-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
金融犯罪対策センター(Financial Crime Control Center:以下、FC3)の新林です。
クレジットカードの不正利用による被害規模が拡大し続けていることはご存じでしょうか。今年3月に公開された日本クレジット協会による統計を見ると、前年よりもさらに被害が大きく増加しており、今年も継続して大きな脅威となることが予想されます。
本記事では、クレジットカード不正取引に関わる被害や関連動向の情報と、FC3が考える対策のポイントをお伝えします。
広がりつづけるクレジットカード不正利用の被害
2023年3月31日、一般社団法人 日本クレジット協会より、2022年の1年間を通じたクレジットカード不正利用被害の統計が発表されました。これによると、2022年に発生したクレジットカード不正利用の被害は実に436億円にのぼっており、過去最大の被害金額を記録しています。前年と比較しても30%以上増加しており、年々被害が拡大している状況です。
一般社団法人 日本クレジット協会の統計資料に基づき当社にて作成
出典:一般社団法人日本クレジット協会 四半期調査クレジットカード不正利用被害額調査
不正利用の主な手口として、近年では"番号盗用"によるものがほとんどを占めており、2000年代の前半まで多くみられていた"偽造カード"による不正利用の割合はわずかなものとなっています。番号盗用の手口とは、利用者のクレジットカードの情報(14~16桁の会員識別番号や利用者名義など)が犯罪者に知られてしまい、クレジットカード情報により決済を行える場所で勝手に利用されてしまうものです。
例えばEコマースなど非対面の取引において、インターネット上でクレジットカード情報を入力して買い物を行える仕組みがあります。これは非常に便利な反面、決済に必要なクレジットカード情報を犯罪者に盗まれてしまった場合、本来のカード利用者になりすまして勝手に利用され、被害が生じる恐れがあります。
Eコマースなどオンライン決済の利用シーンが拡大を続けており、それに伴ってこの仕組みを悪用した不正利用による被害の規模も大きく広がっていると考えられます。
2023年も大きな脅威、セキュリティ専門家らも警鐘を鳴らす
日本クレジット協会の統計結果の発表に先立ち、2023年3月29日には独立行政法人 情報処理推進機構(IPA)から、「セキュリティ10大脅威 2023」が発表されました。これを見ると、複数の個人向け脅威がサイバー金融犯罪と密接に関連するもので、クレジットカード情報の不正利用に関しては前年と同じ第4位に挙げられており、今年も継続して大きな脅威の1つとされています。
クレジットカード情報を窃取する手口は大きく2つに分類でき、カード利用者から情報を盗む手口と、情報を保有する企業から盗むものがあります。
利用者から情報を盗む手口としては、フィッシング詐欺や、被害者が使用する端末へのマルウェア感染によって入力情報や保存情報を盗む等が挙げられます。情報を保有する企業から盗む手口は、システムの脆弱性をついて不正アクセスし、保存されているクレジットカード情報を盗む等があります。
これらの他にも、Eコマースサイトを通じてクレジットカード情報の有効性を確認する"クレジットマスター"と呼ばれる手口も多く確認されている他、Eコマースサイトを改ざんして、利用者が入力したクレジットカード情報を窃取する"Webスキミング攻撃"と呼ばれる手口が確認されています。
なお、このような様々な手口によって盗まれた情報は、犯罪者のコミュニティ(ダークウェブ等)で売買されていると言われているので、過去に他サービスから流出した情報を用いて、別のサービスで不正利用するケースも考えられます。
また、トップ10に挙げられている他の脅威によって、クレジットカード不正利用に繋がるケースも考えられます。例えば、個人向け第8位の脅威「インターネット上のサービスへの不正ログイン」において、不正ログインされたアカウントに、既にクレジットカード情報が登録されているという場合です。特に高価な商品や、犯罪者が換金しやすい商品を扱うEコマースサイトでは、悪用される可能性が高いと言えるでしょう。
経産省がクレジットカードのセキュリティに関する新たなガイドラインを策定
