ECサイトにおいて欠かせないクレジットカード決済について、不正利用防止の観点から、EC事業者に新たな対策が求められるかもしれません。
2022年10月11日、経済産業省が開催したクレジットカード決済システムのセキュリティ対策強化検討会の第3回会合において、国内すべてのEC加盟店に対して、「EMV3DS(以下、3-Dセキュア2.0)」の導入義務化が検討されました。
3-Dセキュア2.0とは、クレジットカード決済を行う購入者がカード所有者本人であることを、複数の手段で認証する国際的なシステム規格です。セキュリティ対策強化検討会では、2025年を目途に、国内すべてのEC加盟店で3-Dセキュア2.0を導入することを目指しています。
この背景には、クレジットカードの不正利用の急激な増加があり、2021年には被害額が過去最高額を更新しました[1]。このため、政府は不正利用を防ぐ対応を急いでいます。
本記事では、ECサイトにおける不正利用のリスクと、3-Dセキュア2.0を含む不正利用を防ぐための対策について解説します。
[1]日本クレジット協会「クレジットカード不正利用被害額の発生状況」
ECサイトにおける「クレジットカード不正利用」とは
ECサイトのクレジットカード不正利用とは、悪意を持った第三者が、クレジットカード番号などの情報を不正な手段で盗み取り、カードの所有者になりすましてECサイトでの決済に利用することです。このようなクレジットカードの不正利用は、年々増加しています。
一般社団法人日本クレジット協会が、2022年9月に発表した「クレジットカード不正利用被害の発生状況」によると、2021年のクレジットカード不正利用被害額は330.1億円で過去最高額となり、初めて300億円を超えました。内訳を見ると、ECサイトなどの非対面取引での不正利用を示す「番号盗用被害額」が大きくなっており、2021年は全体の94.4%にあたる311.7億円となっています。
このようなクレジットカードの不正利用は、ECサイトに大きな損害を与えるおそれがあります。
クレジットカードの不正利用が発覚して、カード所有者がカード会社にその旨を申告すると、カード会社はそのカードを使ったECサイトでの売上を取り消す「チャージバック」を行います。チャージバックが発生した際にすでに商品を発送していると、ECサイトは売上を回収することができないうえに商品は失われ、二重の損失となってしまいます。
そのため、ECサイトがカードの不正利用を防ぐ対策を行うことは非常に重要です。また、カードの不正利用対策が不十分なまま不正利用の発生が続くと、カード会社から取引の停止や加盟店契約の解除を行なわれるおそれもあります。
不正利用の原因
クレジットカード情報が不正利用される原因には、次のようなものがあります。
- ①ECサイトの改ざん(フォームやリンクの書き換え)
- ②フィッシング(メールなどで偽サイトへ誘導)
- ③スキミング(実店舗やATMなどでの抜き取り)
①は、特にECサイト運営者が注意すべきこと、②③はユーザーがECサイトに限らずインターネットやクレジットカードを利用する上で注意すべきことです。
①ECサイトの改ざん(フォームやリンクの書き換え)
ECサイトの改ざんとは、ECサイトを管理するシステムに不正アクセスされ、ECサイト上のフォームやリンクを不正なものに書き換える手口です。
ECサイトの利用者が、書き換えられた不正なフォームやリンクに気づかずに接続してしまう、または情報を入力してしまうことで、カード情報などの利用者の情報が盗み取られてしまいます。
②フィッシング(メールなどで偽サイトへ誘導)
フィッシングは、実在する企業や公的機関を装った電子メールなどから、偽のWebサイトや偽のフォームに誘導してカード情報などを入力させることで、情報を盗み取る手口です。SMSのメッセージやSNSの投稿・DMから偽のWebサイトに誘導するケースや、検索エンジンで偽のWebサイトが上位表示されるように仕掛けて、そこから誘導するケースもあります。
前述の「①ECサイトの改ざん」が、本物のサイトの一部を改ざんするのに対し、フィッシングで誘導されるフォームやWebサイトは、本物とは別のものが作られます。その手口は年々複雑かつ巧妙になっており、メールやメッセージ、偽のWebサイトが本物と区別のつきにくいケースが増えています。
③スキミング(実店舗やATMなどでの抜き取り)
スキミングは、実店舗やATMなどでクレジットカードを使用する際に、専門の装置を使ってカード情報を抜き取る手口です。実店舗で情報を盗まれた後、ECサイトなどオンラインでの購入時に悪用されるリスクとなります。クレジットカードに情報を記録する仕組みが磁気ストライプからICチップへと変わったことでスキミングはされにくくなっていますが、リスクがゼロになったわけではないので、引き続き注意が必要です。
ECサイトで実施できるクレジットカードの不正利用への対処法
クレジットカード取引に関係する事業者が確認しておくべきなのが、クレジット取引セキュリティ対策協議会が発表している「クレジットカード・セキュリティガイドライン」です。
このガイドラインは、2020年3月に1.0版、2021年3月に2.0版が策定されました。さらに2022年3月に3.0版が策定され、いくつかの改定が行なわれました。このガイドラインを基にして、ECサイトで実施できる不正利用への対処法について解説します。
クレジットカード・セキュリティガイドラインには、そもそもクレジットカード情報を盗み取られないようにする「クレジットカード情報保護対策分野」と、不正に取得されたカード情報の不正利用を防ぐ「不正利用対策分野」での対策が定められています。
本記事では、対策(0)として「クレジットカード情報保護対策分野」の対策を、対策(1)~(4)として「不正利用対策分野」の対策を解説します。なお、「クレジットカード情報保護対策分野」の対策は必須となっています。
「不正利用対策分野」の対策については、ECサイトのリスクや被害状況に応じた導入が推奨されています。具体的には、不正利用被害の発生リスクが高い商材を主として扱うECサイトは「高リスク商材取扱加盟店」として、ガイドラインが掲げる4つの方策のうちのいずれか1つ以上の対策を導入することが定められています。また、不正利用金額が「3ヶ月連続50万円超」となっているECサイトは「不正顕在化加盟店」として、いずれか2つ以上の対策を導入することが定められています。
対策(0)カード情報非保持化、保持する場合はPCI-DSSに準拠が必要
クレジットカード・セキュリティガイドラインでは、クレジットカードの加盟店におけるカード情報保護のための対策として、カード情報の「非保持化」が推奨されています。カード情報の非保持化とは、このガイドラインでは「自社で保有する機器・ネットワークにおいて『カード情報』を『保存』『処理』『通過』しないこと」を意味します。
カード情報を非保持化するには、カード情報がEC加盟店の機器・ネットワークを通過しない「非通過型」のクレジットカード決済システムを利用する必要があります。
一方、「通過型」のクレジットカード決済システムを利用している場合、カード情報を保持していることになります。この場合、そのシステムはデータセキュリティの国際基準「PCI DSS」に準拠することが定められています。PCI DSSは、カード情報を取り扱う全ての事業者に対して、国際ブランドが共同で策定したものです。
対策(0)は、2016年3月に初版が策定され、2020年3月末までの実施期限とされていた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」で定められていた対策です。まだ対応していないというEC事業者は、早急に対応する必要があります。
なお、クレジットカード・セキュリティガイドラインは、実行計画を踏まえてセキュリティ対策を継続していくために定められました。
対策(1)本人認証
ECサイトにおける不正利用対策の1つ目として、本人認証があげられています。これは、ECサイトでクレジットカード決済を行う際に、カード情報の入力に加えて、事前に設定したパスワードや属性情報など、その決済を行なっているのがカード会員本人だということを証明できる情報を入力させて認証するものです。
本人認証によく用いられる方法には、「3-Dセキュア」があります。
3-Dセキュア
3-Dセキュアとは、カード決済時に、カード会員が事前に設定した本人のみが知る情報を入力させる認証方法です。
3-Dセキュアには、「3-D セキュア1.0」と呼ばれる従来の方法と、「EMV 3-D セキュア(3-D セキュア2.0)」の 2種類があります。3-Dセキュア2.0は、国際ブランドも推奨する信頼性の高い本人認証の方法です。
対策(2)券面認証(セキュリティコード)
