2025年3月末までに原則義務化されるEMV 3-Dセキュア
クレジットカードの不正利用が増加の一途をたどるEC業界において、今後必要とされる対策とは何なのか。
決済代行会社として国内GDPの約3%にあたる16兆円(2024年3月末時点、連結数値)の流通取引総額を扱うGMOペイメントゲートウェイの財津拓郎様(以下 財津)と、不正対策サービス国内最大級のネットワークを持つ不正検知サービスASUKAを提供する株式会社アクルの代表取締役 近藤修(以下 近藤)の二人が対談を実施しました。 両社は2024年1月より不正対策における業務提携を開始しており、今後EC事業者にとってより安全な決済環境を提供するための取り組みを進めています。
今回の対談では、不正対策のガイドラインや具体的な運用方法についての解説と今後のEC加盟店が実施すべき対策について議論を交わしました。
EC業界において不正対策が必要とされる背景
ーークレジットカード決済における不正利用が増加している事は既に様々なメディアでも報道されていますが、前提として、不正利用対策が求められる背景を教えてください。
財津:
番号盗用による不正利用の金額が年々増加しています。
元々は情報漏洩などからの番号盗用が主でしたが、漏洩の対策が進むにつれて不正利用者の動きも日々変化してきており、クレジットマスターアタックやフィッシングサイトによる情報の抜き取りからの被害が増加している傾向にあります。
そういった背景の中で、割賦販売法に基づき不正利用対策の強化が求められています。
不正利用の被害に遭ったことがあるEC加盟店は不正利用への危機感も強い傾向にありますが、まだ不正利用の被害に遭ったことのないEC加盟店においては、まだまだ意識が希薄である実態も否定できません。
「被害に遭ってからの対応では遅く、被害を未然に防ぐことが何よりも重要である」という点が直近のEC業界の流れといえます。
自社開発のECサイトであれば脆弱性対策など意識高く対策をしているEC加盟店が多いですが、SaaSサービスのECカートを利用しているEC加盟店の多くは、カート機能に依存している傾向も強く、カートベンダー側でもしっかりと対策を実施する必要があります。そのため、今後はECカート提供側の意識の向上も必要だと考えています。
近藤:
2024年3月に更新されたクレジットカード・セキュリティガイドライン【5.0版】において、EMV 3-Dセキュアだけではなく、多面的・重層的な対策を推奨することが明文化されました。
不正の手口がより巧妙化してきており、組織犯罪などの収益源となっている事も背景にあると考えています。
EC事業をこれから始める場合、基本的にはこれまでの商流以外にさらに売上を伸ばすためであり、新たな販路を目的として始めることが多いと考えます。その場合、まずは売上を上げるためのマーケティング施策などに注力し、そもそもEC市場に不正利用があるといったことを知らず、不正対策の優先度が上がってこない、といった環境の影響もあると考えています。
実際に当社に問い合わせを頂くEC加盟店の中にも、いざ不正の被害に遭ってしまった時に何をすれば良いのかわからない、といった相談を受けるケースも多くありました。
EMV 3-Dセキュアの原則義務化など、セキュリティ意識を高める流れになっていますが、EC事業に参入するためには不正対策も必須といった環境になりつつあるといえます。
不正の手口も日々多種多様に巧妙化しており、今までは簡単な対策で防げていたものが一筋縄ではいかなくなってきている現状もあり、業界全体での意識を向上させて対策する必要が出てきたことが背景にあると考えています。
財津:
不正が増加することで、EC加盟店側のセキュリティ負担が増加し、EC事業者の事業展開のハードルを上げる事にもなりかねないと懸念しています。
近藤:
そのためにしっかりと不正対策を講じ、安全な決済環境をEC加盟店に求める重要性がより具体化されてきた、と捉えています。
EMV 3-Dセキュアの原則義務化が明文化された、クレジットカード・セキュリティガイドラインの更新
ーー2024年3月にクレジットカード・セキュリティガイドライン5.0版がリリースされました。それにより見えてきた今後のEC事業者が対応すべき事を教えてください。
財津:
原則全てのEC加盟店に対し、本人認証であるEMV 3-Dセキュアの導入が2025年3月末までを期限として求められています。
