2025年3月までに原則義務化とされているEMV 3-Dセキュアの現状や、不正利用が増加の一途を辿るEC業界での今後の対策について、クレジット取引セキュリティ対策協議会にも参画している三菱UFJニコス 加盟店管理部 次長の吉岡徳氏と不正対策サービス国内最大級のネットワークを持つ不正検知サービスASUKAを提供するアクルの代表取締役 近藤修氏の2人が対談を実施。カード会社からの観点、セキュリティソリューションを提案するアクルからのそれぞれの観点から、EC加盟店が今実施すべき取り組みや対策と、今後の展望とは。
カード不正利用の増加の背景にあるフィッシング・クレマスアタック、セキュリティガイドラインとEMV 3-Dセキュアにより期待される不正の抑止効果
――昨年のクレジットカード不正利用の実態、EC加盟店さまへの対策周知の内容を教えてください。
近藤:まず2024年3月末に昨年のクレジットカード不正利用被害の実績が公表されました。
クレジットカード不正利用被害額の総計としては年間540億円の被害(うち番号盗用による被害は504億円)と、前年比でも100億円以上の増加となってしまいました。なかなか不正が収まらない中で、三菱UFJニコスにおけるEC加盟店さま向けの対策や周知活動について教えてください。
▲一般社団法人日本クレジット協会 「クレジットカード不正利用被害の集計結果」より抜粋吉岡:業界全体で年々増加している不正被害に対して、当社では不正利用が発生したEC加盟店さまに、不正利用の傾向をヒアリングのうえ、最適な不正対策のご提案を行うようにしています。
主にはセキュリティガイドラインにある4方策が中心となり、中でもEMV 3-Dセキュアは2025年3月までに原則として全てのEC加盟店さまに導入が求められることから、一つの軸として優先的にご提案しています。
実際にEMV 3-Dセキュア導入後、不正利用被害が大きく減少するケースを多数確認しております。一方で、EMV 3-Dセキュアを導入した場合でも不正利用が発生してしまっているという事実もあり、そういった事象が確認できた場合にはASUKAを中心とした不正検知システムによる属性・行動分析の導入をご提案しています。
近藤:実際に昨年ASUKAの加盟店さまの中にも、EMV 3-Dセキュアを導入したのでASUKAを解約するといった動きも若干のEC加盟店さまで見られましたが、やはりカード会社や決済代行会社からの不正が減っていないという情報によりASUKAを再開されたEC加盟店さまも複数いらっしゃいました。
EMV 3-Dセキュアを導入したからといって必ずしも「不正が無くなる」ということではないのだと実感しているところです。
吉岡:不正につながる原因としては、EC加盟店さまからの情報漏えい・フィッシング・クレジットマスター(クレマス)アタック(※1)などが挙げられます。情報漏えい自体は一時期よりもかなり減少していますが、クレマスの被害が著しく増加している実態があります。
特にクレマスについてはアタックを検知した際に国際ブランド(Visa/Mastercard/JCBなど)が一時的に決済の利用停止措置をとる場合があり、EC加盟店さまにとっての影響がとても大きいものとなることから、未然防止や発生時の速やかな対応、対策が急務となっています。
近藤:クレマスに関する問い合わせは依然として多く寄せられ、現在多数のEC加盟店さまにASUKAをご利用頂いております。クレマスの標的となりやすいのはこれまで不正転売等のリスクが低く、ある意味でセキュリティ対策をしていなかった中小のEC加盟店さまが狙われている事もポイントですよね。
ASUKAは短期間で導入可能であり、その迅速な対応が多くの利用者に選ばれる理由の一つです。現在クレマス対策としてASUKAをご利用頂いているEC加盟店さまにおいては再発防止も含めて非常に高い効果を実感されています。引き続き我々としても未然の防止措置の必要性などをお伝えできればと考えています。
吉岡:不正対策のご提案にあたっては、不正利用が増加することによりEC加盟店さまに生じる様々なリスクや有効な対策についてご説明していますが、より分かりやすくお伝えできるようEC加盟店さま向けのセキュリティ対策動画を作成しています。
EC加盟店さまとの面談前に動画をお送りしておくことで効率的にご提案することが狙いでもあります。動画はYouTubeで一般公開していますのでぜひご覧ください。
[不正利用対策]https://www.youtube.com/watch?v=pGAJf0st1UA[クレマスアタック対策]https://www.youtube.com/watch?v=s_Gu-2ptvtw[EMV 3-Dセキュア]https://www.youtube.com/watch?v=R9o7i0PqFrg
近藤:アクルでも当社ホームページのKnowledge記事やYouTubeチャンネルでの情報発信を行っています。