券面認証は、カード番号とは別にカード券面に印字されている数字3~4桁の「セキュリティコード」を入力することで、正しいカードが利用されていることを確認する方法です。既存のオーソリゼーション電文の活用で導入できます。
セキュリティコードは、カードの券面に印刷されているだけであり、スキミングやICチップの中にはセキュリティコードに関する情報が書かれていないため、基本的にはクレジットカード本体を所有していないと分かりません。そのため、利用者がカード情報だけでなくクレジットカード本体を持っている証明になり、不正利用対策になると考えられています。
また、セキュリティコードはすべてのクレジットカードに存在しており、券面を見れば確認できるので、利用者が番号を忘れてカード決済ができないといったことも防げます。
対策(3)属性・行動分析(不正検知システム)
属性・行動分析は、利用者が入力した情報や過去の取引情報、利用端末のデバイス情報やIPアドレスなどから分かる利用者の行動を分析して、取引のリスク評価を行い、不正利用の可能性を判定するシステムです。不正検知システムを選ぶ際には、利用しているEC構築システムや決済代行サービスとスムーズにデータを連携できるか、確認しておくと良いでしょう。
ECサイトでよく利用される不正検知システムとしては、例えば、以下のようなシステムがあります。
O-PLUX(かっこ株式会社)
2012年に国内初となるECサイトでの不正検知サービスとしてスタートし、2019年4月にシェアNo.1を獲得したサービスです。加盟店20,000サイトの注文データを日々審査しており、幅広いデータベースを基に不正利用の情報を更新しています。また、自社開発のシステムで、高精度な不正検知を実現しています。
ASUKA(株式会社アクル)
チャージバック対策を重視している不正検知サービスです。独自開発の本人認証ツールにより、決済オーソリゼーションの前に不正アクセスを排除する仕組みとなっており、ECサイト運営者の負担を軽減します。また、クレジットカードの規則性を悪用してカード番号を割り出そうとする「クレジットマスター」対策にも有効です。
対策(4)配送先情報
不正利用の際に使われた配送先の住所・連絡先・氏名などの配送先情報を、蓄積してデータベース化できれば、注文と照らし合わせることで、不正利用が疑われる注文を発見し、商品を発送する前に止めることができます。
不正利用は発生しないことが一番ですが、万が一発生した場合、その配送先情報のログは記録しておきましょう。番地など住所の一部や、氏名を微妙に変えた配送先情報も要注意です。
セキュリティ意識の高いECベンダー選びを
ECサイトにおける不正利用対策の前提として、EC構築システムのセキュリティ対策が適切になされていることが重要です。そのため、EC構築システムを選定する際は、そのシステムに備わっているセキュリティ対策とECベンダーのセキュリティ意識の高さもチェック項目としたいところです。
EC構築システムのセキュリティ対策としては、ネットワークやサーバの運用保守の体制や監視システム、ECサイトの改ざんを防ぐシステム、不正アクセス対策ツールなどのツールやサービスが備えられているかもチェックしましょう。
また、ECベンダーが情報管理を重視しているかを判断する基準のひとつとして、情報セキュリティの国際基準「ISO 27001」や、個人情報保護の認証規格「プライバシーマーク(Pマーク)」の取得があげられます。これらを取得しているECベンダーは、情報漏洩を防ぐための情報セキュリティマネジメントシステム(ISMS)がしっかりと整備されていると判断できます。
さらに、ECベンダーの実績において、金融や医療、交通インフラなどの高いセキュリティ性が求められるECサイトの構築・運用の実績があるかどうかも、そのECベンダーのセキュリティ意識を判断する材料となります。
ECサイトの不正利用対策は、システム選定から始まっています。セキュリティ意識の高いECサイトの構築・運用のため、分からないことや不安な点があれば、まずはECベンダーに相談してみましょう。
あわせて読みたい関連記事
ECサイトのセキュリティリスク「情報漏洩」対策について解説
ECサイトを運営していると、さまざまなセキュリティリスクに直面します。特に注意が必要なのは「会員情報の漏洩」です。今回は、ECサイトにおける情報漏洩リスクの原因と対処法を解説します。