2021年に運用開始された3Dセキュア2.0(EMV3Dセキュア)。いよいよ2022年10月に全面移行となります。これまでversion1.0を利用されてきた加盟店様、またカートのカゴ落ち懸念から3Ⅾセキュア1.0の導入を見送ってこられた加盟店様など多くいらっしゃるかと思いますが、全面移行に伴い導入検討されている読者の方へ、3Ⅾセキュア2.0があれば不正決済対策として万全なのか、不正検知システム導入は不要なのか読者の方の疑問にお答えしてまいります。
3Dセキュア1.0の課題と3Dセキュア2.0での解決
従来の3Dセキュア1.0(便宜的に1.0としています)では以下の課題がありました。
- パスワードを登録しているユーザーが少ないためセキュリティ対策として不十分
- ユーザーが購入時にパスワードを忘れているケースが多くカゴ落ちが懸念される
一方で3Dセキュア2.0ではリスクベース認証に基づく本人確認が行われます。よってこれまでの3Dセキュア1.0の課題を解消できる可能性があると言われているため、3Dセキュア2.0さえあればカゴ落ち懸念も無く、これまでの課題を解決した画期的な不正対策と考えられている読者の方もいらっしゃるかと思います。また、3Dセキュア2.0も3Dセキュア1.0と同様に第三者利用による不正利用が発生しても、その金銭的な負担はカード会社となるため、チャージバック回避の観点としては加盟店のリスク対策として有効な手段であることは間違いありません。
※3Dセキュア2.0のリスクベース認証は、カード会社側が独自のルールで”怪しい”と判定した取引にのみ、本人認証を求めると言われています。
※全面移行となる2022年10月以降は3Dセキュア1.0のままだと第三者利用による不正利用の金銭的なリスクは加盟店負担となります。
※3Dセキュア1.0と同様に第三者利用による不正利用の金銭的な負担は全てカード会社が負担してくれるわけではありません。
3Ⅾセキュア2.0についての詳細レポートはこちらへ。
3Ⅾセキュア2.0導入で不正決済対策は万全となるのか?
では3Dセキュア2.0さえ導入すれば金銭的なリスクは軽くなり、リスクベース認証であるためカゴ落ちの懸念が限定的になると考えられていますが、不正利用者も排除してくれるのでしょうか?
答えは”No”です。
3Dセキュア1.0とは異なる認証方法になるため3Dセキュア2.0移行直後は暫定的に不正利用者は排除されるかもしれません。しかし、不正利用者は趣味で不正をやっているわけではなく生業として不正をしていますので、なんとか突破してやろうと、しつこく何度も不正利用してくるでしょう。
読者の皆さんも体験されているかもしれませんが、1年前の不正利用の手口と今来ている不正利用の手口は同じでしょうか?きっと違いますよね。1年前に通用していた不正対策は、もう今は役に立たなくなってしまうことは少なくありません。
3Dセキュア2.0も暫定的に不正利用者を排除することに対して効果が出ると思われますが、3Dセキュア2.0が突破されてしまったら、誰がどう対策してくれるのでしょうか?
不正対策は終わりの見えないマラソンと言われています。
特殊詐欺(オレオレ詐欺や振り込め詐欺など)がこれだけ世間的に認知されていて、いたるところで警告し対策を講じているにもかかわらず未だに被害が出ています。ひたすらに不正利用者とこちら側の攻防が繰り返されていくのです。
3Dセキュア2.0が突破されないことが1番望ましい結末ですが、今までの不正利用者のしつこさを見ている限り、3Dセキュア2.0も何らかの方法で突破してくると考えています。
突破されたとき、更なる対策はカード会社、ブランドがしてくれるのでしょうか?
してくれる可能性はありますが、今回3Dセキュア1.0から3Dセキュア2.0にシフトするのも話が挙がってから5年ほど経過しているように、すぐに次の一手が打たれるとは考えにくいです。では加盟店側で新しい対策を打てるでしょうか?
今でさえ受注情報の目視チェックという運用で不正利用を見抜くのが困難になっているので、おそらくこれも難しいでしょう。
不正対策を万全にするために不正検知システムを活用しよう
ここで必要になってくるのが、不正対策を加盟店に寄り添いながら伴走してくれる不正検知システムです。
不正検知システムは日頃の受注情報のモニタリングを行い、そこからその加盟店での不正の傾向や特徴を分析し、その加盟店に適したルールの適用いわゆるチューニング対応も行ってくれます。新しい手口が見受けられたら、それをどう対策すればよいのかも加盟店と一緒になって考えてくれます。そして次の一手を打ってくれます。しつこい不正利用者と立ち向かってくれます。終わりのないマラソンを伴走してくれるのです。
※不正検知システムと一口で言っても十人十色なので、すべての不正検知システムが親身になってサポートしてくれるわけではないので注意は必要です。
また、3Dセキュア2.0では決済金額やカード情報のほかに受注に関する情報もカード会社に連携することができるようになりましたが、その分3Dセキュア2.0を導入にかかるシステム改修コストはかかってしまいます。不正検知システムも様々な情報を連携しなければならないのですが、システム改修コストがライトな導入方法も用意していますので導入のハードルは3Dセキュア2.0よりも低いと考えられます。
※不正検知システムでは3Dセキュア2.0では取得できないようなユーザーに関する情報(端末情報やIPアドレスなど)も取得できるものもあり、取得する情報が多い分、不正ユーザーの特徴をより鮮明に捉えることができるため、効果的な不正対策が打てるとも考えられます。
最後になりますが、3Dセキュア2.0も必要な不正対策の一手であると考えています。しかしながら、根本的に不正利用者に立ち向かって行くためには、足りない部分があると考えています。そこを補ってくれるのが不正検知システムになります。もし読者の皆さんが3Dセキュア2.0の導入を検討されている中でこの記事を読んでいただいているのであれば、ぜひ3Dセキュア2.0と不正検知システムの併用を検討していただければと思います。
不正検知・認証システムASUKAではクレジットカード不正にお困りの加盟店様向けに、自社ECサイトでのチャージバックを減らしていくための不正検知と未然に防ぐ認証を実施し、後発ながらも従来サービスの課題を解決した加盟店様に寄り添ったサービスを提供しております。
今不正に困っているといったお話や、今後に備えて対策をしたい、決済セキュリティ強化を検討されてるなど、不正やセキュリティにかかわるお悩みも合わせてご相談いただけましたら幸いです。
お気兼ねなく弊社までご相談ください。
<PR> – アクルの不正検知・認証システムサービス
当社ではカード加盟店向けの不正検知・認証システムサービスを展開しています。
サービス詳細・導入事例は以下のページをご確認ください。
