MasterCardにおける決済の不正利用防止の国際的な取り組み(上)

2016年6月9日9:02

■MasterCard
ネット決済時に自撮り写真や指紋を使って認証するサービスを提供

国際ブランドのMasterCardでは、安心・安全な決済セキュリティに取り組んでいます。国際ブランドとしてのセキュリティのフレームワークの考え、まばたきにより顔認証を行う「MasterCard Identity Check」など、新たなセキュリティソリューションについて紹介します。

mastercard1

米国では100ドルあたり5.7セントの不正利用が起こる
2015年の不正の49%は偽造、CNPでの不正被害が増加

MasterCardブランドの米国における不正利用の割合をみると、100ドルあたり5.7セント、およそ0.057%の不正利用が起こっています。この数字は年々減少していますが、カードのトランザクションは増えているため、不正被害そのものが落ちているわけではありません。また、MasterCardの調査では、犯罪を行う人の60%が、5分以内に不正なアクセスを何かしら行うことが可能であり、犯罪を行う準備が常にできている状態です。

世界中のメディアの情報を収集したところ、2014年は1分間に約2,000件の情報漏えいが起きています。こうした環境のなか、MasterCardではセキュリティのフレームワークとして、(1)「SECURING THE ACCOUNT」(アカウントをいかに保護するか)、(2)「SECURING THE CARDHOLDER」(カード会員自身をどう保護するか)、(3)「SECURING THE TRANSACTION」(国際ブランドのネットワーク上のセキュリティをいかに高くするか)――を掲げています。フレームワークは、全体として個別に機能させるというものではなく、PCI DSSやEMVも含め、エコシステムとして全体の屋台骨を支えています。

アカウントを保護する部分では、2015年の不正の49%はカウンターフェイク(偽造)となっています。ただし、この傾向は今後変わっていくと思われます。理由は簡単で、いわゆるPOSでの情報漏えいから、次第にデジタルハッキングに移行していくからです。また、eコマースでの不正の伸び率は21%となり、今後も高い比率で成長していくと予想されています。さらに、米国の加盟店では、不正を処理するために必要なコストは1取引あたり2.23米ドルと言われています。

フィジカルなカードのEMV化は米国でも進行していますが、近年では、スマートフォンをはじめ、さまざまなデバイスにカード番号を保管する機会が増えています。デジタルな世界でカード情報を保護するソリューションとして、トークナイゼーションがあり、弊社でもサービスを提供しています。例えば、モバイルによる支払いとしてAppleの「Apple Pay」やSamsungの「Samsung Pay」が提供されていますが、MasterCardではトークナイゼーションを使ってサポートしています。

カード情報の保護として、アカウントを保護するため、パスワードの定期的な変更が推奨されていますが、54%の人がパスワードを忘れた経験があるという調査結果が出ています。ただし、実際にはより多くの人がパスワードをお忘れになった経験があると思われます。

米国と海外のeコマースの取引として、拒否されたもしくは失敗した経験が、海外取引のほうが米国国内の取引に比べると約4倍あります。また、現状、スマートフォンやタブレットを使っていなかったとしても、この先決済に使ってみたいという人は56%になりました。

モニタリングサービス「Safety Net」での対策強化
年間約13億件のトランザクションをモニタリング

デジタル化が進む状況の中、生体認証を利用した決済への関心も高まっています。ネットワークセキュリティでは、2019年までに不正利用の情報漏えい対策にかかる費用を全世界で算出すると、米ドルベースで2兆ドル、日本円にすると230兆円ほどになります。情報漏えい、ハッカーたちも日々新しい技術を使って挑んできていますが、その対策費用も決して小さくはありません。

また、日米の利用者のうち、カード情報の漏えいが不安で、クレジットカード、デビットカード以外の支払い手段を利用したことがある人の割合は56%となっています。カード社会、キャッシュレス化と言われている米国であっても、情報漏えいに対する不安は決して小さくなく、逆に大きくなっていると言えます。犯罪者の不正に向けた準備期間は平均243日あり、長い時間をかけて準備してきた犯罪への対策は必要です。

MasterCardでは、ネットワークのモニタリングやスコアリングのソリューションを提供しており、MasterCardブランドの取引、ネットワークの監視のサービスにより、セキュリティを強化しています。

2013年2月、26カ国300台のATMで、11時間に40億円のお金が引き出された事件がありました。実際には、最初の4分で5億円が引き出されました。ネットワークのモニタリングがない状態の中、イシュアへの最初のトランザクションが通れば他の国から次々アタックされる危険性があります。MasterCardには、「Safety Net」というネットワークのモニタリングサービスがありますが、2016年3月時点までの1年強の間に約12件の大規模なアタックをストップし、2016年に入っても3件止めました。被害額は推計1回あたり1,000万以下に抑えられました。MasterCardとしても、2013年を機にこのようなサービスを強化して提供しています。

国内にはほかにもセキュリティソリューションがありますが、ネットワークを提供する国際ブランドの強みとして、1年間で約13億件のトランザクションをモニタリングしています。そこから導き出された結果が「Safety Net」という名前で提供されています。

⇒⇒後編へ続く

※本記事は2016年3月12日に開催された「ペイメントカード・セキュリティフォーラム2016」MasterCard エンタープライズ・セキュリティ・ソリューションズ ディレクター 丸山 秀幸氏の講演をベースに加筆を加え、紹介しています。

page toppagetop