これまでは所謂4方策(本人認証、券面認証、属性・行動分析、配送先情報)のうち複数の対策を、とEC加盟店に求めていましたが、今回の5.0版で「決済前・決済時・決済後」における対策が示されました。ただ単純に決済時に本人認証すれば良いのではなく、ECサイトへのログイン時の対策から決済後の配送に至るまでの時系列に沿った不正対策の必要性が提示されています。
入口から出口までのカスタマージャーニーに応じたセキュリティ対策を実施することが重要で、特に入口では不正ログイン対策、クレジットマスター対策、属性・行動分析などの不正対策を継続的に実施していくことで不正を減らしていくことができる考え方になっているため、業界全体としてこの共通認識をもつ必要があると考えています。
近藤:
セキュリティ対策としてEMV 3-Dセキュアを実装しただけでは足りない、という事がわかってきています。
実際に昨年(2023年)EMV 3-Dセキュアの義務化の方向性が示され、ECサイトに実装するEC加盟店も多くいた中で、EMV 3-Dセキュアを導入したことで不正利用の減少に一定の効果は認められたものの、異なる不正手法による攻撃が引き続き検知され、当社サービスのような属性・行動分析の併用の必要性が再認識された、という個社事例もありました。
財津:
決済前から決済後までの対策が示された背景には、次から次へと登場する新たな不正手法に対応できるようにする必要性が挙げられます。
例えば、インターネットのセキュリティにおいてもウィルススキャンだけ入れておけば良い、という時代ではなくなっているのと同様に、EC業界においても攻撃手法に応じたセキュリティ対策により安全な商取引が可能な環境を作ることが業界として当たり前になっていくと考えています。 これまでは決済前の不正対策はあくまでECサイトやECカート側で対策を実装する部分であるため、決済代行会社ではEC加盟店に対して「決済時」の対策にしか言及できませんでした。今回のガイドラインにより、決済代行会社の立場からもECにおける全体的なセキュリティ対策について言及することが可能となりました。
GMOペイメントゲートウェイでは、こうしたEC業界の動きに応じセキュリティソリューションを拡充させてきています。アクルのASUKAのような、ログイン対策から配送先住所情報チェックなど線の考え方に対応できる不正検知サービスとの協業の意義もより増していくと考えています。
近藤:
ガイドラインのアップデートにおける重要な点は、時系列に応じて重層的な対策が示されたという点だと考えています。
また、EMV 3-Dセキュアの運用についても重層的な対策の方針が示されたことで、本質的に不正を減らすためにどういったことをしなくてはならないのか、様々な角度から攻撃をしてくる不正利用者に対して、対策の考え方が示されています。
アクルとしては、これまで言われていた4方策だけでは限界が見えていたところもあったため、今回のガイドライン更新によりEC加盟店に対して、しっかりとあるべき不正対策が示されたと捉えています。
特に属性・行動分析や不正配送先情報はASUKAの得意分野でもあり、ログイン不正に対しては今後さらに知見を集め機能拡充していく考えです。
ーー原則義務化とされるEMV 3-Dセキュアを導入することでEC加盟店にもたらされる効果と今後の課題を教えてください。
財津:
まず、第一に不正利用を減らせるという事が言えます。
加えてEC加盟店にとっては、チャージバックが免責されることも重要な点です。
またEMV 3-Dセキュアではリスクベース認証やフリクションレス・フローの採用によって、本人認証のためのパスワード入力なしで決済を完了することが可能となり、UXが改善しています。
近藤:
当社でも、EMV 3-Dセキュアの義務化によりEC加盟店のセキュリティレベルが平均的に上がっていくと考えています。
ただ、EMV 3-Dセキュアを導入することによってEC加盟店側でその他の不正対策を何もやっていなくてもチャージバックは発生しませんが、その裏でカード会社の負担する不正利用金額が増えてしまい、最終的にカード発行会社が非承認率を向上させ、EC加盟店の売上を阻害する要因となった事例も数多く発生しています。
カード発行会社側でのリスクベース認証の精度を上げていくことも重要と考えていますが、併せて、EC加盟店側でも不正検知などで決済前に不正を制御することにより、EMV 3-Dセキュアでの負担が軽減でき、EMV 3-Dセキュアでのフリクションレス・フローの比率も向上させることが可能になると考えています。
