LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

テクニカルレポート | 

脅威が増し続けるクレジットカード不正利用、経産省もセキュリティガイドラインを改訂

金融犯罪対策センター(Financial Crime Control Center:以下、FC3)の新林です。

クレジットカードの不正利用による被害規模が拡大し続けていることはご存じでしょうか。今年3月に公開された日本クレジット協会による統計を見ると、前年よりもさらに被害が大きく増加しており、今年も継続して大きな脅威となることが予想されます。

本記事では、クレジットカード不正取引に関わる被害や関連動向の情報と、FC3が考える対策のポイントをお伝えします。

広がりつづけるクレジットカード不正利用の被害

2023年3月31日、一般社団法人 日本クレジット協会より、2022年の1年間を通じたクレジットカード不正利用被害の統計が発表されました。これによると、2022年に発生したクレジットカード不正利用の被害は実に436億円にのぼっており、過去最大の被害金額を記録しています。前年と比較しても30%以上増加しており、年々被害が拡大している状況です。

クレジットカード不正利用被害の推移 番号盗用による被害が90%超(411億円)を占める
これまでのクレジットカード不正利用における被害状況(2014年~2022年)
一般社団法人 日本クレジット協会の統計資料に基づき当社にて作成
出典:一般社団法人日本クレジット協会 四半期調査クレジットカード不正利用被害額調査

不正利用の主な手口として、近年では"番号盗用"によるものがほとんどを占めており、2000年代の前半まで多くみられていた"偽造カード"による不正利用の割合はわずかなものとなっています。番号盗用の手口とは、利用者のクレジットカードの情報(14~16桁の会員識別番号や利用者名義など)が犯罪者に知られてしまい、クレジットカード情報により決済を行える場所で勝手に利用されてしまうものです。

例えばEコマースなど非対面の取引において、インターネット上でクレジットカード情報を入力して買い物を行える仕組みがあります。これは非常に便利な反面、決済に必要なクレジットカード情報を犯罪者に盗まれてしまった場合、本来のカード利用者になりすまして勝手に利用され、被害が生じる恐れがあります。

Eコマースなどオンライン決済の利用シーンが拡大を続けており、それに伴ってこの仕組みを悪用した不正利用による被害の規模も大きく広がっていると考えられます。

2023年も大きな脅威、セキュリティ専門家らも警鐘を鳴らす

日本クレジット協会の統計結果の発表に先立ち、2023年3月29日には独立行政法人 情報処理推進機構(IPA)から、「セキュリティ10大脅威 2023」が発表されました。これを見ると、複数の個人向け脅威がサイバー金融犯罪と密接に関連するもので、クレジットカード情報の不正利用に関しては前年と同じ第4位に挙げられており、今年も継続して大きな脅威の1つとされています。

情報セキュリティ10大脅威 2023
出典:情報セキュリティ10大脅威 2023 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

クレジットカード情報を窃取する手口は大きく2つに分類でき、カード利用者から情報を盗む手口と、情報を保有する企業から盗むものがあります。

利用者から情報を盗む手口としては、フィッシング詐欺や、被害者が使用する端末へのマルウェア感染によって入力情報や保存情報を盗む等が挙げられます。情報を保有する企業から盗む手口は、システムの脆弱性をついて不正アクセスし、保存されているクレジットカード情報を盗む等があります。

これらの他にも、Eコマースサイトを通じてクレジットカード情報の有効性を確認する"クレジットマスター"と呼ばれる手口も多く確認されている他、Eコマースサイトを改ざんして、利用者が入力したクレジットカード情報を窃取する"Webスキミング攻撃"と呼ばれる手口が確認されています。

なお、このような様々な手口によって盗まれた情報は、犯罪者のコミュニティ(ダークウェブ等)で売買されていると言われているので、過去に他サービスから流出した情報を用いて、別のサービスで不正利用するケースも考えられます。

また、トップ10に挙げられている他の脅威によって、クレジットカード不正利用に繋がるケースも考えられます。例えば、個人向け第8位の脅威「インターネット上のサービスへの不正ログイン」において、不正ログインされたアカウントに、既にクレジットカード情報が登録されているという場合です。特に高価な商品や、犯罪者が換金しやすい商品を扱うEコマースサイトでは、悪用される可能性が高いと言えるでしょう。

犯罪者はカード利用者からフィッシングなどで情報を詐取したり、事業者のシステムに不正アクセスして情報を窃取したりして、ECサイトの決済や決済アプリから店舗の決済を不正使用
不正利用の手口例

経産省がクレジットカードのセキュリティに関する新たなガイドラインを策定

この状況に対して、クレジットカードやEコマースの分野を管轄している経済産業省は、2022年8月に有識者たちによる検討会議を立ち上げました。この検討会議では、不正利用を含めたカード決済の領域におけるセキュリティ対策全般について、犯罪者たちの脅威からカードの利用者を守るための方策を様々な観点から検討してきました。その検討結果を受けてまとめられたものが、2023年3月15日に「クレジットカード・セキュリティガイドライン 第4.0版」として公開されました。

クレジットカード・セキュリティガイドライン【4.0版】が改訂されました (METI/経済産業省)

このガイドラインの中で、Eコマースなどの非対面の取引において不正利用を防止する際の重要なポイントとして、EMV 3-Dセキュア(3-Dセキュア2.0)の活用や、本人認証の強化・高度化、不正取引のモニタリング・検知といった項目が挙げられています。

特にEMV 3-Dセキュアは、2016年に仕様が策定されて以降、主要なカードブランドとカード発行元の各社が導入を推進しており、今回のガイドラインにおいても大きく取り扱われました。また従来方式の3-Dセキュア(3-Dセキュア1.0)は2022年10月にサポートが終了しており、カード会社の提供する3-Dセキュアの提供システムも、従来のものから順次新たなEMV 3-Dセキュアに対応したものへ置き換えられています。ガイドラインでは、2025年3月末までに全てのEコマースサービス事業者がEMV 3-Dセキュアに対応することを目標として設定していますが、1日も早い対応完了が待たれます。

また、2023年3月16日にIPAから「ECサイト構築・運用セキュリティガイドライン」が公開されました。このガイドラインの中でも、上述のクレジットカード・セキュリティガイドラインを遵守することが、Eコマースのサイト構築時の必須要件の1つとして明記されています。

ECサイト構築・運用セキュリティガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

今後の対応にラックができること

今後、クレジットカード発行会社やEコマース事業者は、上述したガイドラインの充足を目指したEMV 3-Dセキュア導入などの対応や、対策のさらなる強化を進めていくでしょう。これらの対応のなかで、「具体的にどう対応すべきか」、「対応したものの十分な対策を取れているかどうか判断がつかない」などの様々な悩みや不安を抱える事業者も出てくることが予想されます。

FC3では、「サービス利用者の保護」にフォーカスして、金融サービス・決済サービスの提供事業者様向けにサポートを提供しています。オンライン決済サービスの不正利用対策としては、大きく以下のような項目が見直し・強化の重要なポイントと考えます。

対策のポイント 概説
認証セキュリティの強化
  • 多要素認証やワンタイムパスワードなど、セキュリティ強度の高い方式を採用することで、犯罪者による「なりすまし」を未然に防ぐことが有効
  • セキュリティ強化に偏り過ぎると、利用者にとって"手間"だけが増えることになりかねないため、利便性と安全性の両立には留意が必要
取引モニタリング体制の構築
  • 万が一、認証セキュリティを突破されてしまった場合は、決済・取引の内容から不審・不正なものを特定する必要がある
  • 日々大量に発生する取引の中から不正取引を見つけ出すために、高精度な専用ソリューションを活用することで被害防止・抑止や運用負荷の軽減に繋がる
フィッシング詐欺対策
  • 犯罪者が認証情報やカード情報を盗み出す手段として多用するのがフィッシング詐欺であり、数多くのフィッシング詐欺サイトが次々と立ち上げられている
  • 自社の偽サイトが立ち上げられ、これが起点となって他のEコマースサイトでカード利用者に被害が出る恐れもある
アカウント作成プロセスの見直し
  • 犯罪者は偽造した身分でアカウントを作成したり、売却・譲渡により他人のアカウントを不正に取得したりするなど、不正アカウントを犯罪に用いる場合がある
  • 不正利用を抑止する観点から、不正なアカウントを作成できないようプロセスにしておくことも重要
オンライン決済サービスにおける不正利用の対策ポイント

犯罪者たちは次々と新しい手法を編み出しており、その手口は常に巧妙化・複雑化を続けています。従って、セキュリティ対策は一度講じれば終わるものではなく、定期的に見直して改善を図っていく必要があります。今この瞬間は被害が生じていなくとも、いったん犯罪者に狙われると突然大きな被害が広がる場合もあるため、事前に手を打っておく必要があることは言うまでもありません。また、EMV 3-Dセキュアの導入が進むに伴って、不正利用による被害が減少していくことが期待されますが、上述の通り犯罪者たちは次々と新しい手口を編み出してくるため、遠からずEMV 3-Dセキュアが突破されてしまい、新たな被害が発生する日が来ないとも限りません。

クレジットカードの仕組み上、犯罪者の不正利用によって正規の利用者に金銭的な被害が生じた際、加盟店が補償しなければならない場合もあります。Eコマースサービスを提供する加盟店の立場としても、EMV 3-Dセキュアの導入が終わったことで安心するのではなく、いつ起きるともしれない被害を防ぐための取り組みを継続していく必要があるのです。

FC3では、このような対策にお困り・お悩みの、金融サービスや決済サービスを提供されている事業者の皆様に向けた活動を行っております。ご興味がありましたら、ぜひ以下リンクから活動・サービスの詳細をご覧ください。ご相談もお待ちしております。

より詳しく知るにはこちら

より詳しく知るにはこちら

FC3は、デジタル金融犯罪の被害にお悩みの金融サービス・決済サービス事業者に対して、対抗するための様々なサポートを提供することを通じ、利用者が安心して利用できるサービス環境の実現を支援してまいります。

「サイバー金融犯罪対策」に関するお問い合わせ

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • 最近のフィッシングURLの生成手口を分析!よくある攻撃パターンとは?

  • スマートフォン決済アプリサービスで予想される金融犯罪リスクと対策

  • 迫るデジタル給与払い制度の解禁、キャッシュレス決済サービスのサイバー金融犯罪リスクとは