クレジット取引セキュリティ対策協議会が20年3月に発表した「クレジットカード・セキュリティガイドライン」をご存知でしょうか。今回はこのガイドラインから、クレジットカードの不正利用と チャージバック 対策について、重要な部分を完結にまとめました。サクッと読めますので、EC事業をされている方はぜひご一読ください。
不正利用による チャージバック の原因
同協会はクレジットカード不正利用による被害が高止まりしている要因について、以下の3つを挙げています。
漏洩したカード情報の不正利用
フィッシングサイトやスキミング、ECサイトのハッキング被害などでカード番号を盗まれ、犯罪集団に不正利用され、チャージバックに至るケースが該当します。
ナンバーの規則性を短期集中的に悪用
「クレジットマスター」と呼ばれる行為で、ECサイトにランダムな数値を入力し、偶然番号が一致した場合に決済が通ってしまい、チャージバック被害が起こるというものです。
プログラムを組み、短期間に数万から数十万のアタックを仕掛ける手口が多く見られます。
不正利用の巧妙化
三井住友カードの調査によると、不正利用の被害にあった500名のうち、原因の心当たりがないと答えた人は57.2%に上るとしています。
皆様も、スマホのメールやSMSに、アマゾンやヤフーを語ったメールや、配送会社を語り「荷物を持ち帰りました」などの短文が送られてきた経験があるかもしれません。クレジットカード不正利用の被害は年々巧妙化していると言えます。
不正利用の具体的な対策
それでは、この章では上記のようなクレジットカード不正利用の具体的な対策を、協会の資料をもとに紹介していきます。
・特に チャージバック 対策が必要なECの事業者とは
協会は、以下のような事業者に対し、特に対策を強化するよう勧めています。
▶非対面取引を行う店舗
▶高リスク商材の取り扱い店舗
▶不正が顕在化した店舗
高リスク商材は、デジタルコンテンツ、家電、電子マネー、チケット、宿泊サービスの5つです。これらの商材を扱う事業者には、後述の対策のうち少なくとも1つを実装するように呼びかけています。
また不正顕在店(実際に不正利用被害が発生した事業者)は後述の対策のうち2つ以上を実装するように呼びかけています。チャージバックなどの被害をすでに受けている場合はこの不正顕在店に該当する可能性が高いと言えます。
具体的な方策として掲げられているのは、以下の4項目です。
1 本人認証の導入
対策のひとつとして挙げられているのは、クレジットカード会社の各社が用意している本人認証サービスの導入です。3Dセキュアと認証アシストの機能があります。
・3Dセキュア
3Dセキュアとは、ECサイトなどオンライン上での取引を行う際に、クレカ番号の他に、ワンタイムパスワードなどのパスワードを入力することで不正利用を防止するものです。
・認証アシスト
ソニーペイメントサービスが提供する認証アシストも、不正利用防止に効果的と言われています。カード会員は決済時に自身の生年月日や誕生日を入力するように求められ、入力情報が正しければ決済を行うもの。パスワードよりも忘れにくいことから、国内発行のカード会社の一部で利用ができるようになっています。
2 券面認証の導入
券面認証とは、クレジットカードの裏に印字された3~4桁の数字を入力するもので、入力者が正規のカードをもっているかどうかを判別できるようになります。
・セキュリティコード
国際ブランドではこれを「セキュリティコード」と呼んでいます。カード券面を見るだけで確認ができるため、導入している企業が多く見られます。
ただし、セキュリティコードの桁数は少ないことから多数回のアタックに弱く、カード情報流出時にセキュリティコードも流出している可能性があることから、チャージバックに対する万全策であるかについて、疑問の声が上がっています。
3 属性・行動分析
過去の取引状況によって不正取引を判定する属性・行動分析も、クレジットカードの不正対策に有効としています。
・カード利用状況に基づくリスク評価
具体例としてカードの利用状況に応じて、不正取引の可能性を判別するシステムの導入が挙げられます。すでにリスク評価を行うシステムが複数の企業から発表・発売されています。
例えば、カード決済時の端末やIPアドレス、金額や商品などを判断して、「怪しい」と機械が判断した決済については、EC事業者へのアラートを発信します。
EC事業者はそのアラートをもとに、電話確認をしたり、発送を一旦ストップしたりすることができ、チャージバック被害を未然に防ぎます。
4 配送先情報の蓄積・共有
これは不正に使用された配送先を蓄積し、不正利用者の利用が合った場合は発送を遮断するというものです。
同協会はECの事業者に対し、不正対策として、配送先の確認を求めています。不正利用に使われている事務所や空き家などの住所には配送を行わないようにするためです。
ただし、ガイドラインには「多数の取引と一定以上の不正利用被害がある加盟店においては自社構築で一定の効果(上記以外の加盟店は外部サービス利用でないと期待効果得られず)」とあり、大手以外のECの事業者はシステムの導入も重要となります。
実際、ガイドラインには「各加盟店における不正利用対策の課題の特定とともにその解決を図るため、各加盟店との間で迅速な情報共有に努める」とあり、不正利用されたカード情報、配送先情報などを共有することで、顧客の負担ゼロでチャージバック被害を防ぐことができます。ECの事業者向けに、不正情報を共有し、不正の検知を行うシステムとしては「at score」などが存在します。
1、2で紹介した対策と比較すると、3,4の対策はカード利用者の手間がないことがメリットになります。
まとめ 企業間の情報連携が チャージバック 対策に重要
クレジットカード不正利用に対して、協会は、カード発行会社、PSP、加盟店各社の連携が必要不可欠であるとしています。不正利用事例、不正利用者の配送先情報の共有を円滑に行える連携体制が整っているか、一度社内の確認を行ってみるのもいいでしょう。
特にチャージバック対策の最新情報などは、常に更新されるため、こまめなキャッチアップが重要です。
また、ITシステムの導入も今後必須となっていくでしょう。3Dセキュアによるリスクベース認証やワンタイムパスワード、加盟店やカード会社間での情報共有などをすすめ、被害を最小限に抑えましょう。