備える
データ漏えいや不正利用を防ぐ仕組みとは?【知っておきたいクレカの安全性 後編】

ネットでクレジットカードを使うのは本当に安全か? 不正利用対策に迫る

増え続ける、クレジットカードの不正利用――。
本企画では、クレジットカードの安全性についてユーザーが知っておくべき仕組みと最新事情を2回にわたって解説しています。前回(※)は、「クレジットカードの偽造」や「偽造されたカードの利用」を防ぐのにきわめて有効な、カード・決済端末の「IC化」を中心に解説しました。今回は、ネット上でのクレジット決済の伸びにともなって増加している「番号盗用」の対策を解説します。ネットショッピングが普及し始めた当初は、ネット上でクレジットカード払いをすることに抵抗感を持っていた人が多かったと思います。しかし、ネットでの買い物が当たり前になるにつれてその抵抗感が薄れ、不正利用につけこまれる隙が生まれやすくなっているように感じます。本稿をきっかけに、ネット決済に対する適度な緊張感を持っていただければ幸いです。

※【前編】2020年、「完全IC化」でクレジットカードのセキュリティはどう変わる?
https://kakakumag.com/money/?id=14977

ネット決済には自分の目の届かないところでクレジットカード情報が扱われる怖さがあります

ネット決済には自分の目の届かないところでクレジットカード情報が扱われる怖さがあります

ネットでの買い物、クレジットカード利用が7割

クレジットカード決済はネット上での買い物と相性がいい傾向があります。総務省の調査(※)によると、ネットで買い物をしたり取引したりする場合の決済方法として、約7割の人が「クレジットカード払い」を使うと回答。「コンビニ払い」(約38%)、「代金引換」(約35%)、「金融機関での振り込み」(約29%)などを抑えてトップの決済方法となっています(複数回答可)。

(※)総務省「平成30年度版 情報通信白書」

顔の見えない相手にカード情報を提供

いっぽう、セキュリティの観点から見ると、ネット上でのクレジットカード払いの最大の特徴は、顔の見えない相手にクレジットカード情報などの個人情報を提供している点にあります。店員がいて販売するリアル店舗(リアル店舗)であれば、店員が自分のカードをどのように扱っているかを目で確認することができ、挙動などからリスクをある程度察知することができます。しかしネット決済の場合、入力した情報がどう扱われているか自分の目で確かめることはできません。そのため、仮に不正利用をされても、カードの利用明細を見るまでそれに気づくことは難しいと言えます。

利用明細を見て初めて「身に覚えのない請求」がわかることも

利用明細を見て初めて「身に覚えのない請求」がわかることも

「番号盗用」の3つの典型パターン

前回の記事で、クレジットカードの不正利用のうち、約8割を「番号盗用」が占めていることを紹介しました。番号盗用とは、なんらかの方法でクレジットカードの情報を盗み出し、それを通販サイトなどで悪用する犯罪のことを指します。つまり、ネット決済の普及とともに最も増えている不正利用パターンと言えます。具体的にクレジットカード情報はどのように盗まれてしまうのでしょうか? 3つの典型的なパターンをご紹介します。

〈パターン1〉ユーザーのパソコンからの漏えい
クレジットカードユーザーのパソコンがウイルスに感染するなどし、パソコンに保存されているクレジットカード情報などの個人情報が盗まれてしまうことがあります。また、キーボードで入力した内容を記録する装置の存在も確認されており、過去には、ネットカフェやホテルなどの共用のパソコンに仕掛けられた例も報告されています。

〈パターン2〉アクセスしたサイトからの漏えい
銀行、カード会社、証券会社など、いかにも“ありそう”な企業をかたり、「登録情報の更新が必要」などとだまして不正サイトに誘導し、そこにカード情報などを入力させて盗み出そうとするケースもあります。いわゆる「フィッシング詐欺」と呼ばれる犯罪です。フィッシング詐欺ではカード情報ばかりかID、パスワードまでも盗み取られてしまいます。また、悪質なサイト業者は取得したカード情報を自ら悪用するだけでなく、横流しする可能性もあり、被害が広がる恐れもあります。

