クレジットカード不正利用金額が過去最高を更新、不正利用の対策方法を解説
一般社団法人日本クレジット協会が2023年3月31日に発表した2022年のクレジットカードの不正利用被害額は436.7億円(前年より3割増加)となり、過去最高額を更新しました。
この記事では、近年増加しているクレジットカードの不正利用の現状と対策方法をカード会社や加盟店向けに説明します。
⒈ クレジットカード不正利用被害の現状
一般社団法人日本クレジット協会からクレジットカードの不正利用被害額の調査結果が発表されました。年々被害額が増加しており、2022年においては年間の被害額が400億円を超え過去最高額となりました。
近年において、クレジットカード不正利用は番号盗用による被害がそのほとんどになっています。2000年代頃まではスキミングによる偽造カードが主流であったが、ICチップの普及により被害が減少しました。
また、わざわざ偽造カードを作らなくとも、不正利用する手段が増えたことも偽造カードの被害が減り、番号盗用の被害が増加した原因の一つと考えられます。
⒉ クレジットカードの不正利用を防ぐには
クレジットカードの不正利用には、カードやカード情報を不正に入手する「不正入手」と、不正に入手したカード情報等を使用して加盟店から商品等をだましとる「不正使用」に分けられます。
⒉⒈ 不正入手を防ぐには
不正入手には、スキミングやフィッシング、スパイウェアなどで個人を狙ったものや企業の持つカード情報を不正アクセスにより入手するものがあります。
- 利用者に対して、フィッシングの手口や自社の名を騙る詐欺サイト等に対する注意喚起やID・パスワードの使い回しの危険性等について、注意喚起を行う。
- 自社のシステムにセキュリティ対策を実施し、不正アクセス等からカード情報を保護する。
万が一、自社のシステムからカード情報が流出してしまった場合は、流出件数に関わらず、事業の停止や企業イメージのダウンなど、影響は計り知れません。システムやデータ量が小規模であっても、事業を守るため不正入手への対策は避けられません。
また、クレジットカードの関連法案として、「割賦販売法」があります。この割賦販売法に規定されるセキュリティ対策義務の「実務上の指針」として、クレジットカード情報の非保持化もしくはPCI DSSガイドラインの準拠が求められており、事業者においては不正入手への対策は必ず実施しなければなりません。
⒉⒉ 不正使用を防ぐには
近年の不正利用被害額の拡大の背景には、不正入手の増加だけでなく、不正使用の手段が増えたことも影響していると考えられます。とくにネット取引だとカードの現物が必要なく、カード番号や有効期限で決済が可能であることや、販売店員が介在しないことから本人の判別がしにくい点が悪用されています。
クレジット取引セキュリティ対策協議会によって取りまとめられた「クレジットカード・セキュリティガイドライン」においては、リスクや不正利用の被害状況によって導入すべき方策として以下の4方策を提示しています。
| 方策 | 特徴 |
|---|---|
| 本人認証 (EMV 3-D セキュア/認証アシスト) | リスク判断によりパスワード入力の要求や 属性情報により本人を確認することで安全性を確保。 |
| 券面認証 (セキュリティコード) | セキュリティコードの入力によりカードが真正であることを確認。 |
| 属性・行動分析 (不正検知システム) | 過去の取引情報等に基づいてリスク評価を実施し、不正取引を判定。 |
| 配送先情報 | 不正配送先情報の蓄積により、商品等の発送を事前に停止。 |
※「クレジットカード・セキュリティガイドライン」について詳しく知りたい方は以下のコラムをご覧ください。
・ECサイトにおける「クレジットカード・セキュリティガイドライン」への対応
⒊ 不正アクセスからカード情報を守る
WEEDS Traceは当初から金融機関からのオファーが多く、実績の大半は金融業界です。その理由は、金融機関が求められるIT統制、セキュリティ基準に対応していることが言えます。クレジットカード業界のセキュリティ基準である「PCI DSS」の要件に対応する製品もご用意しております。
※ 「PCI DSS」について詳しくは以下のコラムで解説しております。
・PCI DSS v4.0とは?準拠のメリットや対応の課題を解説
⒊⒈ PCI DSS 要件7の対応製品
要件7では、システムコンポーネントおよびカード会員データへのアクセスを業務に必要な最小限のデータに限定することが求められています。
具体的には高権限のアカウント(特権ID)の管理やアクセス制御が求められています。
WEEDS Traceでは以下の対策に対応しております。
| 必要な対策 | 対応製品 |
|---|---|
| 特権IDの管理 | |
| アクセス制御 |
※ 詳しくは 特権ID管理 をご覧ください。
⒊⒉ PCI DSS 要件8の対応製品
要件8では、「コンピュータ・システム上の個人またはプロセスの識別を確立すること」、「識別に関連するユーザがそのユーザーが主張する人物であることを証明または検証すること」が求められています。
具体的には、共有IDの禁止やパスワードの管理(複雑化や定期的な変更)、多要素認証の実現が求められています。
WEEDS Traceでは以下の対策に対応しております。
| 必要な対策 | 対応製品 |
|---|---|
| 共有IDの禁止、IDの棚卸し | パスワード管理、本人特定機能「IDM」 |
| パスワード管理、パスワードポリシー | パスワード管理、本人特定機能「IDM」 |
⒊⒊ PCI DSS 要件10の対応製品
要件10では、システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視することが求められています。データ漏洩を防止、検出、またはその影響を最小化するため、ユーザーの行動を追跡する機能が必要になります。
具体的には、抜け漏れのないアクセスログの取得や管理、異常や疑わしい活動等を特定するためのレビュー機能が求められます。大量のアクセスログから不正アクセスを見落とすことがないように、特定の操作の検知やアクセスログの検索、日次や月次のレポート機能が必要になると考えられます。
| 必要な対策 | 対応製品 |
|---|---|
| アクセスログの取得 | |
| アクセスログの管理 | ログ蓄積/監査機能「LRM」 |
| アクセスログのレビュー | ログ蓄積/監査機能「LRM」 |
その他、WEEDS Traceでは「PCI DSS」のみならず、各種ガイドラインの対応にお役立ていただける製品をご用意しております。サーバやデータベース周りで課題やお悩みがございましたら、お気軽にご相談ください。