海外のカード不正利用の実態とその対策の動向(3)

2015年5月8日7:11

海外のカード不正利用の実態とその対策の動向(3)
オーストラリア、アジア、CNPのカード不正動向

海外のカード不正利用の実態とその対策の動向(1)
海外のカード不正利用の実態とその対策の動向(2)

オーストラリア

オーストラリアのインターバンクの決済機関であるAPCA(Australian Payments Clearing Association)は、小切手不正やクレジットカード、デビットカードのカード不正の発生状況を毎年取りまとめレポートしている。

(図表17)は、オーストラリアにおける2008年から2013年までの6年間のカード不正のタイプ別の推移を示したものである。オーストラリアのカード不正による損失額は、2008年度のA$16,130万(約161億円)から2013年度のA$30,380万(約303億円)へと5年間で88%増加している。オーストラリアにおけるカード不正のここ6年間の特徴は、それまで増加傾向にあったカード偽造やスキミングによる不正が、EMV ICカード化により2011年度をピークにその後減少傾向にあることと、CNPのカード不正が2008年度A$7,280万(72億ドル)から2013年度A$21,970万(約219億ドル)へ急増していることである。カード偽造やスキミングのカード不正全体に対する割合は、2008年度の35%から2013年度の12%と23ポイントも大きく減少させている。一方、CNP(Card Not Present)のカード不正の割合が、2008年度の45%から2013年度の72%へと27ポイントも増加している。

(図表17) オーストラリアのカード不正のタイプ別の推移(2008年~2013年)(万A$)
2008年度 2009年度 2010年度 2011年度 2012年度 2013年度
CNP 7,280 9,060 13,120 19,810 18,310 21,970
45% 52% 64% 68% 70% 72%
偽造・スキミング 5,590 5,620 5,000 6,600 3,720 3,720
35% 32% 24% 23% 14% 12%
紛失・盗難 2,000 1,660 1,670 2,020 2,700 3,400
12% 10% 8% 7% 10% 11%
カード未着 560 430 340 410 850 940
3% 2% 2% 1% 3% 3%
不正申込 180 180 110 110 350 150
1% 1% 1% 1% 1% 1%
その他 530 430 220 340 180 190
3% 2% 1% 1% 1% 1%
合計 16,130 17,370 20,450 29,280 26,110 30,380
出典 : APCA(Australian Payments Clearing Association)

(図表18)は、オーストラリアのカード不正の金額比・件数比、ならびに一件当たりの不正カードタイプ別での平均単価の2008年度から2013年度までの6年間の推移を示したものである。カード不正発生率の金額比は、2011年度の0.0515%をピークに2008年度の0.0327%から2013年度の0.0487%と、50%増加している。カード不正発生率の件数比も、2008年度の0.011%から2013年度の0.025%と、2倍以上に増加している。カード不正売り上げの一件当たりの単価は、2008年度の358ドル(約3万5,800円)から2013年度の197ドル(約1万9,700円)へと5年間で45%も下がっている。

(図表18)
オーストラリアのカード不正の金額比・件数比・平均単価の推移(2008年~2013年)
カード不正金額比 カード不正件数比 平均不正金額
2008年度 0.033% 0.011% 358ドル
2009年度 0.034% 0.015% 260ドル
2010年度 0.038% 0.018% 247ドル
2011年度 0.052% 0.022% 254ドル
2012年度 0.044% 0.022% 210ドル
2013年度 0.049% 0.025% 197ドル
出典 :
APCA(Australian Payments Clearing Association)

台湾

台湾にはVisaやMasterCard、American Express、JCB、中国銀聯、台湾のナショナルブランドの“Uカード”といったサードパーティのクレジットカードのネットワークを統括するNCCC(National Credit Card Center、設立1979年)とクレジットカードやATM・デビットカードのネットワークを統括する銀行間ネットワークシステムを運営するFISC(Financial Information Service Co.、設立1984年)の2つの機関がある。

(図表19)は、2006年度から2013年度までのNCCCのメンバー銀行より集計した国際ブランドのVisaやMasterCard、JCBのほか、台湾のナショナルブランドのUカードといったバンクカードの不正タイプ別のカード不正状況の推移である。カード不正による損失は、EMV ICカードの導入などにより、カード偽造やカードの紛失、盗難などによる不正の減少で、2006年度の2億8,047万台湾ドル(約10億3,800円)から2010年度の1億3,930万台湾ドル(5億1,500万円)へと4年間続けて低減していた。しかし、2011年よりCNP(Card Not Present)のカード不正が急増したため、カード不正全体が増加に転じ、2012年度には3億5,293万台湾ドル(約13億円)へと急激に増加している。

