はじめに
近年、ECサイトにおけるクレジットカード不正利用の被害が深刻化しています。
一般社団法人日本クレジット協会の調査によると、2024年には番号盗用による不正利用被害額が過去最高となる約513億円となりました。
EMV-3Dセキュア義務化に向け、2024年は多くのECサイトでEMV-3Dセキュアの導入が進みましたが、依然として不正被害は増加傾向にあります。
この背景には、フィッシング詐欺、脆弱性を突いたサイバー攻撃、機械的に生成されたクレジットカード番号(いわゆる「クレジットマスター」)の悪用など、手口の巧妙化と多様化が挙げられます。
このような状況の中、2025年3月に改訂された「クレジットカード・セキュリティガイドライン【6.0版】」では、EC加盟店における具体的な対策強化が示されており、ECサイトを運営・管理する担当者にとって理解・実践すべき内容が記載されています。
2025年4月以降 義務付けられるセキュリティ対策
これまで掲げられてきた指針対策に加え、2025年4月以降追加で義務付けられた対策があります。
指針対策(太字:2025年4月から追加・変更)
■クレジットカード番号等の適切な管理
-カード情報の非保持化、又はPCI DSSに準拠
-EC加盟店のシステム及びWEBサイトの脆弱性対策
■クレジットカード番号等の不正な利用の防止
-オーソリゼーション処理の体制整備
-加盟店契約上の善良なる管理者の注意義務の履行
-EMV 3-Dセキュアの導入
-適切な不正ログイン対策の実施
-不正顕在化加盟店は類似の不正利用の発生を防止するために、適切な対策の追加導入
追加された対策について深掘りしていきます。
脆弱性対策
以下すべての対策を講じる必要があります。
①システム管理画面のアクセス制限と管理者のID/パスワード管理
②データディレクトリの露見に伴う設定不備への対策
③Webアプリケーションの脆弱性対策
④マルウェア対策としてのウイルス対策ソフトの導入、運用
⑤悪質な有効性確認、クレジットマスターへの対策
EMV 3-Dセキュアの導入
昨年から多くの加盟店にて対応されたEMV-3Dセキュアの導入は、本年4月をもって必須となります。
運用方法は以下の通り3つのパターンがあります。
・パターン①:必要な場合にEMV-3Dセキュア実施
・パターン②:カード登録時にEMV-3Dセキュア実施、登録カードでの決済時は必要な場合に実施
・パターン③:すべての決済にEMV-3Dセキュア実施
本記事では各パターンが可能となる条件や、運用方法の詳細については割愛いたしますが、
パターン①②はカード会社や決済代行会社の承認が必要になる場合があります。
アクルでは各パターン実現に向けた支援も可能ですので、案内をご希望でしたらご相談ください。
不正ログイン対策
以下①~⑦のうち、カード決済前の「会員登録」「会員ログイン」「属性情報変更」の各場面を考慮した適切な対策を1つ以上導入が必要です。
①不審なIP アドレスからのアクセス制限
②二要素認証等による本人確認
③会員登録時の個人情報確認(氏名・住所・電話番号・メールアドレス等)
④ログイン試行回数の制限強化(アカウント/パスワードクラッキングの対応)
⑤会員ログイン時/属性情報変更時のメールやSMS通知
⑥不正検知システムによる属性・行動分析
⑦デバイスフィンガープリント
⑧その他の対策
(「EC加盟店におけるセキュリティ対策一覧_3.不正ログイン対策(決済前の対策) 」記載の対策)
不正ログイン対策における追加指針を達成することが目的であれば、「①不審なIP アドレスからのアクセス制限」は有効な場面も広く、対応も比較的容易ですが、IPアドレスはメールアドレスなどと同様に不正犯側でも改ざん・変更が容易であるためいたちごっこになる可能性が高いと考えられます。
本質的な不正ログイン対策を講じるためには、その他対応も必須といえます。
おわりに
今後、クレジットカード決済を利用するEC加盟店には、カード会社または決済代行会社から各セキュリティ対策の実施状況について定期調査と指導が行われます。
ガイドラインに基づいた対策を1つずつ丁寧に積み重ね、安全で信頼されるEC運営を目指しましょう。
不正対策にお困りの場合や、こうした新たな情報・不正に関するトレンドをご希望の場合は、お気軽にお問い合わせください。