2015年5月1日8:51
海外のカード不正利用の実態とその対策の動向
近年世界中で、インターネットやモバイルフォンによるeコマースにおけるクレジットカードやデビットカードなどのペイメントカードを実際に提示しない通信販売やオンライン決済でのCNP(Card Not Present)におけるカード不正利用の著しい増加が見受けられる。そこで、まずカード犯罪のこれまでの進化の状況を概観し、次いで北米のアメリカやカナダ、ヨーロッパのイギリス、フランス、オセアニアのオーストラリア、アジアの台湾、マレーシアの国々におけるカード不正において、CNPにかかわるカード不正による被害がいかに増大しているかという実態を示し、その取り組み状況を概観してみたい。
和田文明
カード不正・犯罪の変遷
クレジットカードの登場とともに、盗難や紛失したクレジットカードを第三者が悪用するカード不正の犯罪は起きていた。(図表1)は、カード犯罪のこれまでの変遷を表したものである。クレジットカードの創世期で、カード加盟店への無効カード表の配布と電話によるオーソリゼーション(販売承認)の時代である“~1980年代”と、磁気カード化されたオンラインによるオーソリゼーションの時代である“1990年代”、インターネットのeコマースによるCNPカード決済が急増し始めた“2000年代”、それにEMV ICカードが導入され、スマートフォンが普及し始めた“2010年代”、近未来の“2015年”の5つの時代に区切り、その変遷を表している。
1980年代までのカード不正は、一匹狼の犯罪者がカードホルダーである消費者個人を狙った、紛失・盗難カードの悪用がその主流を占めていた。カードが磁気カード化された“1990年代”からカード不正は、個人から数人、数十人の犯罪者チームによるスキマーなどの機械を用いてカードの情報を盗み取り、これらのカード情報を用いて偽造カードを大量に製造してこれを使用して不正利得を得るといった磁気カードの盲点を突いたカード犯罪が生まれ、世界中で大きな被害を与えた。インターネットが急速に普及し、カードによるeコマースなどでのオンライン決済が急増した2000年代には、ローカル犯罪シンジケートによる偽造ウェブサイトなどを用いて社会保障番号などの個人情報やカード情報を盗み取るフィッシング詐欺などが横行し、こうして得た個人情報やカード情報によるCNPカード不正の増大をもたらした。
2010年代に入ると、国や地域を超えた国際犯罪シンジケートによるクレジットカードやデビットカード、プリペイドカードなどあらゆるペイメントカードをターゲットに、銀行など金融機関やカード会社、プロセッシング会社といった組織や機関を狙ったCNP不正や3-Dセキュア不正、ATM不正、ID不正などのカード犯罪が多発するようになった。近未来である“2015年”には、さらに巧妙化した国際犯罪組織によるPharming(ドメインネームシステムの設定を書き換え、閲覧者を偽のウェブサイトに誘導し個人情報やカード情報取得する不正行為)やハッキングなどによるカード不正や犯罪が危惧され、ペイメントカードのみならず銀行口座をも狙っており、金融機関を含むペイメントカード業界全体が犯罪リスクに脅かされようとしている。巧妙化した国際犯罪組織に対抗するには、専門の技術知識や情報、グローバルなコネクションの構築が求められよう。
(図表1)カード不正の変遷 | |||||
1980年代 | 1990年代 | 2000年代 | 2010年代 | 2015年 | |
---|---|---|---|---|---|
犯罪者・詐欺師 | 個人 | チーム | ローカル犯罪組織 | 国際犯罪組織 | 分権的国際犯罪組織 |
ターゲット | 消費者 | 小規模小売店 | 大規模小売店 | 銀行、プロセッサー | ペイメント業界 |
主な不正のタイプ | カードの紛失・盗難 | 国内偽造スキミング | ID窃盗フィッシング | CNP不正3Dセキュア不正ATM不正ID不正 | CNP不正3Dセキュア不正ATM不正ID不正Pharming
ハッキング |
ターゲットとなっているカードのタイプ | T&Eカード | プレミアムクレジットカード | マスマーケットのクレジットカード | クレジットカードデビットカードプリペイドカード | クレジットカードデビットカードプリペイドカード銀行口座 |
必要なリソース | 基本的な知識 | 技術的な知識 | 専門の技術知識内部情報グローバルなコネクション | 専門の技術知識内部情報グローバルなコネクション | |