(図表19)NCCCメンバー銀行の不正タイプ別のカード不正状況(2006年~2013年)
(VISA,マスター、JCB、U-カード)(千NT$)
カード不正タイプ 2006年度損害額 2007年度損害額 2009年度損害額 2010年度損害額
カードの紛失 64,476 23% 36,718 21% 19,565 14% 13,647 10%
カードの盗難 42,784 15% 25,730 15% 19,557 14% 13,688 10%
カードの未着 5,635 2% 3,650 2% 1,048 <1% 758 <1%
カードの不正申し込み 7,229 3% 2,682 2% 2,287 2% 2,168 1%
カードの偽造 80,822 29% 45,426 26% 35,635 25% 27,904 20%
CNP 46,898 17% 40,224 23% 54,768 39% 73,334 53%
二重売り上げ 1,181 0% 1,398 1% 1,041 <1% 855 <1%
その他 31,495 11% 20,361 11% 7,173 5% 6,948 5%
合 計 280,470 100% 176,190 100% 141,076 100% 139,305 100%
出典 : NCCC“Annual Report”2006年版、2007年版、2010年版、2011年版、2012年版、2013年版より作成

 

(図表19)NCCCメンバー銀行の不正タイプ別のカード不正状況(2006年~2013年)
(VISA,マスター、JCB、U-カード)(千NT$)
カード不正タイプ 2011年度損害額 2012年度損害額 2013年度損害額
カードの紛失 13,511 8% 16,754 4% 22,073 7%
カードの盗難 13,685 8% 15,657 4% 10,239 3%
カードの未着 1,302 <1% 1,014 <1% 1,158 <1%
カードの不正申し込み 2,059 1% 1,464 <1% 2,092 <1%
カードの偽造 19,629 12% 17,622 5% 16,422 5%
CNP 106,608 63% 295,708 84% 268,944 82%
二重売り上げ 432 <1%  ―  ―
その他 11,816 7% 5,225 1% 6,995 2%
合 計 169,047 100% 352,929 100% 328,320 100%
出典 : NCCC“Annual Report”2006年版、2007年版、2010年版、2011年版、2012年版、2013年版より作成

台湾におけるカード偽造による損害は、2006年度においては8,082万台湾ドル(2億7,479万円)で、不正全体の29%をも占めていが、カード偽造の不正金額は毎年減少し、2013年度には2006年度のわずか2割ほどの1,642万台湾ドル(約6,100万円)までに減少し、不正全体に占める割合も5%と2006年度比で24ポイントも下げている。

これに対して、CNP(Card Not Present)のカード不正は2006年度の4,690万台湾ドル(約1億7,000万円)から2012年度には2006年度の6.3倍となる2億9,571万台湾ドル(約11億円)にまで拡大している。CNPの不正損失額の不正全体に占める割合も2006年度の17%から2012年度には84%にまで拡大し、2006年度比で67ポイントも増大させている。台湾のカード不正の大半がCNPの不正が占めている状況に至っている。なお、2013年度は、CNPのカード不正は2012年度比で9.0%低減し、カード不正の損失額も2012年度比で8.7%減少している。

マレーシア

マレーシアでは中央銀行のBank Negara Malaysiaの決済システムの年度報告書である『Financial Stability and Payment Systems Report, 2013』で、マレーシアのペイメントカード不正の状況が報告されている。2013年度のクレジットカードの不正の損失額はRM2,940万(約11億7,600万円)で2011年以降ほぼ横ばいで推移し、2013年度の損失割合は決済金額比0.03%である。(図表20)は、2013年度におけるカード不正タイプ別の割合で、インターネットの61.9%と通信販売の5.2%と合わせてCNP(Card Not Present)のカード不正による損失は67.1%にも及んでいる。

(図表20)
マレーシアのカード不正類型(2013年度)
カード不正のタイプ 割合
インターネット 61.9%
通信販売 5.2%
カードの紛失・盗難 21.6%
カード偽造 7.0%
その他 4.3%
出典 : 『Financial Stability and Payment Systems Report, 2013』Bank Negara Malaysia