実際に、複数の対策を実施することによって結果的に売上向上に貢献できた、といった事例も見えてきています。
例えばあるEC加盟店様での事例ですが、オーソリ承認率が48.7%まで低下してしまいました。ASUKAを導入し不正利用の抑止に成功したことにより、4ヶ月後にようやく69.5%まで回復し、以降も上昇傾向が見受けられた、といった事例もありました。
流通額の多いEC加盟店ほど、カード決済におけるオーソリ承認率を向上させるための対策に力をいれており、不正対策はポジティブな売上増加の取り組みの一つとして考えるEC加盟店も増えてきています。
不正検知サービスは、EMV 3-Dセキュアの補完的なサービスとしてEC加盟店の売上向上に寄与するサービスとしても期待されていくものと考えています。
財津:
あくまで推測ではありますが、EMV 3-Dセキュアをクリアした不正取引とは、静的パスワードで本人認証を行っているケースが多いのではないかと考えています。
実際にワンタイムパスワードに認証方法を切り変えたカード会社からは不正が減少したという話もあり、今後のカード会社の対応にも期待しているところです。
近藤:
フィッシングサイトやなりすまし不正、アカウントの乗っ取りなどのあらゆる手口で本人情報を取得する巧妙な手口が増加しています。
EMV 3-Dセキュアとしては、本来全ての取引に認証を出したいところだと思いますが、カード発行会社側のチャレンジ認証(リスクベースで判断し本人認証を求める)に至るまでの精度によっては、すり抜けられてしまう不正も少なからず発生すると考えています。
当社の不正検知サービスは大手EC加盟店や人気商材を扱うEC加盟店にも数多くご採用いただいていますが、現在でも実際にEMV 3-Dセキュアを実装したにもかかわらず、不正利用者がすり抜けているという報告も聞いています。中でも印象的だったのは、単月での不正利用被害金額が3,200万円以上発生してしまった、というあるアパレルEC加盟店様での事例です。ちょうど3-Dセキュア1.0からEMV 3-Dセキュアに切り替わった2022年の年末の数字です。
当社で要因として推測しているのは、静的パスワードによる本人認証がすり抜けられてしまったことももちろんですが、カードホルダーが3-Dセキュア本人認証の利用登録をしておらず本人認証手続きなく決済処理が完了したこと、さらにはワンタイムパスワードによる本人認証もすり抜けられてしまった可能性も存在すると考えています。
チャレンジ認証はあくまでカード発行会社側での判定となるため、良くも悪くもEC加盟店の性質、サービスの性質によって相性が異なることも事実です。
今後ワンタイムパスワードをすり抜ける不正利用も発生することを想定し、ログイン認証などの<線>の考え方に基づいた対策を強化していきます。
EMV 3-Dセキュアはあくまでも決済時の本人認証になるため、やはり決済前・決済時・決済後の<線>で捉える対策が重要です。属性・行動分析、配送先チェックなどASUKAの得意分野を活かし、不正対策を実施することで、ECサイトの売上向上に貢献できる仕組みを提供していきたいと考えています。
EMV 3-Dセキュアの運用ガイダンスの趣旨と概要について
ーーEMV 3-Dセキュアの具体的な運用方法が明文化された、EMV 3-Dセキュアの運用ガイダンスが5月に策定されました。この概要についてあらためて教えてください。
財津:
関係者向け資料として運用が以下の3つに分けられました。
①決済前・決済時・決済後の不正対策を網羅的に導入・実施した上で、EMV 3-Dセキュアの認証はEC加盟店の任意とする運用。
加えて24時間365日対応可能なセキュリティ専門部署の設置等の組織体制があることや、運用にあたってはアクワイアラー・決済代行会社側の承認を必要とします。
②不正ログイン対策、属性・行動分析などを導入した上でカード会員登録時はEMV 3-Dセキュアによる本人認証を必須とする運用。
会員登録時のカード情報登録時にEMV 3-Dセキュアによる本人認証を実施し、それ以降の取引についてはEC加盟店側が必要な場合に認証を行うことが可能な運用です。
③全ての取引においてEMV 3-Dセキュア認証を必要とする運用。
決済の都度、EMV 3-Dセキュア認証を行う運用です。
