クレジットカードの不正利用に関するセキュリティソリューションには、クレジットカード情報を別の文字列（トークン）に置き換えて決済を行うトークン決済やAIを使った不正検知などさまざまなものが登場していますが、最近特に注目されているのが「3Dセキュア」です。経済産業省は国内すべてのECサイトに3Dセキュアの導入を求める方針を検討しており、ニュースなどでも話題に挙がることが増えてきています。

そこでこの記事では、クレジットカード不正利用被害の現状とそれを防ぐための3Dセキュアのセキュリティ機能や導入効果について解説します。DNPが提供するカード発行会社（イシュア）向け本人認証サービスと高度な不正検知に向けた取組みも紹介します。

クレジットカード不正利用被害額は年々増加傾向にあります。不正利用の手口としては、偽造カード被害が激減した一方、番号盗用被害が急増しています。番号盗用されたクレジットカード情報を使って第三者が不正に決済を行うことを防ぐため有効な対策であるといわれているのが、3Dセキュアによる本人認証です。カード券面情報を入力した後にパスワードなど本人しか知らない情報を用いて行う本人認証の仕組みで、カード発行会社やEC加盟店における導入が求められています。

一般社団法人日本クレジット協会の統計によると、クレジットカードショッピングの利用額は年々増加しています。年間クレジットカードショッピング利用額は2014年には46兆円でしたが、2021年は81兆円となっています。

クレジットカードショッピング利用額の増加に伴い、クレジットカード不正利用被害額も増加傾向にあります。2014年には114億5,000万円でしたが、2021年には330億1,000万円と3倍近くまで被害額が増えている状況です。また2022年は1月～9月までですでに309億2,000万円に達しており、前年の同時期（2021年1月～9月）よりも72億円以上増えています。このままいけば年間で400億円を超えるほどに被害額が膨らむ恐れがあります。

クレジットカード不正利用の手口はここ数年で大きく変化し、スキミングなどによる偽造カード被害が激減する一方、インターネット上で券面情報を窃取する番号盗用被害が急増しています。

2014年に19億5,000万円だった偽造カード被害額は、2017年に31億7,000万円でピークを迎えたのち、2021年には1億5,000万円にまで激減しました。この劇的な被害額の減少には、経済産業省が2020年目標で進めたクレジットカードのICカード対応（全量IC化）が大きく寄与しています。一方、番号盗用被害額は2014年の67億3,000万円から年々増え続け、2021年には311億7,000万円と拡大しています。この被害額はクレジットカード不正利用被害額全体の94.4%を占めるに至っています。

【参考】一般社団法人 日本クレジット協会「日本のクレジット統計 2021年版 」

番号盗用の主な手口は以下の通りです。

・サーバーハッキング：ECサイトへ不正アクセスを行い、券面情報やパスワードを窃取する手口。
・フィッシング：実在する有名企業やWebサービスを偽装してメール送信するなどして偽装サイトへ誘導し、ログイン情報や券面情報を入力させて窃取する手口。
・クレジットマスター：クレジットカード番号の規則性を悪用し、番号をランダムに探り当てる手口。

上記のようなサイバー攻撃を受けてクレジットカード情報を盗まれてしまうと、第三者がカード名義人になりすまして簡単に不正決済を行うことができてしまうというリスクがあります。番号盗用されないために、サーバー監視を強化したり送信ドメイン認証（DMARC）を導入したりといった対策を打つことが重要となりますが、たとえ番号盗用されてしまってもその番号を使った決済を阻止することができれば、クレジットカードの不正利用被害を少なくすることができます。

そこで導入が推進されているのが「3Dセキュア」です。

クレジットカード不正利用を防ぐには、本人認証サービス「3Dセキュア」の導入が有効です。クレジットカード番号や有効期限などのカード券面情報だけでなく本人しか知り得ないパスワードなどの情報を使って、決済しようとしている人物が本人であるかを確かめるサービスです。3Dセキュアは1.0から2.0にバージョンアップし、新たにリスクベース認証やワンタイムパスワード認証に対応し、より利便性と安全性が高いサービスになりました。

3Dセキュア2.0を導入していない場合、クレジットカードの券面情報だけで決済ができてしまいます。フィッシング詐欺などでクレジットカードの番号が盗用されてしまえば、簡単にクレジットカードの不正利用被害に遭ってしまうでしょう。カード会員はいつどうやって番号盗用されたのかわからないことが多く、まったく身に覚えのない請求が来て初めて自身のクレジットカード情報が盗まれたことを知ることになります。