CNP(Card Not Present)のカード不正対策

eコマースにおけるオンライン決済を中心としたCNP(Card Not Present)のカード不正が、アメリカやカナダ、イギリス、フランス、オーストラリア、台湾、マレーシアなどで近年急増していることはこれまで触れてきたとおりである。オンライン決済を中心としたCNP(Card Not Present)のカード不正はこうした国々のみならず、世界的傾向で、国際的なペイメントカードの統括機関であるVisaやMasterCardをはじめとして、アメリカやイギリス、フランスなどではVisaの「Verified by VISA」やMasterCardの「MasterCard Secure Code」、American Expressの「Safe Key」、JCBの「J/Secure」といった3-Dセキュア、Visaなどの「CVV(Card Verification Value)」、MasterCardの「CVC(Card Verification Code)」といったのカード認証コード、住所確認サービスの「Address Verification Service(AVS)」などのCNP(Card Not Present)のオンライン決済におけるカード不正対策が行われている。

このほかに、CyberSourceの「DM(Decision Manager)」やAuthorize.Netの「AFDS(Advanced Fraud Detection Suite)」などのカード不正検出ツールソフトの導入や、ICカードを用いた二要素認証のワンタイムパスワードとICカードリーダによるICカードでのオンライン決済など、いろいろな取り組みが行われている。
VisaのCNPのカード不正対策

また、アメリカにはCasco Mediaグループ(創業:2010年)が運営するCNPカード不正対策のポータルサイト“CNP Card Not Present.COM”がある。同社は “CNP EXPO”というCNP(Card Not Present)のカード不正対策に関する専門家を対象にしたカンファレンスと関連事業者のブースが出展したエキシビションを毎年開催している。“CNP EXPO”では、CNPカード不正対策に関する優れたプログラムなどを表彰する“CNP Award”の表彰も行われている。

(図表21)は、Visaの“インターネット”や“テレフォンオーダー”、“メールオーダー”といったCNPの「カード不正の予防ツール」と「カード不正検出サービス」を表したものである。インターネットのオンライン決済では、「イシュアドメイン」と「アクワイアラドメイン」、「相互運用ドメイン」の3つのドメインを指す3-Dセキュアの「Verified by VISA(VbV)」のほか、カード認証コードの「Card Verification Value 2(CVV2)」や住所確認サービスの「Address Verification Service (AVS)」、データセキュリティの「PCI DSS(Payment Card Industry Data Security Standard)」を用いた「Account Information Security(AIS)プログラム」といった予防ツールを提供している。なお、住所確認サービスの「AVS」は現在アメリカ、カナダ、イギリスのみで提供されている。テレフォンオーダーは、「Verified by VISA(VbV)」を除く、「CVV」、「AVS」の2つの予防ツールが提供されているほか、メールオーダーの場合「AVS」のみとなっているが、一部の通販事業者のオーダーフォームには「CVV」に対応したものもある。また、CNP(Card Not Present)の不正対策として、サードパーティのCyberSourceの「DM(Decision Manager)」や「Managed Risk Service」、Authorize.Netの「AFDS(Advanced Fraud Detection Suite)」などの不正検出ツールソフトを例示している。

(図表21)
VISAのCNPにおけるカード不正の予防ツールとサードパーティのカード不正検出サービス
VbV CVV AVS PCIDSS DM AFDS
インターネット
テレフォンオーダー
メールオーダー
出典 : VISA

CyberSourceの不正検出ツールソフト

CyberSourceの「Decision Manager」は、「グローバル認証サービス」や「ビジネスルールマネジメント」、「ケースマネジメント」、「レポーティング機能」など不正対策の自動化や効率化に必要な機能の提供が可能である。また、VisaとCyberSourceによる600億ものトランザクションのビッグデータの解析や260以上のグローバルな認証テストを実施し、①購入パターンのモニタリング、②IPアドレスの地理的位置の解析、③ポジティブリスト・ネガティブリスト、④VISA認証サービスやMasterCard Secure Code、J/Secureなどの本人認証サービス、⑤CVV2やCVCなどのセキュリティコード、自社データ用のカスタムフィールド、⑥グローバルな電話番号検証サービス、⑦グローバルな配送住所検証サービス、⑧事業形態や商品に合わせた複数のスクリーニングプロファイルの作成といった“ビジネスユーザ・ルール管理インターフェース”、⑨高度なプロセス分析やレポーティングなどの“ケースマネージメントシステム”、⑩結果検証に可能なレポーティング――など多彩なカード不正対策ツールがラインアップされている。

