三井住友カード、国内で初めてネットショッピング認証サービスにデバイス認証を導入 導入後2カ月で3-D セキュアでの不正取引を半数に削減

2018年5月17日8:38

三井住友カードは、2017年11月13日より、Visa の「VISA 認証サービス(Verified by Visa)」および、Mastercard が提供する「Mastercard SecureCord」にデバイス認証機能を導入した。インターネット取引におけるなりすまし等による不正使用が増える中、導入直後からデバイス認証に必要となる情報を取得して不正判定を行うことで、高い成果を生んでいる。

不正使用の手法は多様化・高度化
デバイス情報による異常なカード利用(機械的な攻撃)を抑制

クレジットカード取引における不正使用の手法は多様化・高度化しており、近年は非対面取引の不正が急増している。三井住友カードにおいても、日本クレジット協会の公表数値と同じ動きで不正が増加している。

三井住友カード セキュリティー管理部 副部長 田添裕嗣氏、 同部 部長代理 田中啓介氏、同部 グループマネージャー 植木晋也氏

同社ではIDとパスワードの盗用に対抗するため、ソフトウェア型のワンタイムパスワード認証を導入。3-Dセキュアの登録率は他のイシュア(カード発行会社)と比較して高い率となっているが、増加している異常なカード利用(機械的な攻撃)への対処が求められたという。

三井住友カード セキュリティー管理部 部長代理 田中啓介氏は、「この1~2年で不正を取り巻く環境が急変し、特に異常なカード利用(機械的な攻撃)が増えています」と話す。同社ではその対策として、2017年11月から、クレジットカード利用者がネットショッピング時に使用する機器のデバイス情報と、クレジットカード決済の取引情報から、不正使用のリスク度合いをオンラインかつリアルタイムで判定する「CAFIS Brain」を国内カード会社で初めて採用した。

「スマートフォンやPC等の端末情報等を活用することで、今までは見抜けなかった不正使用を見抜けるようになりました。同じデバイスにおける異常なカード利用(機械的な攻撃)や、過去に不正使用があったデバイスからのカード利用、海外からの不審なカード利用等を防ぎ、従来のオーソリ情報のみでの不正検知システムと比べ格段に精度の高い不正検知を実現しています」(田中氏)

リスクベース認証のイメージ(出典:NTT データ)

2年前の実験より5~6倍の成果
海外からの異常なカード利用(機械的な攻撃)が約9割

三井住友カードではNTTデータと協力し、2015年よりクレジットカード取引環境におけるリスクベース認証のトライアル検証を実施。田中氏は、「異常なカード利用(機械的な攻撃)が少なかった当時も効果が出ていましたので、不正使用を取り巻く環境が変化した今ではそれ以上の成果が出ると考え、採用を決定しました」と語り、笑顔を見せる。前述のワンタイムパスワード認証の責任者である同部 グループマネージャー 植木晋也氏も「導入後短期間で3-Dセキュアを経由した取引での不正使用被害は半数ほどに落ちています」と口にする。

今回の導入により、9割方の不正は同じ端末からほぼ毎日、数分おきに機械的に複数の番号を入れて悪用を働こうとしていたことが判明した。また、それらの悪用は海外からが多い。中には、IPアドレスを踏み台にしての不正もあるが、「CAFIS Brain」 のベースとなるExperian(エクスペリアン)の不正判定エンジン「FraudNet」は仮に加工されてもログを特殊な技術で見抜くことが可能だ。

今回、加盟店向けに提供されていたデバイス認証をカード会社が導入することは国内初の取り組みであったため、導入する際の微調整が非常に難しく、時間をかけて対応した。今後の課題は、さらなる不正検知精度向上。不正使用のデータを蓄積・分析し、発展途上にあるルールの精度向上に注力し、現在見抜けていない不正使用抑止をすることだ。

5年間かかる費用を半年で回収
3-Dセキュア2.0への対応を進める

田中氏は、「導入にコストはかかりますが、半年で回収できる実感があります。3-Dセキュアは2019 年初頭より、デバイス認証の概念を標準装備する2.0へ 移行する計画ですが、そこに向けたノウハウを蓄積していきたいですね」と意気込む。3-Dセキュア2.0については、国際ブランドのスケジュール通りにACS対応を進めていきたいとした。

同部 副部長 田添裕嗣氏は、「現行の3-Dセキュアに比べ、明らかに判断材料がリッチになりますので、他社でも導入が進めば効果が出るのは目に見えています。また、その効果は、カード会社、加盟店もおわかりになっています。すでにデバイス認証を行われている加盟店もありますが、その効果を伺っても前時代的なオーソリ情報以外を判断材料にするのは自明の理であると感じています。クレジット取引セキュリティ対策協議会が策定している実行計画では、インターネット取引の不正使用対策について多面的・重層的な対応を求めるとしていますが、3-Dセキュアを介したデバイス認証は決め手になる資質があります」と期待を寄せた。

カード決済&セキュリティの強化書2018

page toppagetop