出典 : VISA、PCM Research、“Payments Cards & Mobile”誌2014年11月・12月号 |
アメリカ
世界のペイメントカード不正の損失は、(図表2)のように2009年の69億ドル(約8,280億円)から2013年は139億ドル(約1兆6,680億円)へ4年間でおよそ2倍に増加している。このうちアメリカのカード不正による損失は2009年の32億ドル(約3,840億円)から2013年の71億ドル(約8,520億円)へ4年間で2.2倍に増加している。世界のカード不正に占めるアメリカの割合は、2009年度で46.3%から2013年度の51.4%へと5ポイント増加し、世界のカード不正による損失の半分以上がアメリカで生じている。
(図表2) ペイメントカード不正のグローバルコストの推移(2009年~2013年) |
|||
アメリカ | その他 | 合計 | |
---|---|---|---|
2009年 | 32億ドル | 37億ドル | 69億ドル |
2010年 | 36億ドル | 40億ドル | 76億ドル |
2011年 | 48億ドル | 54億ドル | 102億ドル |
2012年 | 55億ドル | 62億ドル | 117億ドル |
2013年 | 71億ドル | 68億ドル | 139億ドル |
出典 : 二ルソンレポート、BI Intelligence |
今から20年前の1995年にヨーロッパのユーロペイ(Europay)、マスターカード(MasterCard)、Visaの三つのそれぞれの頭文字をとって“EMV”と名付けられたペイメントカードのICカードの世界統一仕様が決定された。磁気カードのセキュリティの脆弱性によりカード偽造などの不正が増加したため、より強固なセキュリティを確保するために、クレジットカードのみならず、デビットカードやATMカードなどの磁気カードのEMV ICカード化とPOSカード決済端末機とATMという2つのデバイスのEMV ICカード対応の取り組みが2000年中頃から、イギリスなどヨーロッパから始まった。(図表3)は、エリア別のEMVによるカード決済割合を示したもので、イギリスやフランス、ドイツなどの西欧では96.33%と高い割合を示している。しかしながら、2012年6月にEMV取引に関する“ライアビリティシフト”の導入をようやく決めたアメリカのEMVによるカード決済割合はわずか0.3%にとどまっている。
(図表3) エリア別のEMVによるカード決済割合(2013年7月~2014年6月) |
|
エリア | % |
---|---|
ヨーロッパ ゾーン1 | 96.33% |
アメリカ(USA)を除くアメリカ大陸 | 83.33% |
アフリカ・中東 | 75.90% |
ヨーロッパ ゾーン2 | 50.47% |
アジア | 19.42% |
アメリカ(USA) | 0.30% |
出典 : VISA、PCM Research、“Payments Cards & Mobile”誌2014年11月・12月号 |
“ライアビリティシフト”とは、EMVスタンダードのPOSカード決済端末機による対応をせずに偽造カードによるカード不正が生じた場合、そのライアビリティ(債務責任)をイシュアからアクワイアラにシフト(移転)することで、POSカード決済端末機のEMV ICカード対応によるセキュアな決済の実現を図るものとなり、2015年10月からの実施を予定している(ガソリンスタンドの自動給油機は2017年10月)。アメリカは、これまでに多大な投資を伴い磁気カードによるペイメントカードのオンラインネットワークという強大なインフラを構築してきたため、膨大な投資が新たに必要なEMV ICカード化にこれまで躊躇してきたものの、カード偽造の切り札としてEMVのPIN(暗証番号)やICチップのセキュリティテクノロジーへの期待が大きい。アメリカにおけるカード偽造による損失は、2013年度で24.1億ドル(約2,890億円)とCNPに次いで大きく、このままEMV ICカード化を行わないと、2015年度には36億ドル(約4,320億円)にも達すると危惧されるようになっていた。
