団ははEMV 3Dセキュアがあることは理解しています。不正集団からすると、3DSセキュアのみで不正対策をしているECサイトは決済時さえ通れれば不正利用できますので比較的不正利用しやすいECサイトと見られてしまいます。EMV 3Dセキュアにおいてはイシュアーの判断によって取引ごとに認証が求められないことのほうが多いので、そうなると特に苦労せずに不正利用ができてしまいます。
しかし3Dセキュア以外の不正対策をしているECサイトだと不正集団は不正利用のハードルが上がり、手間がかかるようになります。不正集団からすると効率的に不正利用ができて購入した商品が転売でき換金できればよいわけなので、特定のECサイトに固執する必要はありません。そのため、上図にあるような不正ログイン対策・クレジットマスターアタック対策・属性行動分析(不正検知システム)等の3Dセキュア以外の対策を実施しているECサイトから不正集団は離れてくれるようになります。
実際に3Dセキュアのみで不正対策をしていたとあるECサイトにおいて、不正集団によるなりすましログイン(不正ログイン)が多発しその会員が既に登録しているカード情報を利用して不正利用される事例がありました。
そのECサイトでは既に登録しているカード情報を使った決済においては3Dセキュアが発動しない仕様にしていたため、その穴を突かれてしまったのです。またそれらの不正取引は3Dセキュアが発動していなかったため、3Dセキュアを導入しているのにチャージバックになってしまったのです。
3.3Dセキュア・属性行動分析活用のポリシー
今回ガイドラインのアップデートに伴って「EMV 3Dセキュア 導入ガイド」「属性・行動分析のポリシー文書」が更新・追加されました。(属性・行動分析のポリシー文書は日本クレジット協会もしくは決済代行会社・アクワイアラーに問い合わせて取り寄せる必要があります)
それらの文書において上手に3Dセキュア、属性行動分析(不正検知システム)を活用するための指針が出されていましたのでそこについても触れておきたいと思います。
ポイントは2点です。
① できるだけたくさんの情報を連携しよう
②フィードバックは速やかにこまめにしよう
それではそれぞれについて説明していきます。
① できるだけたくさんの情報を連携しよう
3Dセキュア、不正検知システムにおいてはその取引のリスク判定が行われます。3Dセキュアであればカード会社が、不正検知システムであればそのシステムの提供会社がその判定を行います。
その判定を行うにあたり、その取引にかかる情報量は多い方が精度の高い判定をすることができるようになります。
精度の高い判定ができたほうが、不正集団を排除できる可能性が上がるとともに、ホワイトなユーザーを巻き込まないようにすることもできるようになります。
EMV 3Dセキュアが日本で出てきてから2年ほど経過していますが、実際にカード会社に連携されている情報は取引情報のうち一部のもののみといわれています。必要最低限の決済金額やカード情報、業種のみが連携されても、そのわずかな情報では不正か否かの判定を精度高く行うことは相当難易度が高いですよね。
それゆえ、EMV3Dセキュアが普及しつつあっても不正被害金額は過去最高を更新してしまったり、一部のECサイトにおいてはEMV3Dセキュアのチャレンジ認証が出過ぎてしまいコンバージョンが下がってしまうようなことも起きてしまうわけです。不正検知システムにおいても同様です。
その取引にかかる情報が多ければ多いほど、その取引をより多面的に捉えることができ、不正集団・ホワイトなユーザーの特徴を細分化することができます。
個人情報保護の観点からなかなか全ての取引情報を連携するというのは難しいケースもあるかもしれないのですが、直近の不正集団はかなり巧妙になってきています。必要最低限の情報だけでは3Dセキュア・不正検知システムで捉えていくのは限界に来ています。不正集団も趣味で不正をやってきているわけではなく、稼ぐために本気で不正をやってきています。なので日々手口がアップデートされています。そのアップデートに対抗するためにはこちら側もアップデートできるような環境にしておかないと対策の打ちようがなくなってしまいます。
そうならないようにするためにもできるだけ多くの情報を3Dセキュア・不正検知システムに連携しておきましょう。
②フィードバックは速やかにこまめにしよう
ここでいう「フィードバック」とは、どれが不正だったのか・ホワイトだったのか、というのを3Dセキュア・不正検知システム側にフィードバックするということです。
特に不正検知システムにおいては、不正検知システムを通った後にその取引が本当は不正だったのかホワイトだったのか、というのはECサイト側でしか知り得ない情報なのです。不正検知システム側では知り得ない情報ということです。
不正検知システムは過去の傾向に基づいてリスク判定を行っておりますので、その検知精度は100%ではありません。そのため、不正ユーザーをスルーしてしまうこともあります。
しかし、不正検知システム側は不正ユーザーをスルーしてしまったことを認識できません。それを認識できないと精度を向上させることもできません。不正ユーザーをスルーしてしまったことを認識できるのはECサイトのみになります。
ただし、3Dセキュアを導入しているとチャージバックの連絡が来なくなるので決済代行会社によってはどれが不正だったのかという連絡も来なくなってしまいます。
だからといって、そのままスルーしまっているといつの間にか不正集団からのアタックを受けてしまうケースに繋がってしまいます。
もし連絡が来ないようであれば、決済代行会社・カード会社に連絡を要請しましょう。
今回のガイドラインのアップデートにより、
「フィードバックはECサイトだけではなく決済代行会社等も協力して行うようにしましょう」という経産省からのお達しが出ていますので、要請すれば連携いただけるはずです。
不正ユーザーのフィードバックと同じように3Dセキュアや不正検知システム側で止めてしまったホワイトユーザーの情報もフィードバックするようにしましょう。
今回のガイドラインのアップデートによりECサイトにおけるカード決済のユーザー体験が悪くなってしまうのはクレジットカード業界からすると本末転倒です。カード会社・不正検知システムにおいてもホワイトユーザーを止めてしまうことは本望ではありませんので、ホワイトユーザーの情報もフィードバックして、精度向上につなげていきましょう。
まとめ
本日の解説では、2024年3月に発表されたクレジットカードセキュリティガイドライン5.0版の内容とその重要な変更点について詳しくご紹介しました。
EMV 3Dセキュアの導入優先順位の設定、方策の更新、そして、3Dセキュア・属性行動分析の活用に関する新ポリシーの導入が主な焦点でした。
これらのアップデートは、不正利用の抑制と加盟店の負担軽減を目的としており、今後の決済セキュリティ強化に向けての重要なステップとなります。
引き続き、ECサイト運営者や決済代行会社はこれらの変更を適切に理解し、対策を進めることが求められるでしょう。
アクルでは、ECサイトにおけるクレジットカード決済の不正検知を行う「ASUKA」を提供しています。不正利用被害にお悩みのEC担当者様や法人様は、ぜひお問合せください。