運用ガイダンスを踏まえた、両社の今後の取り組みについて
近藤:
①の運用については本人認証の実施是非はEC加盟店判断でありながら、条件としては網羅的なセキュリティ対策が講じられていること、カードセキュリティを運用する担当部署が設置されているといった体制が組まれており、さらに、アクワイアラーや決済代行会社が運用や体制に対して承諾していることが求められます。現実的にEC加盟店単位で実現できるのは超大手EC加盟店などかなり限られる印象があります。
今回のEMV 3-Dセキュアの運用方針の明文化により、当初の「原則義務化」から一歩進んだ現実的なものが提示されたと捉えています。EC加盟店に対して、どのように啓蒙していくかが重要だと認識しています。
ただ、今後のEC運用において①〜③それぞれの実装例をしっかりとEC加盟店に伝えていく必要性がありながら、こういったセキュリティの情報はEC加盟店側に伝わりにくい部分もあるため、我々の立場としてはセキュリティのスタンダードを構築していきたい考えです。
財津:
EC加盟店の担当者は本来のEC運営業務も行いながらセキュリティに関する情報収集することとなるため、必要な情報を提供する決済代行会社や不正検知ベンダーの役割はより大きくなると認識しています。
近藤:
EMV 3-Dセキュアの導入によりチャージバックが発生しなくなるため、実際に裏で起きている不正の実態が見えづらいという課題があります。これに対し、ASUKAをEMV 3-Dセキュアと併用することでカード会社や決済代行会社と連携しながらタイムリーに最新の不正情報を得ることが可能となりますし、犯罪者に自社の商品が渡ってしまうリスク回避へ繋げることも期待できます。
EC業界の健全な発展に向けた今後の取り組み
ーー不正が増加の一途を辿る状況の中で今後のそれぞれの役割とは?
財津:
不正利用の抑止を最大の目的に、GMOペイメントゲートウェイではEC加盟店に対し原則義務化となっているEMV 3-Dセキュアの啓蒙、導入を推進していきます。
併せて決済前から決済後までの流れに沿ったセキュリティ対策を拡充しながら、継続的にEC加盟店へ不正対策への理解を深めてもらうべく、タイムリーに情報提供をしていきます。
決済やセキュリティサービスは社会的インフラであるという意識を持ち、EC加盟店に一番近い立場である存在として基本的なセキュリティ対策をはじめとした全体的な啓蒙を続けることも必要です。
カード会社、不正検知ベンダーとの協力体制を強化し、巧妙化する不正利用に対する適切な対応をEC加盟店へ提示していくことがGMOペイメントゲートウェイに求められている役割であると考えます。
ECを取り巻くセキュリティ基盤が強固なものとなれば、よりEC市場への参入もしやすい環境となり、今後のキャッシュレス化推進にも良い影響を与えるのではないでしょうか。
近藤:
ASUKAにおいては、日々新たな手口に対してアップデートを進めており、EMV 3-Dセキュアでは対応できない部分など、補完的な対策としての機能を強化しています。
具体的には、不正住所チェックや属性行動分析、不正ログイン対策やクレマス対策などが該当する部分となります。
EC加盟店側での適切な不正対策が、結果的に良いフィルターとなりECサイトの売上増加に繋がる施策となります。
EMV 3-Dセキュアの効果を最大化させることが我々のミッションです。
EMV 3-Dセキュアの前に不正検知側で不正を防ぐことができれば、EMV 3-Dセキュアによる負担を軽くすることにも繋がり、より安全性の高い決済環境の構築に寄与できます。
当社のサービスでは、コンサルタントがEC加盟店に寄り添って運用支援を行っています。引き続き、多面的・重層的な対策を実施する<線>の考え方を基に啓蒙や対策の実施を進めていきたいと考えています。
まとめ
EMV 3-Dセキュアの原則義務化の対応期限が迫る中で、具体的なセキュリティ対策の運用や、今後の方針をあらためて解説していただきました。
クレジットカード・セキュリティガイドラインで示されたEMV 3-Dセキュアの原則義務化によって業界全体的なセキュリティが向上し不正の抑止が期待されますが、EC加盟店における属性・行動分析の実施がECサービスのユーザー体験を高め、EC事業の成長を促進することに繋がるものであることもわかりました。
より安全かつ便利なEC業界の環境を実現すべく、引き続き情報発信やサービス提供を進化させていきます。