3Dセキュア2.0を導入すると、クレジットカード番号などのカード券面情報の入力後にリスクベース認証を実行します。今まさに決済をしようとしているアクセスデバイス情報や取引情報から、その決済の不正利用リスクをリアルタイムで判定する仕組みです。不正利用の可能性があると判定されれば、ワンタイムパスワードや生体認証による追加認証を求めます。窃取した券面情報を使ってカード名義人になりすまして決済をしようとしても、追加認証を突破できず本人認証が失敗となり、不正利用を回避することができます。また、明らかに不正リスクが高い場合には、決済拒否とし、決済を中止することができます。

旧バージョンである3Dセキュア1.0では、事前に設定した固定パスワードを使って追加の本人認証を行っていましたが、新バージョンである3Dセキュア2.0では、ワンタイムパスワードによる本人認証を推奨しています。ワンタイムパスワードは必要な時に発行し一定期間のみ使えるパスワードのためパスワード漏洩のリスクが少なく、より安全な認証方法です。3Dセキュア2.0を導入することで、よりセキュリティの高い本人認証を実現し、不正利用を未然に防ぐ効果が期待できます。

2022年10月に開催された「第3回 クレジットカード決済システムのセキュリティ対策強化検討会」にて、3Dセキュア導入効果として共有されたメルカリの事例を紹介します。メルカリは2013年よりフリマアプリを運営しており、2019年にはスマートフォン決済サービス「メルペイ」のサービスを開始しました。メルカリによると、2021年末頃からクレジットカードの不正利用被害が急増したといいます。毎月数億円規模の被害に悩まされており、不正利用対策として3Dセキュア2.0を導入しました。

3Dセキュア導入後、不正利用被害額は約1/10にまで激減したと発表しています。メルカリによると、不正利用犯はアプリのダウングレードや3Dセキュア2.0非対応の国際カードブランドを試すなど、「3Dセキュア2.0を逃れるような動き」が見られたといい、3Dセキュアの有効性が確認できたと明言しています。また決済を完了せずに離脱してしまうカゴ落ちについても、導入前後の離脱差分は2～3%前後と深刻な問題とならなかったと報告しています。

安全・安心なクレジットカード利用環境を整備するため、クレジットカード取引に関わる事業者が実施するべきセキュリティ対策を取りまとめた「クレジットカード・セキュリティガイドライン」の中で、EC加盟店や決済代行業者は以下の4方策からなる「リスクに応じた多面的・重層的な不正利用対策」の実施を求められています。

1．本人認証：3Dセキュアや認証アシストによりカード会員本人による取引であるかを確認する。
2．券面認証（セキュリティコード）：カード券面に印字されている「セキュリティコード」（数字 3～4 桁）を認証することにより利用されるカードが真正であるかを確認する。
3．属性・行動分析（不正検知システム）：デバイス情報や過去の取引情報をもとにリスクを評価し、不正取引をEC 加盟店側で判定する。
4．配送先情報：不正配送先の情報を蓄積し、商品の配送を事前に停止する。

「1．本人認証」の具体的手法として、政府はEC加盟店への3Dセキュア導入を強く推奨しています。不正利用の手口は巧妙化しており、どれかひとつの対策を行えば十分というものではありません。ガイドラインの中に記載されているように、リスクに応じて複数の対策を講じていくことが重要であり、有効な対策のひとつとして3Dセキュアの導入に期待が集まっています。

3Dセキュア2.0で採用されたリスクベース認証は、取引のリスク度合いを判定し追加の本人認証が必要かを決める仕組みです。EC加盟店からのリクエストを受け、カード発行会社が管理するアクセスコントロールサーバー（ACS）経由でリスクベース認証が行われます。リスクベース認証の流れを大別すると、フリクションレス・フローとチャレンジ・フローの2つがあります。

・フリクションレス・フロー：低リスク判定時、パスワード認証などの追加認証を挟まず、オーソリゼーションへ移行する。
・チャレンジ・フロー：中リスク判定時、チャレンジ認証を行う。パスワードによる追加認証後にオーソリゼーションへ移行する。