この状況に対して、クレジットカードやEコマースの分野を管轄している経済産業省は、2022年8月に有識者たちによる検討会議を立ち上げました。この検討会議では、不正利用を含めたカード決済の領域におけるセキュリティ対策全般について、犯罪者たちの脅威からカードの利用者を守るための方策を様々な観点から検討してきました。その検討結果を受けてまとめられたものが、2023年3月15日に「クレジットカード・セキュリティガイドライン 第4.0版」として公開されました。
※ クレジットカード・セキュリティガイドライン【4.0版】が改訂されました (METI/経済産業省)
このガイドラインの中で、Eコマースなどの非対面の取引において不正利用を防止する際の重要なポイントとして、EMV 3-Dセキュア(3-Dセキュア2.0)の活用や、本人認証の強化・高度化、不正取引のモニタリング・検知といった項目が挙げられています。
特にEMV 3-Dセキュアは、2016年に仕様が策定されて以降、主要なカードブランドとカード発行元の各社が導入を推進しており、今回のガイドラインにおいても大きく取り扱われました。また従来方式の3-Dセキュア(3-Dセキュア1.0)は2022年10月にサポートが終了しており、カード会社の提供する3-Dセキュアの提供システムも、従来のものから順次新たなEMV 3-Dセキュアに対応したものへ置き換えられています。ガイドラインでは、2025年3月末までに全てのEコマースサービス事業者がEMV 3-Dセキュアに対応することを目標として設定していますが、1日も早い対応完了が待たれます。
また、2023年3月16日にIPAから「ECサイト構築・運用セキュリティガイドライン」が公開されました。このガイドラインの中でも、上述のクレジットカード・セキュリティガイドラインを遵守することが、Eコマースのサイト構築時の必須要件の1つとして明記されています。
※ ECサイト構築・運用セキュリティガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
今後の対応にラックができること
今後、クレジットカード発行会社やEコマース事業者は、上述したガイドラインの充足を目指したEMV 3-Dセキュア導入などの対応や、対策のさらなる強化を進めていくでしょう。これらの対応のなかで、「具体的にどう対応すべきか」、「対応したものの十分な対策を取れているかどうか判断がつかない」などの様々な悩みや不安を抱える事業者も出てくることが予想されます。
FC3では、「サービス利用者の保護」にフォーカスして、金融サービス・決済サービスの提供事業者様向けにサポートを提供しています。オンライン決済サービスの不正利用対策としては、大きく以下のような項目が見直し・強化の重要なポイントと考えます。
| 対策のポイント | 概説 |
|---|---|
| 認証セキュリティの強化 |
|
| 取引モニタリング体制の構築 |
|
| フィッシング詐欺対策 |
|
| アカウント作成プロセスの見直し |
|
犯罪者たちは次々と新しい手法を編み出しており、その手口は常に巧妙化・複雑化を続けています。従って、セキュリティ対策は一度講じれば終わるものではなく、定期的に見直して改善を図っていく必要があります。今この瞬間は被害が生じていなくとも、いったん犯罪者に狙われると突然大きな被害が広がる場合もあるため、事前に手を打っておく必要があることは言うまでもありません。また、EMV 3-Dセキュアの導入が進むに伴って、不正利用による被害が減少していくことが期待されますが、上述の通り犯罪者たちは次々と新しい手口を編み出してくるため、遠からずEMV 3-Dセキュアが突破されてしまい、新たな被害が発生する日が来ないとも限りません。
クレジットカードの仕組み上、犯罪者の不正利用によって正規の利用者に金銭的な被害が生じた際、加盟店が補償しなければならない場合もあります。Eコマースサービスを提供する加盟店の立場としても、EMV 3-Dセキュアの導入が終わったことで安心するのではなく、いつ起きるともしれない被害を防ぐための取り組みを継続していく必要があるのです。
FC3では、このような対策にお困り・お悩みの、金融サービスや決済サービスを提供されている事業者の皆様に向けた活動を行っております。ご興味がありましたら、ぜひ以下リンクから活動・サービスの詳細をご覧ください。ご相談もお待ちしております。
より詳しく知るにはこちら
FC3は、デジタル金融犯罪の被害にお悩みの金融サービス・決済サービス事業者に対して、対抗するための様々なサポートを提供することを通じ、利用者が安心して利用できるサービス環境の実現を支援してまいります。
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR