MEDIA_ARTICLE

EMV3Dセキュア(3Dセキュア2.0)の義務化で不正利用は撲滅できるのか?

公開日
最終更新日

不正対策として国際ブランドによって規格された本人認証サービス3Dセキュア 2.0(EMV3Dセキュア)に注目が集まっています。 以前はカゴ落ちの要因にもなるといった理由で導入に消極的なECサイトもあったためか、不正が疑われる取引だけにパスワード認証を求めるなど、カゴ落ち対策もされているという話が出ています。

2022年に「ECサイト向けに3Dセキュア2.0の導入が義務化される」という報道が出たことは記憶に新しく、ECサイトでは3Dセキュア2.0の導入が進んでいる側面があります。

しかしEC業界において、未曾有の不正被害の増加の現状を前に3Dセキュア2.0の導入が義務化されることで不正被害を減らすことはできるのでしょうか。

3Dセキュア2.0の導入義務化で不正被害を完全に減らせるか。

結論から言えば、3Dセキュア2.0によっていわゆる動的認証(SMSやemailを用いたワンタイムパスワード認証)が普及していくことによって第三者利用による不正利用をしづらくさせる効果は間違いなくあると考えます。しかしながら、義務化によって不正被害を撲滅させるまでには至らないと想定しています。

それには2つの理由があります。
まず1つは3Dセキュア2.0で売りとされている『動的認証』ですが、これが全ての取引に求められるわけではないということです。
全てのECサイトにおけるカード決済の取引全てに動的認証が求められたとしたら、かなり不正削減の効果は得られると考えられますが、実態はそうではないのが現状です。
具体的には、3Dセキュア2.0はリスクベース認証であるという点です。
3Dセキュア2.0を導入しているECサイトでは、カード決済の処理時にイシュアー(カード発行会社)側へ決済情報を連携しますが、そのイシュアーがリスク判定をしています。(リスク判定とは、認証を出すかどうかを判断することを示しています。)

このリスク判定の基準はイシュアーによって様々です。しかし、判定の検知精度が100%ではないため
不正利用者が必ず“認証を求められる”というわけではないのです。認証を求められなければ、決済処理が為され注文が完了し、不正利用が起きてしまうのです。

次に2つ目のポイントは、その認証方法です。

不正利用者に認証が求められるケースにおいても、認証が成功してしまい不正利用が行われるという報告があります。認証方法もイシュアーによって様々で、先述したような動的認証を導入しているイシュアーはまだ少ないです。では、動的認証を導入していないイシュアーがどのように対応しているかと言うと、従来型の静的認証のまま運用しているのです。
静的認証とは、カード利用者が事前に登録しているパスワードで認証する方法ですが、昨今の不正利用においてはこのパスワードさえも漏洩してしまっていることが多いです。
そうなると、フィッシングサイトでカード番号・有効期限・セキュリティコードのみならず、3Dセキュアのパスワードまでもが抜かれてしまいます。よって、不正利用者に認証を求めたとしても安易に突破されてしまうことに繋がるのです。

以上の2つの観点から、3Dセキュア2.0の義務化により、不正利用を撲滅するまでのインパクトは出ないのではないかと考えています。(残念なことに、実際に3Dセキュア2.0を導入しているECサイトにおいて不正利用が多発してしまっているケースは確認されています。)

ベストな不正対策とは何なのか。

では、どのようにして不正対策をしていけばよいのか?
参考までに経済産業省が打ち出しているクレジットカード・セキュリティガイドライン【3.0版】でも紹介された、4方策を以下に紹介します。