CNP不正対策としての二要素認証のワンタイムパスワード

CNPにおける次世代のカード不正対策として注目されているセキュリティツールが、すでに多くのインターネットバンキングで導入されている二要素認証のワンタイムパスワード(One-Time Password(OTP)、使い捨てパスワード)である。

二要素認証とは、異なる要素を持つ有効な認証方法を2つ以上組み合わせた強力な認証方法である。認証方法の要素には、PIN(暗証番号)やパスワードなど『自分だけが知っている』(Know)、IDカードなどの『自分だけが持っている』(Has)、一部のATMで導入されている指紋や静脈など照合といったバイオメトリクスなどの『自分自身』(is)の3つがある。2つ以上の要素を組み合わせることが重要で、「4桁のPINと8桁のパスワードの照合」や「デビットカードとクレジットカードの二重照合」、「指紋や静脈の照合」といったように同じ認証の要素を繰り返し用いても強力な認証方法となり得えず、二要素認証とは言えない。EMV ICカードとハンドヘルドスマートカードリーダーとの組み合わせによるワンタイムパスワードによる認証は、パスワード生成過程において自己のICカード(Has)のPIN(Know)を入力する二要素認証である。

二要素認証のワンタイムパスワードには“時刻同期型”や“チャレンジ型”、“トランザクション認証型”、SMS(Short Message Service)型などいくつかのタイプがある。チャレンジ型は、時刻同期型にプラスしてトークンなどにEMV ICカードのPIN(暗証番号)を入力することにより強固な認証を行うもので、EMV ICカードのクレジットカードを用いたワンタイムパスワードに用いられている。

MasterCardチップ認証プログラム(CAP)

MasterCardでは、EMV ICカードを用いたワンタイムパスワードによる二要素認証による認証手続きとなる「チップ認証プログラム」(CAP)を“One Smart Authentication”(1つのスマート認証)として2003年来継続して開発している。MasterCardのCAPによる認証は、EMVスタンダードのペイメントカードを用い、専用のICカードリーダを介して、ログイン認証やトランザクション認証に用いることができるワンタイムパスワードで、生成されたワンタイムパスワードは“CAPトークン”と呼ばれ、CAPトークンを検証するバックエンド認証サーバはCTVS(CAPトークン検証サービス)と呼ばれている。

EMV ICカードをハンドヘルドICカードリーダに挿入し、ICカードリーダのテンキーでカードのPIN(暗証番号)を入力するとワンタイムパスワードを生成し、このワンタイムパスワードを用いてCNP環境で安全なオンラインショッピングを行うもので、ワンタイムパスワードは、ウェブマーチャントのチェックアウトページ上の適切なフィールドに入力されると、“MasterCard Secure Code”のデータトランスポートインフラストラクチャを使用して認証するためにイシュアに送信される。

ディスプレイICカードによる二要素認証

EMVスタンダードのICカードを用いた二要素認証による認証方法として、MasterCardのチップ認証プログラム(CAP)のようなハンドヘルドICカードリーダを用いず、コンタクトICカードに液晶の小さなディスプレイ表示画面と操作ボタンを有する“ディスプレイICカード”がスイスとアメリカにオフィスを置くnagraID SecurityやICカードメーカ大手のGemalto社、旧Aladdin社を買収したSafeNet社などによって開発されている。

“ディスプレイICカード”を用いた二要素認証による認証方法は、トークン型のワンタイムパスワード生成機と同じ時刻同期による認証機能で、ペイメントカードのオンライン決済のほか、オンラインバンキングアクセスやテレフォンバンキングアクセスなども可能で、航空会社のFFP(フリークエント・フライヤーズ・プログラム)や法人カードのVPN(Virtual Private Network)のように第三者へのアクセス利用も可能としている。

*海外のCNP(Card Not Present)などの詳しいカード不正対策については、TIプランニングより2014年1月に刊行された『世界のオンライン決済・不正利用対策市場要覧』(定価9万円(税抜))を参照されたい。

■世界の不正の動向を網羅した下記のレポートでは、より詳細な情報を紹介しています。
書籍「世界のオンライン決済・不正利用対策市場要覧」

~世界のオンライン決済サービス、カード不正、CNPを徹底網羅~
20150508cnp

大特集「カード決済&セキュリティのすべて」の紹介ページへ

paymentcardsecurity

 

page toppagetop