2025年3月までに原則義務化とされているEMV 3-Dセキュアの現状や、不正利用が増加の一途を辿るEC業界での今後の対策について、クレジット取引セキュリティ対策協議会にも参画している三菱UFJニコス株式会社(以下三菱UFJニコス) 加盟店管理部 次長の吉岡様(以下吉岡)と不正対策サービス国内最大級のネットワークを持つ不正検知サービスASUKAを提供する株式会社アクル(以下アクル)の代表取締役近藤(以下近藤)の二人が対談を実施。
カード会社からの観点、セキュリティソリューションを提案するアクルからのそれぞれの観点から、EC加盟店が今実施すべき取り組みや対策と、今後の展望とは。
カード不正利用の増加の背景にあるフィッシング・クレマスアタック、セキュリティガイドラインとEMV 3-Dセキュアにより期待される不正の抑止効果
ー 昨年のクレジットカード不正利用の実態、EC加盟店さまへの対策周知の内容を教えてください。
近藤:
まず2024年3月末に昨年のクレジットカード不正利用被害の実績が公表されました。
クレジットカード不正利用被害額の総計としては年間540億円の被害(うち番号盗用による被害は504億円)と、前年比でも100億円以上の増加となってしまいました。なかなか不正が収まらない中で、三菱UFJニコスにおけるEC加盟店さま向けの対策や周知活動について教えてください。
吉岡:
業界全体で年々増加している不正被害に対して、当社では不正利用が発生したEC加盟店さまに、不正利用の傾向をヒアリングのうえ、最適な不正対策のご提案を行うようにしています。
主にはセキュリティガイドラインにある4方策が中心となり、中でもEMV 3-Dセキュアは2025年3月までに原則として全てのEC加盟店さまに導入が求められることから、一つの軸として優先的にご提案しています。
実際にEMV 3-Dセキュア導入後、不正利用被害が大きく減少するケースを多数確認しております。一方で、EMV 3-Dセキュアを導入した場合でも不正利用が発生してしまっているという事実もあり、そういった事象が確認できた場合にはASUKAを中心とした不正検知システムによる属性・行動分析の導入をご提案しています。
近藤:
実際に昨年ASUKAの加盟店さまの中にも、EMV 3-Dセキュアを導入したのでASUKAを解約するといった動きも若干のEC加盟店さまで見られましたが、やはりカード会社や決済代行会社からの不正が減っていないという情報によりASUKAを再開されたEC加盟店さまも複数いらっしゃいました。
EMV 3-Dセキュアを導入したからといって必ずしも「不正が無くなる」ということではないのだと実感しているところです。
吉岡:
不正につながる原因としては、EC加盟店さまからの情報漏えい・フィッシング・クレジットマスター(クレマス)アタック(※1)などが挙げられます。情報漏えい自体は一時期よりもかなり減少していますが、クレマスの被害が著しく増加している実態があります。
特にクレマスについてはアタックを検知した際に国際ブランド(Visa/Mastercard/JCBなど)が一時的に決済の利用停止措置をとる場合があり、EC加盟店さまにとっての影響がとても大きいものとなることから、未然防止や発生時の速やかな対応、対策が急務となっています。
近藤:
クレマスに関する問い合わせは依然として多く寄せられ、現在多数のEC加盟店さまにASUKAをご利用頂いております。クレマスの標的となりやすいのはこれまで不正転売等のリスクが低く、ある意味でセキュリティ対策をしていなかった中小のEC加盟店さまが狙われている事もポイントですよね。
ASUKAは短期間で導入可能であり、その迅速な対応が多くの利用者に選ばれる理由の一つです。現在クレマス対策としてASUKAをご利用頂いているEC加盟店さまにおいては再発防止も含めて非常に高い効果を実感されています。引き続き我々としても未然の防止措置の必要性などをお伝えできればと考えています。
吉岡:
不正対策のご提案にあたっては、不正利用が増加することによりEC加盟店さまに生じる様々なリスクや有効な対策についてご説明していますが、より分かりやすくお伝えできるようEC加盟店さま向けのセキュリティ対策動画を作成しています。
EC加盟店さまとの面談前に動画をお送りしておくことで効率的にご提案することが狙いでもあります。動画はYouTubeで一般公開していますのでぜひご覧ください。
[不正利用対策]https://www.youtube.com/watch?v=pGAJf0st1UA
[クレマスアタック対策]https://www.youtube.com/watch?v=s_Gu-2ptvtw
[EMV 3-Dセキュア]https://www.youtube.com/watch?v=R9o7i0PqFrg
近藤:
アクルでも当社ホームページのKnowledge記事やYouTubeチャンネルでの情報発信を行っています。
第三者不正利用、クレマスアタックや、最近では不正ログインによる不正利用も目立ってきています。まさにイタチごっこのように不正の手口が変わっていきますので不正検知サービスとしても日々最新の手口を分析し、ASUKAへアップデートしています。
引き続きこういった啓蒙やEC加盟店さまへの案内を進めていきたいと考えています。
― クレジット取引セキュリティ対策協議会により3月15日にクレジットカード・セキュリティガイドラインの更新版が公表されました。このセキュリティガイドラインについての要点を教えてください。
吉岡:
3月15日に公表されたセキュリティガイドライン5.0版では、2025年3月を期限として原則全てのEC加盟店さまでのEMV 3-Dセキュア導入に向け、カード会社(イシュアー)における目標設定のほか、不正利用が顕在化しているEC加盟店さまでは早期にEMV 3-Dセキュアの導入が求められるといった導入優先順位の考え方や、決済時のみではなく「決済前・決済時・決済後」のそれぞれのシーンにおける多面的・重層的な対策の必要性が示されています。
近藤:
まさに 「決済前・決済時・決済後」と線での対策の必要性が明文化された事が重要なポイントです。EMV 3-Dセキュアは決済時の一時点では非常に有効だが、現状ではそれ以外の部分も対策しなくては完全には防ぎきれないと。
つまり、すべての導線での対策を怠ると、結果的にEC加盟店さまに対して、売上減少などの負の影響が避けられない、という事が示されたと理解しています。
今回セキュリティガイドラインに新たに明文化されたことで、EC加盟店さまにとっても今後の対策を検討する上で、より現実に沿った具体的な判断材料を手に入れることができたと考えています。
(出典:クレジットカード・セキュリティガイドライン【5.0版】改訂ポイント)
吉岡:
これは不正利用犯のターゲットとなる商材を取り扱っているようなEC加盟店さまの場合、「決済時」にEMV 3-Dセキュアを適用するだけでは必ずしも不正利用が減少しない場合がありますので、多面的・重層的に対策を導入していく必要があることを求めているものです。
ここについては属性・行動分析(不正検知システム)が得意な分野かと思いますので大いに期待している点でもあります。
近藤:
属性・行動分析はもちろんですが、配送先情報については業界最大級の最新の不正配送先情報を保有しているASUKAの得意とするところでもあります。
EMV 3-Dセキュアと併用することでオーソリ承認率(※2)も上昇が見込め、結果としてチャレンジ認証率(※3)が下がり、オーソリ承認率も上昇させることができる、まさにECの売上増加に貢献できるのではないかと考えています。
― EMV 3-D セキュアの原則義務化にむけてEC加盟店さまに対してどういった施策を実施しているか、取り組みについて教えてください。
吉岡:
まずは不正利用が顕在化しているEC加盟店さまのうち、EMV 3-Dセキュア未導入先へは2025年3月までの導入を求めていくことになります。
先程も申し上げましたように、不正利用犯のターゲットとなる商材を取り扱っているようなEC加盟店さまの場合、EMV 3-Dセキュアだけでは不正利用が減少しない場合もあるため、不正検知システムを中心とした「決済前・決済時・決済後」に多面的・重層的に対策を導入することを求めていきます。
中でも不正検知システムは属性・行動分析において、「決済前・決済時・決済後」のどの場面にも適用できるものであり、対策効果が最も大きいことを確認しています。
近藤:
属性・行動分析を行う不正検知システムは多岐に亘りますが、各種対策を実施していく上で重要と考える点はありますか?
吉岡:
属性・行動分析は単に導入すればよいわけではなく、継続的なチューニングを行うことで効果が発揮されることから、今般セキュリティガイドラインの附属文書として「属性・行動分析のポリシー文書」をセキュリティ対策協議会にて策定しています。EC加盟店さまに対しては「属性・行動分析のポリシー文書」の内容を伝え、効果的な活用を提案して参ります。
近藤:
セキュリティガイドラインの中でもEMV 3-Dセキュアだけでなく、属性・行動分析、配送先チェックなど多様な対策が重要かつ不可欠であることが明文化されたことにより、貴社を含めたカード会社や決済代行会社と情報交換をしながら「いかにEMV 3-Dセキュアの効果を最大化できるのか」という観点で、EC加盟店さまに対してあるべき不正対策の啓蒙をしていくことが重要であると考えています。
手口が巧妙化していく不正に対し、ASUKAの得意分野を活かしながら、新たな不正の手口に対して今まで以上に対応策を日々アップデートしていき、加盟店毎のチューニングや新たな機能の追加など今後も積極的に実施していく方針です。
不正対策というとネガティブなイメージも強いかもしれませんが、今後のトレンドとしては、不正対策こそがECサイトの売上上昇に貢献できる仕組みと言えるようなサービスを提供していきたいと考えています。
利便性が向上したEMV 3-Dセキュアでの不正抑止効果、属性・行動分析によるEC売上向上への期待
EMV 3-Dセキュアの原則義務化、普及においての課題をどのように捉えていますでしょうか。
吉岡:
EC加盟店さまの中には現時点で不正利用が発生していない(リスクが顕在化していない)ところもあり、EMV 3-Dセキュアの導入に積極的ではないEC加盟店さまがあることも認識しています。
とはいえ、現在不正利用犯のターゲットになっているEC加盟店さまが順次EMV 3-Dセキュア等の対策を講じることにより、不正利用犯は次のターゲットを探すため、現時点で不正利用が発生していないEC加盟店さまにおいても、未然防止の観点からEMV 3-Dセキュアを導入してもらうことが望ましいと考えています。
近藤:
実際にASUKA加盟店の動向を見ていても、対策をしておらず不正の標的になっていたECサイトが、ASUKAを導入し不正がしにくくなったと見るや、同業の別サイトにごそっと移っていった事例も非常に多く確認しています。
吉岡:
EC加盟店さまによっては、ユーザーがパスワード入力を求められることによって、カゴ落ちを懸念する声もありますが、EMV 3-Dセキュアは旧来の3-Dセキュア1.0と異なり、全ての登録会員にパスワード入力を求めるわけではなく、カード会社が一定程度のリスクがあると判断した取引についてのみパスワード入力を要求するものになります。従って、ユーザー利便性は向上しているものと認識しています。
近藤:
EMV 3-Dセキュアの原則義務化、普及については、当社は賛成の立場です。不正増加傾向の中で、EC加盟店さまの全体的なセキュリティレベルは、間違いなく向上すると考えるからです。課題としては、とはいえ、普及に際しEMV 3-Dセキュアだけですべてが解決するといった誤った認識は避けなければならないと考えています。
今回セキュリティガイドラインにも明確に示されましたが、不正の手口自体が多様化する中で、EMV 3-Dセキュア他、様々な決済シーンにおいてクレマス対策、属性・行動分析や配送先情報確認など、必要な対策が求められているということを、改めて当社としては啓蒙する必要性を感じています。
― EC加盟店側の対策として、属性・行動分析、配送先情報確認の重要性が改めて重視されているように感じますが、今後ECサイトにおける不正対策として重要と感じている点、不正検知サービスに期待することを教えてください。
吉岡:
EC加盟店さまの中にはEMV 3-Dセキュアを含め不正利用対策にコストをかけたくないという声もありますが、不正利用対策は売上増加と表裏一体となっています。
不正利用が多く発生しているEC加盟店さまからのトランザクション(オーソリゼーション)に対しては、カード会社(イシュアー)は不正利用の判定を厳しく行うことになるため、お客さまご本人による利用(真正利用)にも影響を生じかねないことになります。
近藤:
会社の規模や不正発生状況によってはEMV 3-Dセキュアだけでも十分なEC加盟店さまもいますが、不正が多発している先については、真正利用に影響が出たり、あらぬ風評被害に遭ってしまうなど、結果として売上減少に至ってしまうケースも散見されます。
不正対策はむしろ売上増加に繋がるものと認識しています。
吉岡:
特にグローバルで事業展開している企業さまは不正対策=売上増加とみているところが多く、カード会社への承認要求の前に、属性・行動分析(不正検知システム)で不正利用の確度が高い注文をEC加盟店さま側で排除したうえで、カード会社にオーソリゼーションを送信していることが多いです。
つまり不正利用の確度が高い取引を極力除外した状態でカード会社(イシュアー)にオーソリゼーションを送信することで、カード会社での承認率を高める狙いがあります。
近藤:
先ほども一部お話ししましたが、不正検知システムが売上増加につながる一つの施策であるという点ですね。
吉岡:
今後国内のEC加盟店さまもこのような考え方が増えていくことが予想され、不正検知システムの導入率も高くなっていくことが予想されます。
また、不正検知システムを導入したEC加盟店さまは、通常ご自身で不正利用情報を不正検知システムに登録することで不正検知の精度を向上させますが、貴社と弊社でのアライアンスにより、不正発生情報を三菱UFJニコスからアクルにダイレクトに連携することで、検知の精度を向上させる仕組みを構築しています。
この取り組みを通じて、不正検知システムの課題でもあるEC加盟店さまでの「運用負荷」を大幅に軽減させることができますので、ぜひ対象を拡大させていきたいと考えています。
近藤:
EMV 3-Dセキュアの導入により、仮に裏で不正利用が発生していたとしても、チャージバックの請求がなくなることで、不正利用が減った(無くなった)と誤解されるEC加盟店さまも多く存在します。一種のモラルハザードであり、課題でもありますが、別の課題としては、EC加盟店さま側で不正利用の実態が把握できなくなってしまうため、属性・行動分析自体も困難になってしまうことです。
ここについては、三菱UFJニコスとフロード連携という形でASUKAに不正情報をタイムリーに取り込む事ができているので、これはEC加盟店さまにとってとても重要なポイントと認識しており、より不正検知の精度向上に寄与している取り組みと認識しています。
業界に先駆けてこういった取り組みが実施できている事で、不正利用の減少、撲滅を一層促進し、最終的にEC加盟店さまの売上増加に貢献できていると考えています。
まとめ
今回の対談を通して、EC・カード業界を超え、経済産業省、セキュリティ対策協議会としてもクレジットカードの不正利用の拡大状況を重く受け止め、EC業界に対しEMV 3-Dセキュアによる本人認証を追加する対策を求めていく方針やその背景がよく理解できました。
しかし、拡大する不正利用への対策をするためには課題もあり、決済前〜決済時〜決済後と多面的な対策が重要です。
EC加盟店さまが主体的に属性・行動分析による不正対策を実施することにより、不正を抑止するだけでなく、真正利用者の利便性を確保し、売上増加に貢献できると言えます。
当社は、今後もEC業界の健全な発展を目指し、不正利用の抑止に加え、利便性の高い電子決済の事業環境の構築に向けた取り組みを推進してまいります。
注釈:
※1クレマスアタック
クレジットマスターアタック、欧米ではカードテスティングフロードなどと呼ばれ、カード番号と有効期限などの組み合わせを機械的にランダムで決済を試み、実際に決済が可能なカードを探すカード情報を盗み出す攻撃手法。
チャージバックと異なり実際に不正注文が成立することは少ないが、決済代行会社からの大量のトランザクション費用の請求が発生することや、オーソリ承認率の低下を誘発する要因のひとつともなっている。
※2オーソリ
クレジットカード決済が発生した際に、カード番号、有効期限等の情報が正確かどうか、また、そのカード情報の与信情報が問題なく決済可能かどうかを確認するための通信。
※3チャレンジ認証
EMV 3-Dセキュアにおける認証方法の名称。
ID/パスワードでの認証の前段階でその取引のリスクを算出し、リスクの高い取引にだけ追加認証を求める手法。
※脚注
クレジットカード不正利用被害発生状況
クレジットカード・セキュリティガイドライン【5.0版】