第三者不正利用、クレマスアタックや、最近では不正ログインによる不正利用も目立ってきています。まさにイタチごっこのように不正の手口が変わっていきますので不正検知サービスとしても日々最新の手口を分析し、ASUKAへアップデートしています。
引き続きこういった啓蒙やEC加盟店さまへの案内を進めていきたいと考えています。
―― クレジット取引セキュリティ対策協議会により3月15日にクレジットカード・セキュリティガイドラインの更新版が公表されました。このセキュリティガイドラインについての要点を教えてください。
▲三菱UFJニコス 加盟店管理部 次長 吉岡徳氏
吉岡:3月15日に公表されたセキュリティガイドライン5.0版では、2025年3月を期限として原則全てのEC加盟店さまでのEMV 3-Dセキュア導入に向け、カード会社(イシュアー)における目標設定のほか、不正利用が顕在化しているEC加盟店さまでは早期にEMV 3-Dセキュアの導入が求められるといった導入優先順位の考え方や、決済時のみではなく「決済前・決済時・決済後」のそれぞれのシーンにおける多面的・重層的な対策の必要性が示されています。
近藤:まさに 「決済前・決済時・決済後」と線での対策の必要性が明文化された事が重要なポイントです。EMV 3-Dセキュアは決済時の一時点では非常に有効だが、現状ではそれ以外の部分も対策しなくては完全には防ぎきれないと。つまり、すべての導線での対策を怠ると、結果的にEC加盟店さまに対して、売上減少などの負の影響が避けられない、という事が示されたと理解しています。
今回セキュリティガイドラインに新たに明文化されたことで、EC加盟店さまにとっても今後の対策を検討する上で、より現実に沿った具体的な判断材料を手に入れることができたと考えています。
▲セキュリティガイドラインにより示された今後の不正利用対策の考え方(出典:クレジットカード・セキュリティガイドライン【5.0版】改訂ポイント)
吉岡:これは不正利用犯のターゲットとなる商材を取り扱っているようなEC加盟店さまの場合、「決済時」にEMV 3-Dセキュアを適用するだけでは必ずしも不正利用が減少しない場合がありますので、多面的・重層的に対策を導入していく必要があることを求めているものです。
ここについては属性・行動分析(不正検知システム)が得意な分野かと思いますので大いに期待している点でもあります。
近藤:属性・行動分析はもちろんですが、配送先情報については業界最大級の最新の不正配送先情報を保有しているASUKAの得意とするところでもあります。
EMV 3-Dセキュアと併用することでオーソリ承認率(※3)も上昇が見込め、結果としてチャレンジ認証率(※2)が下がり、オーソリ承認率も上昇させることができる、まさにECの売上増加に貢献できるのではないかと考えています。
――EMV 3-D セキュアの原則義務化にむけてEC加盟店さまに対してどういった施策を実施しているか、取り組みについて教えてください。
▲アクル 代表取締役 近藤修氏吉岡:まずは不正利用が顕在化しているEC加盟店さまのうち、EMV 3-Dセキュア未導入先へは2025年3月までの導入を求めていくことになります。
先程も申し上げましたように、不正利用犯のターゲットとなる商材を取り扱っているようなEC加盟店さまの場合、EMV 3-Dセキュアだけでは不正利用が減少しない場合もあるため、不正検知システムを中心とした「決済前・決済時・決済後」に多面的・重層的に対策を導入することを求めていきます。
中でも不正検知システムは属性・行動分析において、「決済前・決済時・決済後」のどの場面にも適用できるものであり、対策効果が最も大きいことを確認しています。
近藤:属性・行動分析を行う不正検知システムは多岐に亘りますが、各種対策を実施していく上で重要と考える点はありますか?
吉岡:属性・行動分析は単に導入すればよいわけではなく、継続的なチューニングを行うことで効果が発揮されることから、今般セキュリティガイドラインの附属文書として「属性・行動分析のポリシー文書」をセキュリティ対策協議会にて策定しています。EC加盟店さまに対しては「属性・行動分析のポリシー文書」の内容を伝え、効果的な活用を提案して参ります。
近藤:セキュリティガイドラインの中でもEMV 3-Dセキュアだけでなく、属性・行動分析、配送先チェックなど多様な対策が重要かつ不可欠であることが明文化されたことにより、貴社を含めたカード会社や決済代行会社と情報交換をしながら「いかにEMV 3-Dセキュアの効果を最大化できるのか」という観点で、EC加盟店さまに対してあるべき不正対策の啓蒙をしていくことが重要であると考えています。
手口が巧妙化していく不正に対し、ASUKAの得意分野を活かしながら、新たな不正の手口に対して今まで以上に対応策を日々アップデートしていき、加盟店毎のチューニングや新たな機能の追加など今後も積極的に実施していく方針です。
不正対策というとネガティブなイメージも強いかもしれませんが、今後のトレンドとしては、不正対策こそがECサイトの売上上昇に貢献できる仕組みと言えるようなサービスを提供していきたいと考えています。