本記事でも取り上げている3Dセキュア以外でいうと、【券面認証】があります。
しかし、先述したようにセキュリティコードも漏洩してしまっているケースが多いため、あまりインパクトの大きい不正対策とは言えないでしょう。(無いよりはあったほうがいいとは言えます。)
次に【属性・行動分析】です。これは記載通り不正検知システムを指していますが、今回皆さんに考えていただきたいのは、まさにこの対策です。
不正検知システムの導入を推奨する理由は次の通りです。
まず、皆さんに認識頂きたいこととして、不正対策は“終わりのないマラソン”だということです。不正集団は何度でも時間を空けてアタックしてきます。加えて、不正集団は複数存在し特徴や手口も異なります。これら不正集団から長期的な不正アタックと真摯に向き合い続けることで、やっと不正集団は離れていきます。
弊社アクルが提供する不正検知・認証システム【ASUKA】では、ECサイトごとに専任のコンサルタントを配属し、適切な対策を講じるフォローを永続的に行っていく体制を整えています。
つまり「ECサイトの伴走」をするのです。このように永続的なフォローでないと、根本的な不正対策にはならないと考えています。
次に、不正検知システムであれば、4方策の4つ目の「配送先情報」にもチェックも兼ねているものが多く、不正検知と並行して対策が可能です。
最後に、先述の3Dセキュア2.0はイシュアーが運用するいわば公的なシステムであるため、ECサイトごとに伴走するような要素はありません。であれば、いつか3Dセキュア2.0だけでは突破されてしまうということが推測できます。実際の話として、過去に従来型の3Dセキュア1.0がリリースされた当初は、一定の不正利用削減の効果が得られていました。しかし、次第にそれを突破する手口が確立されてしまい、結果として、3Dセキュア1.0をアップデートさせて3Dセキュア2.0がリリースされることになってしまったのです。さらに悪いことに、バージョンのアップデートを行っている間にも不正利用の被害は拡大してしまいました。

https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/pdf/003_02_00.pdf
(↓3Dセキュア1.0の導入を推進していたのは2007年でしたが、普及に至りませんでした…)
(不正被害額の推移:3Dセキュア1.0の突破方法が確立されてしまい、ここ10年で被害額が急増しました。)
参照:https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/pdf/003_02_00.pdf

新たな不正アタックの解決策、不正検知システムの強み

不正検知システムであれば、各ECサイトに応じて不正対策の伴走をする要素があるのに加えて、サードパーティーの企業が運営しているため、その時々の不正利用者の特徴に併せて機能アップデートを繰り返すことが可能です。
アクルが提供するASUKAにおいても、細かいアップデートも含めて毎月のように新機能や機能改善がリリースされています。それによって、従来検知できなかった不正利用者を検知することができたり、逆に真正なユーザーの巻き込みを軽減させることもできています。
さらに前述のECサイトごとの専任のコンサルタントの伴走を行うことで、個別のチューニングを行っていきます。もちろん、不正利用者も手を替え品を替えアタックを繰り返してきますが、そこに対して真摯に向き合っていくことに繋がるのです。
3Dセキュア2.0だけで不正対策をしていたとして、仮にそれを突破されてしまったとしたら、その次の一手は誰が打ってくれるのか?イシュアーが打ってくれるのか?
不正検知システムも導入していれば、不正検知システム側で何らかの次の一手を打つことができるのです。とは言え、3Dセキュア2.0にも不正対策の効果はありますし、3Dセキュア2.0を導入していればECサイト側へのチャージバック請求が削減されるというメリットもあります。冒頭に触れたように、3Dセキュア2.0は義務化となると言われているため、導入せざるをえない状況になりますが、3Dセキュア2.0を盲目的に導入すれば良いというわけではないのです。
本当にそれ以外の不正対策は不要なのか。自社のECサイトの不正被害状況を鑑みて、判断するべきであると考えていただきたいです。

さいごに

「不正の特徴を可視化し貴社に合った不正対策を講じたい」「効果を検証しブラッシュアップしながら不正対策を継続していきたい」というご担当者の方は、ぜひ一度アクルが提供する不正検知・認証システム【ASUKA】に興味を持っていただけますと幸いです!


*上記資料のダウンロードは予告なく終了となる場合があります。ご了承ください。

当社ではカード加盟店向けの不正検知・認証システムサービスを展開しています。

サービス詳細・導入事例は上記のページをご確認ください。

SHARE