ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

クレカセキュリティ向上の3Dセキュア、なぜ導入が進まないのか? EMV 3-DSで普及の兆し

» 2023年04月13日 16時23分 公開
[斎藤健二ITmedia]

 ECの増加と共に、非対面でのクレジットカード利用も大きく伸びている。しかし同時に増加したのが不正利用だ。日本クレジットカード協会の集計によると、国内での不正利用は2022年に436億円にのぼり、前年から32.3%増加している。

 内訳を見ると、偽造カード被害はピークだった2002年の165億円から、22年は1.7億円まで急減している。これは改正割賦販売法によってICチップ付きカード対応が義務化された効果だろう。一方で、大きく増加したのが「番号盗用」被害だ。

クレジットカード不正利用被害額の推移(日本クレジットカード協会の集計からVisaが作成)

 その多くはECでの被害と見られる。もともと、カード番号と名前、有効期限が分かれば決済に利用できたクレジットカードだが、これだけではセキュリティが不十分なのは、EC時代には明らかだ。

パスワード入力を求める3-DS

 そこで進められてきたのが3-Dセキュア(3-DS)だ。カード番号などとは別に、ユーザーに固定のパスワードの入力を求めるもの。これによって、不正利用のリスクは大きく下がることが期待された。

 しかし、初期の3-DS1.0は「イシュア(カード発行会社)ではほぼ100%が導入しているが、EC利用ではまだ対応が半分に至っていない」と、ビザ・ワールドワイド・ジャパンのデータ・ソリューションズ ディレクター 田中俊一氏は話す。

 ECショップ側が3-DSに対応しない理由は何か。「一番の理由はカゴ落ちだ。10〜15%程度だといわれる。2割、3割という加盟店もいる」(田中氏)。カゴ落ちとは、ECのカートに商品を入れたものの、決済の段階で購入を止めてしまう行為だ。パスワードが登録されていない、分からない、打つのが面倒などの理由で、購入を止めてしまうユーザーが一定数いる。

 これが不正利用を防ぐ3-DSが普及しない原因となっているとみられる。

EMV 3-DS 経産省は2025年度末までに導入求める

 対して業界は、新しいEMV 3-DSの導入で問題に対応しようとしている。EMV 3-DSとは、固定パスワードではなくワンタイムパスワード(OTP)など動的なパスワードや、生体認証などを可能にしたものだ。

 さらに、リスクが高い場合にだけ認証を行う、リスクベース認証も盛り込んでいる。EMVとはVisaとMastercardが策定したICにチップ搭載クレジットカードの統一規格だ。

EMV 3-DSではリスクベース認証、OTP/生体認証などへの対応が容易になる

 これまでの3-DSでもOTPや生体認証、リスクベース認証を実装するケースはあったが、仕様上想定されていなかったため、加盟店とイシュアとの間でやりとりするデータの量が増えたり、スマホアプリの実装の難度も高いなどの課題があった。

 EMV 3-DSへの対応で、高セキュア+ユーザーに使いやすい認証が可能になる。EMV 3-DSを使った認証のイメージはこうだ。カード番号を打ち込み、決済ボタンを押すと、リスクの高い取引の場合だけ、スマホアプリにプッシュ通知が飛んでくる。プッシュ通知を受けたユーザーがスマホの生体認証を行うと、本人であることが確認され、承認されるというものだ。

3-DSを使い生体認証で承認するRevolutの例

 ユーザーの本人確認が簡単になれば、カゴ落ちも減る。田中氏は「EMV 3-DSでは5%以下を必ず達成したい」と話す。

 効果の大きいEMV 3-DSは、経産省が25年3月末までに導入を求めている。各EC加盟店は10月から3-DS 1.0から順次切り替える見込みだ。

Copyright © ITmedia, Inc. All Rights Reserved.