フリクションレス・フローの場合、カード会員はリスクベース認証が実行されたことを意識することなく、カード券面情報の入力のみで決済が完了します。3Dセキュア2.0ではフリクションレス・フローが取引の9割以上を占める見通しです。そのため、大半は追加の本人認証を行うことなく決済が完了するため、3Dセキュア1.0よりもカゴ落ち頻度が下がると期待されています。

3Dセキュア2.0はリスクベース認証のほかにも、利便性や安全性を高める仕組みが採用されています。ワンタイムパスワード認証や生体認証に対応した点や、モバイルアプリ内のカード決済やモバイルウォレットへのクレジットカード登録など非決済分野にも対応した点が挙げられます。

3Dセキュア2.0はワンタイムパスワードが利用できるようになりました。3Dセキュア1.0は事前に設定したID・パスワードで追加認証を行っていましたが、フィッシング詐欺によるパスワード漏洩やパスワード忘れが課題でした。

ワンタイムパスワードは1回限り短時間のみ有効なパスワードで、必要な時に携帯電話のSMSなどに通知される仕組みのため盗難による不正利用は困難です。また、記憶に依存しないためパスワード忘れの心配もありません。ワンタイムパスワードを利用することで、デバイス認証と組み合わせてセキュリティレベルを高めることができます。

3Dセキュア2.0は生体認証にも対応しています。例えば、カード発行会社が提供する本人認証用モバイルアプリで、顔認証や指紋認証による本人認証を行うことができます。

生体情報の偽装は非常に困難であるため、本人認証の安全性が大幅に高まります。生体認証による追加認証を採用することで、なりすましによる不正利用を高精度で防ぐだけでなく、記憶に依存せず入力の手間がかからない利便性の高い本人認証が可能となります。

3Dセキュア2.0はモバイルアプリに対応しています。これも3Dセキュア1.0にはなかった機能です。3Dセキュア2.0に対応したEC加盟店やモバイルアプリ事業者は、スマートフォン決済サービスやショッピングアプリを通じて、リスクベース認証を用いた安全な本人認証を活用できます。

非決済分野にも対応しており、モバイルウォレットへのクレジットカードの登録時にも利用可能です。3Dセキュア2.0は1.0からバージョンアップしたことで、スマートフォンユーザーにとって使いやすい本人認証サービスになったといえるでしょう。

3Dセキュア2.0はリスクベース認証により不正リスクを自動的に判定し、追加認証が必要となった場合にはワンタイムパスワードや生体認証を用いることで、高セキュリティな本人認証とユーザビリティを両立しています。なお、不正利用によるチャージバックが発生した際にカード発行会社が売上げ代金を補償するライアビリティシフトを利用するには、EC加盟店は3Dセキュア2.0の導入が必須となります。

3Dセキュアによる不正利用対策については、「チャージバック」と「ライアビリティシフト」の仕組みも覚えておきましょう。

チャージバックとは、カード会員が「第三者による不正利用」「商品の未発送」といった理由で利用代金の支払いに同意しない場合、カード発行会社が売上げを取り消し、カード会員に返金する仕組みです。3Dセキュアに対応しているEC加盟店でチャージバックが発生した場合、ライアビリティシフトによりカード発行会社が売上げの代金を補償します。

ただし、2022年10月に国際カードブランド各社は3Dセキュア1.0におけるライアビリティシフトを終了しています。EC加盟店は3Dセキュア2.0に対応していなければライアビリティシフトの対象外となるため、チャージバックの保証が受けられなくなっています。そのため、ライアビリティシフトを受けるためには、3Dセキュア2.0への移行が急務となっています。

クレジットカード決済は多くの人がオンラインショッピング時に利用していますが、非対面でのクレジットカード利用に不安を感じる人は珍しくありません。主な理由は、クレジットカード番号など決済に必要な機微情報の流出と、それに伴う不正利用被害です。

3Dセキュア2.0はクレジットカードの不正利用を防止するための本人認証サービスで、リスクベース認証により不正リスク度合いを判定しています。デバイス情報や取引情報など多種多様な情報を使ってリスクを判定するため、カード発行会社やEC加盟店は個人情報の取扱いについてカード会員にしっかりと説明するとともに、個人情報の取得や第三者提供について同意を得ることが必要です。