〈パターン3〉事業者のサーバーからの漏えい
クレジットカード会社、加盟店など、カードを扱う事業者のサーバーがサイバー攻撃を受け、情報が漏えいする事故も後を絶ちません。アメリカでは2013年に、大手流通業「Target(ターゲット)」社が約4,000万件ものカード情報を漏えいさせ、多額の賠償責任が生じたケースがあります。

悪意を持った人間があらゆる手段を使ってカード情報を盗み出そうとしています

悪意を持った人間があらゆる手段を使ってカード情報を盗み出そうとしています

漏えいしたカード情報の行く先は…?

盗み取られたカード情報は、盗み出した人間によって使われる可能性もあるものの、実際は「ダークウェブ」など一般にはアクセスしづらいネット上の闇市場で売買され、情報を購入した人間によって悪用されているようです。

記憶に新しいところでは、2018年10月、QRコード決済の「PayPay」で起きた不正利用事件があげられます。PayPayでは、決済方法としてクレジットカードを登録し、PayPayでの買い物金額を登録したクレジットカードで決済できる仕組みがあります。このときは、闇市場で購入されたクレジットカード情報が犯人のPayPayに勝手に登録され、決済に使われた疑いが指摘されています。これを受けてPayPayでは、急遽「3Dセキュア」(後述)などのセキュリティ強化が図られました。

盗み出されたカード情報が闇市場で売買され……

盗み出されたカード情報が闇市場で売買され……

改正割賦改正法で進む対策とは?

2018年に施行された改正割賦販売法(かいせいかっぷはんばいほう以下:以下、改正割販法と略します)では、クレジットカードを扱う事業者に対して大幅なセキュリティの強化が義務付けられました。そのひとつが、クレジットカードの「IC化」です。これにより「クレジットカードの偽造」と「偽造カードの利用」の抑止に高い効果が期待できることは前編で詳しく解説したとおりです。改正割販法では、これ以外にもクレジットカードを扱う事業者に義務付けられたことがあります。それが下記の2点です。

(1)クレジットカード情報の保護対策
(2)非対面取引(インターネット決済)におけるクレジットカードの不正利用対策

それぞれ説明していきます。

(1)クレジットカード情報の保護対策
⇒事業者はカード情報を「持たない」「見せない」

改正割販法により、クレジットカードを扱う事業者(カード会社、決済代行業者、加盟店など)に対し「クレジットカード情報の保護対策」が義務付けられるようになりました。これは前出の「事業者のサーバーからの漏えい」を防ぐ対策に該当します。具体的には、下記のいずれかの対策を取ることが求められます。

・クレジットカード情報の非保持化
・国際的なセキュリティ基準「PCI DSS」に準拠

前者の「非保持化」とは、文字どおり自社のサーバーなどにユーザーのクレジットカード情報を「保存、処理、通過」しないことを意味します。つまりカード情報の漏えいの原因を元から絶ってしまおうという発想です。しかし、ユーザーがカード情報を「加盟店」に伝えることなしに、クレジットカードで買い物することはできません。「カード情報の非保持化」とはどのようなものなのでしょうか?

ここで役目を果たすのが「決済代行業者」と呼ばれる存在です。クレジットカードで決済する際は「オーソリ(オーソリゼーション)」(そのクレジットカードで決済できるかを確認する作業)や、「売上処理」といった処理が必要になります。これらをすべて決済代行業者などの決済会社が行い、加盟店はカード情報を直接処理することなく結果を受け取るようになっており、「加盟店におけるクレジットカード情報の非保持化」が可能になるのです。しかしこれを聞いて「それでも決済代行業者やクレジットカード会社にはカード情報が保持されるのでは?」という新たな疑問が浮かぶ方もいるかもしれません。ここで鍵となるのが、後者の「PCI DSS」です。

「PCI DSS」は厳格なセキュリティ基準

PCI DSSは大手国際カードブランドが共同で定めたセキュリティ基準で、これに準拠することは、クレジットカード情報を厳格に取り扱っていることを意味します。その一例がカード情報やパスワードなどの暗号化です。特別なアルゴリズムによって暗号化がなされ、専門知識のある人間でも読み解けないと言われています。つまり、PCI DSSに準拠している事業者の場合、情報漏えいは起きにくい、あるいは仮に起きたとしても悪用される可能性はきわめて低いと考えていいでしょう。それを裏付けることがらとして、割賦販売法は加盟店がPCIDSSに準拠している場合は「カード情報を保持していないことと同等」とみなしています。

カード会社や決済事業者などはすでにPCI DSSに準拠しているところがほとんどです。加盟店でも大手を中心に準拠が進んでいます。しかし中小の加盟店にとってPCI DSSに準拠するのは大きな負担となります。システム改修やカード情報の取り扱いに関する運用ルールの変更などが生じ、それにともなって発生するコストも見逃せません。そのため、すでにPCI DSSに準拠している決済代行業者と連携することで、改正割販法で求められる基準を満たそうとする加盟店の動きが活発になっています。

PCI DSS
Payment Card Industry Data Security Standardの頭文字を取った言葉。VISA、Mastercard、JCBなど、クレジットカードの国際ブランドが共同で策定した、国際的なセキュリティ対策基準。下記の6つの目標を達成するために、12の要件が事業者に義務付けられている。


PCI DSSの6つの目標
・安全なネットワークの構築と維持
・カード会員データの保護
・脆弱性を管理するプログラムの整備
・強固なアクセス制御手法の導入
・定期的なネットワークの監視およびテスト
・情報セキュリティポリシーの整備

PCI DSSに準拠することはクレジットカード情報が強固な仕組みで保護されることを意味します

PCI DSSに準拠することはクレジットカード情報が強固な仕組みで保護されることを意味します

(2)非対面取引(インターネット決済)におけるクレジットカードの不正利用対策
⇒3Dセキュアなどの活用

盗み取られたカード情報を悪用する「なりすまし」の被害を防ぐ取り組みが、「(2)非対面取引(インターネット決済)におけるクレジットカードの不正利用対策」です。改正割販法では「多面的・重層的な不正使用対策の導入」という表現で、対策が求められます。そのひとつとして導入が進められているのが「3Dセキュア」という本人認証の仕組みです。

ネット上でクレジットカード決済をする場合、

・カード番号
・有効期限
・利用者名
・セキュリティコード

などを入力し、本人が使っているか認証する仕組みになっています。3Dセキュアは、これらの認証とは別の認証という位置付けです。3Dセキュアの「3D」とは3つのドメイン(領域)を意味します。カード発行会社(イシュアー)ドメイン、加盟店管理会社(アクワイアラ)ドメイン、そしてその双方をつなぐドメインの3つの領域によって、重層的に認証を行う仕組みです。

3Dセキュアはカード会社が提供する認証サービス

3Dセキュアを提供しているのは、「買い物をしているECサイト」ではなく、「クレジットカード会社(イシュアー)」です。決済時にウェブサイトのドメインがECサイトからイシュア―のサイトへと遷移し、イシュアーのサイト上でID、パスワードなどを入力します。認証されると再びECサイトに遷移する仕組みになっています。仮にカード情報が漏えいしても、3Dセキュアにログインできなければ決済が成立せず、水際で不正利用を防ぐことができます。なお「3Dセキュア」は認証手段の総称で、下記のとおり、提供するイシュアーによって名称が異なります。

「3Dセキュア」の各イシュアーの名称

・VISA……VISA SECURE
・Mastercard……Mastercard Secure Code
・JCB……J/Secure
・AMEX……American Express Safekey

「サイト離脱」が3Dセキュアの弱点

ネット決済の不正利用を防ぐ仕組みとして有効な3Dセキュアですが、現状、すべてのECサイトで採用されているわけではありません。これには3Dセキュアを採用した際に起こりうる課題が影響しています。それが、3Dセキュアの導入による「ユーザーの離脱率の上昇」です。ECサイト上で購入を決め、いざ決済をするという段階で、ECサイトのものとは異なるID、パスワードを入力するのは想像しただけでも面倒です。まして、3Dセキュアの認知度も高いとは言えず、ID、パスワードを思い出すのに苦労する人も多いでしょう。このわずらわしさによって、ユーザーが決済を辞め、サイトを離脱してしまう可能性が指摘されているのです。そのため、「買い物を止めてしまう人の増加」を懸念するECサイトでは3Dセキュアの導入が進んでいないのが課題となっています。