アメリカのバンクカードのEMV ICカード化予想は、Aite Group LLCの(図表4)のように、2015年末でクレジットカード70.0%、デビットカード41.0%、2017年末にはクレジットカード98.0%、デビットカード90.0%と急速に拡大するものと予想している。一方、Javelinは(図表5)のように、2015年末でクレジットカード28%、デビットカード17%、POSカード決済端末機53%、2017年末でクレジットカード83%、デビットカード77%、POSカード決済端末機84%と低く予想している。
(図表4) アメリカのバンクカードのEMV ICカード化予想(%) |
||||||
2012年 | 2013年 | 2014年 | 2015年 | 2016年 | 2017年 | |
---|---|---|---|---|---|---|
クレジットカード | 0.4 | 4.0 | 25.0 | 70.0 | 91.0 | 98.0 |
デビットカード | 0.1 | 0.6 | 8.0 | 41.0 | 68.0 | 90.0 |
出典 : Aite Group LLCDIGITALTRASACTIONS誌2014年7月号より |
(図表5) アメリカのバンクカードとPOSカード決済端末機のEMV ICカード化予想 |
|||
2015年 | 2016年 | 2017年 | |
---|---|---|---|
クレジットカード | 28% | 58% | 83% |
デビットカード | 17% | 24% | 77% |
POSカード決済端末機 | 53% | 71% | 84% |
出典 : Javelin、“Payments Cards & Mobile”誌2014年11月・12月号 |
カナダ
(図表6)は、CBA(Canadian Bankers Association、カナダ銀行家協会)によるイシュアベースのクレジットカード(Visa、MasterCard、American Express)の2011年度から2013年度のカード不正の状況を示したものである。カナダにおけるクレジットカード不正合計は、2011年度のCA$43万6,588(約525億円)から2013年度CA$46万5,135(約560億)と6.6%増加している。カナダも他国と同様にeコマースやMコマースなどのCNP(Card Not Present)におけるカード不正の増加に悩まされており、2011年度のCA$25万9,498(約310億円)から2013年度のCA$29万9,374(約360億円)へと15%も増加している。
(図表6)カナダのカード不正の状況(2011年~2013年)(千Cドル) | |||
カード不正の類型 | 2011年度 | 2012年度 | 2013年度 |
---|---|---|---|
カードの紛失 | CA$10,757 | CA$8,663 | CA$8,773 |
カードの盗難 | CA$21,692 | CA$18,322 | CA$16,457 |
カードの未着 | CA$4,736 | CA$3,628 | CA$4,968 |
カードの不正申込 | CA$6,075 | CA$8,522 | CA$11,803 |
国内におけるカード偽造 | CA$88,356 | CA$68,652 | CA$62,839 |
海外絡みクロスボーダーのカード偽造 | CA$31,809 | CA$49,457 | CA$58,698 |
CNP(Card Not Present) | CA$259,498 | CA$268,573 | CA$299,374 |
カード口座の乗っ取り、その他 | CA$13,661 | CA$13,543 | CA$12,219 |
クレジットカード不正合計 | CA$436,588 | CA$439,363 | CA$465,135 |
出典 : Canadian Bankers Association |
CNP不正のカード不正全体に占める割合も、2011年度の59.4%から2013年度の64.3%へ5ポイントも増加している。カード偽造に関しては、EMV ICカード化への取り組みを行っているカナダ国内におけるカード偽造が、2011年度のCA$8万8,356(約105億円)から2013年度のCA$6万2,839(約75億円)へ29%もダウンしているのに対して、EMV ICカード化が大きく遅れている隣国アメリカの存在により、海外絡みのクロスボーダーのカード偽造は、2011年度のCA$3万1,809(約38億円)から2013年度のCA$5万8,698(約70億円)と84%も増加している。