3Dセキュアを利用するには、国際カードブランド・カード発行会社（イシュア）・EC加盟店がすべて3Dセキュアに対応している必要があります。大手国際カードブランドはすでに対応済みのため、カード発行会社（イシュア）・EC加盟店が対応していくことが求められています。DNPは、カード発行会社（イシュア）向けに「3Dセキュア2.0　本人認証サービス」を提供しています。2020年のJCBへのサービス開始を皮切りに、大手カード発行会社や銀行など多くの企業に導入いただいております。

オンラインクレジットカード決済における番号盗用被害が急増している昨今、決済の安全性を高める本人認証の仕組みは重要性を増す一方です。政府は2025年を目途に、全EC加盟店に3Dセキュア2.0の導入を義務付ける方向で調整を進めています。

重要な役割を担うリスクベース認証は、カード発行会社が管理するアクセスコントロールサーバー（ACS）経由で実行されます。DNPはカード発行会社向けにこのアクセスコントロールサーバー（ACS）を提供しており、精度の高いリスクベース認証を行っています。不正リスクを抑えることはもちろん、なるべく不必要な追加認証ステップをなくし決済手続きを簡略化することは、多くのEC加盟店が求めることでしょう。

DNPが提供するカード発行会社（イシュア）向け「3Dセキュア2.0　本人認証サービス」は、高い不正検知の精度を誇り、リスクベース認証のルールやスコアの算出方法はご要望に応じて適宜調整が可能となっています。カゴ落ちリスクの軽減や不正利用の防止強化など、目的・目標に応じた柔軟な運用をサポートします。

各カード発行会社はそれぞれ個社レベルで不正検知の高精度化をめざしていますが、番号盗用被害の巧妙化・拡大が続く中、カード決済システム全体での不正検知能力の向上が必須です。政府も検討会の中で「クレジットカード決済網の当事者間で、不正利用に関する情報を共有化することが必要」と明言しています。

現状、カード不正利用情報を共有するノウハウを持つ企業はごく少数です。DNPは、他社に先駆けて複数カード発行会社間での不正情報共有を推進しています。不正利用の可能性のある機器情報を共有することで、同じ機器からの不正アクセスをいち早く検知し、不正取引が発生する前に取引拒否とすることで不正利用防止の効果を得るものです。巧妙化する不正手口に対抗するため、業界全体が一丸となって不正利用を防ぐ取組みを進めていく必要があり、DNPは自ら旗振り役となって参画企業を募り、不正検知強化をめざしています。

クレジットカード不正利用被害額は増加傾向で、その9割以上は番号盗用被害によるものです。ECサイトなど非対面取引における決済手段としてクレジットカードが利用される機会は増えています。クレジットカード不正利用に狙われやすい取引のほとんどが非対面取引といわれています。非対面取引を標的としたサイバー攻撃が巧妙化・拡大する中、オンラインクレジットカード決済の安全性を高める本人認証サービスの普及が望まれています。

本人認証を強化し不正利用被害を抑えるため、政府が国内すべてのEC加盟店への導入義務化を検討しているのが、「3Dセキュア2.0」です。

3Dセキュア2.0導入後に不正利用被害額を約1/10にまで減少できたメルカリの事例に見られるように、3Dセキュアは高い不正利用防止効果が期待できます。不正利用が発生した加盟店のみ3Dセキュアを導入していくという対応では、結局3Dセキュア未導入の別の加盟店に不正利用犯が移り、不正根絶に至らないという課題があります。諸外国ではすでに導入を義務化している国もあり、日本でも数年後には3Dセキュアによる本人認証が当たり前となっていることが予想されます。今のうちからどのようなサービスなのか理解を深め、必要な準備を進めておくことをお勧めします。

3Dセキュア2.0によるカード不正利用対策を実現するには、国際カードブランド・カード発行会社（イシュア）・EC加盟店のそれぞれが3Dセキュア2.0に対応する必要があります。

DNPが提供する「3Dセキュア2.0　本人認証サービス」は、カード発行会社（イシュア）向けのサービスです。アクセスコントロールサーバー（ACS）の提供のほか、カード会員管理をサポートしています。安心・安全なクレジットカード決済を実現するため、最新の犯罪手口や不正動向をウォッチし、3Dセキュアの導入支援だけでなく効果的な不正検知の仕組みがないか検討を進めております。3Dセキュア2.0の導入を検討している方や、より高度な不正検知の仕組みを探している方は、多数の導入実績があるDNPにご相談ください。

この製品・サービスへのお問合わせ(URL別ウィンドウで開く)