前出のとおり、改正割販法では「多面的・重層的な不正使用対策の導入」という表現がなされ、3Dセキュアのように特定の対策を義務付けているわけではありません。大手のECサイトでは、3Dセキュアは導入していないものの「利用者の属性・行動分析」など高度な不正検知システムを導入しているところもあります。しかし、このような状態では、サイトによって認証方法に一貫性がないなどの課題が残ります。今後は、現在開発が進められている「3Dセキュア2.0」(スマホのワンタイムパスワードなどの導入で「ユーザーのサイト離脱」という弱点を補う仕組み)などの導入が進んで行く可能性があります。

まとめ

ここまで、ネット決済における事業者サイドの取り組みを解説してきました。事業者の対策はユーザーから見ると「対策が施されているか」がわかりにくいという面があります。なかでもPCI DSSに準拠しているかどうかの判断は困難です。しかし最近では、「PCI DSS準拠」などと表記するサイトも増えています。こうした情報を利用するサイト選びの参考にされるのもいいでしょう。同様に、3Dセキュアが導入されているサイトはそれだけ「信頼できる」ことを意味します。IDやパスワードの入力にわずらわしさを感じる方もいるかもしれませんが、その存在意義を認識していただければと思います。

※画像はダミーです

画像の赤枠部分のようにPCI DSSに準拠していることを明記するサイトも増えています(画像は価格.comが提供するオンライン決済サービス「価格.com決済」の公式サイトより)

前後編の2回にわたって、クレジットカードの安全性について解説してきました。本企画が、皆さんの安全なクレジットカード利用の一助となれば幸いです。
(聞き手:価格.comマネー編集部 野 洋介)

※参考記事:【前編】2020年、「完全IC化」でクレジットカードのセキュリティはどう変わる?
https://kakakumag.com/money/?id=14977

※本記事は、取材者の⾒解です。

山本正行

山本正行

インテル等を経てマスターカード、ビザに勤務後、山本国際コンサルタンツを設立。あらゆるキャッシュレスサービスに精通し専門紙誌での執筆・連載多数。大学講師、政府系委員会、専門家向け教育等にも携わる。

記事で紹介した製品・サービスなどの詳細をチェック
ご利用上の注意
  • 本記事は情報の提供を目的としています。本記事は、特定の保険商品や金融商品の売買、投資等の勧誘を目的としたものではありません。本記事の内容及び本記事にてご紹介する商品のご購入、取引条件の詳細等については、利用者ご自身で、各商品の販売者、取扱業者等に直接お問い合わせください。
  • 当社は本記事にて紹介する商品、取引等に関し、何ら当事者または代理人となるものではなく、利用者及び各事業者のいずれに対しても、契約締結の代理、媒介、斡旋等を行いません。したがって、利用者と各事業者との契約の成否、内容または履行等に関し、当社は一切責任を負わないものとします。
  • 当社は、本記事において提供する情報の内容の正確性・妥当性・適法性・目的適合性その他のあらゆる事項について保証せず、利用者がこれらの情報に関連し損害を被った場合にも一切の責任を負わないものとします。
  • 本記事には、他社・他の機関のサイトへのリンクが設置される場合がありますが、当社はこれらリンク先サイトの内容について一切関知せず、何らの責任を負わないものとします。
  • 本記事のご利用に当たっては上記注意事項をご了承いただくほか、価格.comサイト利用規約(http://help.kakaku.com/kiyaku_site.html)にご同意いただいたものとします。
関連記事
価格.comマガジン タイムセール
クレジットカード・ローンのその他のカテゴリー
「価格.comマガジン」プレゼントマンデー
ページトップへ戻る