2015年5月8日7:11
オーストラリア
オーストラリアのインターバンクの決済機関であるAPCA(Australian Payments Clearing Association)は、小切手不正やクレジットカード、デビットカードのカード不正の発生状況を毎年取りまとめレポートしている。
(図表17)は、オーストラリアにおける2008年から2013年までの6年間のカード不正のタイプ別の推移を示したものである。オーストラリアのカード不正による損失額は、2008年度のA$16,130万(約161億円)から2013年度のA$30,380万(約303億円)へと5年間で88%増加している。オーストラリアにおけるカード不正のここ6年間の特徴は、それまで増加傾向にあったカード偽造やスキミングによる不正が、EMV ICカード化により2011年度をピークにその後減少傾向にあることと、CNPのカード不正が2008年度A$7,280万(72億ドル)から2013年度A$21,970万(約219億ドル)へ急増していることである。カード偽造やスキミングのカード不正全体に対する割合は、2008年度の35%から2013年度の12%と23ポイントも大きく減少させている。一方、CNP(Card Not Present)のカード不正の割合が、2008年度の45%から2013年度の72%へと27ポイントも増加している。
(図表17) オーストラリアのカード不正のタイプ別の推移(2008年~2013年)(万A$) | ||||||
2008年度 | 2009年度 | 2010年度 | 2011年度 | 2012年度 | 2013年度 | |
---|---|---|---|---|---|---|
CNP | 7,280 | 9,060 | 13,120 | 19,810 | 18,310 | 21,970 |
45% | 52% | 64% | 68% | 70% | 72% | |
偽造・スキミング | 5,590 | 5,620 | 5,000 | 6,600 | 3,720 | 3,720 |
35% | 32% | 24% | 23% | 14% | 12% | |
紛失・盗難 | 2,000 | 1,660 | 1,670 | 2,020 | 2,700 | 3,400 |
12% | 10% | 8% | 7% | 10% | 11% | |
カード未着 | 560 | 430 | 340 | 410 | 850 | 940 |
3% | 2% | 2% | 1% | 3% | 3% | |
不正申込 | 180 | 180 | 110 | 110 | 350 | 150 |
1% | 1% | 1% | 1% | 1% | 1% | |
その他 | 530 | 430 | 220 | 340 | 180 | 190 |
3% | 2% | 1% | 1% | 1% | 1% | |
合計 | 16,130 | 17,370 | 20,450 | 29,280 | 26,110 | 30,380 |
出典 : APCA(Australian Payments Clearing Association) |
(図表18)は、オーストラリアのカード不正の金額比・件数比、ならびに一件当たりの不正カードタイプ別での平均単価の2008年度から2013年度までの6年間の推移を示したものである。カード不正発生率の金額比は、2011年度の0.0515%をピークに2008年度の0.0327%から2013年度の0.0487%と、50%増加している。カード不正発生率の件数比も、2008年度の0.011%から2013年度の0.025%と、2倍以上に増加している。カード不正売り上げの一件当たりの単価は、2008年度の358ドル(約3万5,800円)から2013年度の197ドル(約1万9,700円)へと5年間で45%も下がっている。
(図表18) オーストラリアのカード不正の金額比・件数比・平均単価の推移(2008年~2013年) |
|||
カード不正金額比 | カード不正件数比 | 平均不正金額 | |
---|---|---|---|
2008年度 | 0.033% | 0.011% | 358ドル |
2009年度 | 0.034% | 0.015% | 260ドル |
2010年度 | 0.038% | 0.018% | 247ドル |
2011年度 | 0.052% | 0.022% | 254ドル |
2012年度 | 0.044% | 0.022% | 210ドル |
2013年度 | 0.049% | 0.025% | 197ドル |
出典 : APCA(Australian Payments Clearing Association) |
台湾
台湾にはVisaやMasterCard、American Express、JCB、中国銀聯、台湾のナショナルブランドの“Uカード”といったサードパーティのクレジットカードのネットワークを統括するNCCC(National Credit Card Center、設立1979年)とクレジットカードやATM・デビットカードのネットワークを統括する銀行間ネットワークシステムを運営するFISC(Financial Information Service Co.、設立1984年)の2つの機関がある。
(図表19)は、2006年度から2013年度までのNCCCのメンバー銀行より集計した国際ブランドのVisaやMasterCard、JCBのほか、台湾のナショナルブランドのUカードといったバンクカードの不正タイプ別のカード不正状況の推移である。カード不正による損失は、EMV ICカードの導入などにより、カード偽造やカードの紛失、盗難などによる不正の減少で、2006年度の2億8,047万台湾ドル(約10億3,800円)から2010年度の1億3,930万台湾ドル(5億1,500万円)へと4年間続けて低減していた。しかし、2011年よりCNP(Card Not Present)のカード不正が急増したため、カード不正全体が増加に転じ、2012年度には3億5,293万台湾ドル(約13億円)へと急激に増加している。
(図表19)NCCCメンバー銀行の不正タイプ別のカード不正状況(2006年~2013年) (VISA,マスター、JCB、U-カード)(千NT$) |
||||||||||||||
カード不正タイプ | 2006年度損害額 | 2007年度損害額 | 2009年度損害額 | 2010年度損害額 | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
カードの紛失 | 64,476 | 23% | 36,718 | 21% | 19,565 | 14% | 13,647 | 10% | ||||||
カードの盗難 | 42,784 | 15% | 25,730 | 15% | 19,557 | 14% | 13,688 | 10% | ||||||
カードの未着 | 5,635 | 2% | 3,650 | 2% | 1,048 | <1% | 758 | <1% | ||||||
カードの不正申し込み | 7,229 | 3% | 2,682 | 2% | 2,287 | 2% | 2,168 | 1% | ||||||
カードの偽造 | 80,822 | 29% | 45,426 | 26% | 35,635 | 25% | 27,904 | 20% | ||||||
CNP | 46,898 | 17% | 40,224 | 23% | 54,768 | 39% | 73,334 | 53% | ||||||
二重売り上げ | 1,181 | 0% | 1,398 | 1% | 1,041 | <1% | 855 | <1% | ||||||
その他 | 31,495 | 11% | 20,361 | 11% | 7,173 | 5% | 6,948 | 5% | ||||||
合 計 | 280,470 | 100% | 176,190 | 100% | 141,076 | 100% | 139,305 | 100% | ||||||
出典 : NCCC“Annual Report”2006年版、2007年版、2010年版、2011年版、2012年版、2013年版より作成 |
(図表19)NCCCメンバー銀行の不正タイプ別のカード不正状況(2006年~2013年) (VISA,マスター、JCB、U-カード)(千NT$) |
||||||||||||||
カード不正タイプ | 2011年度損害額 | 2012年度損害額 | 2013年度損害額 | |||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
カードの紛失 | 13,511 | 8% | 16,754 | 4% | 22,073 | 7% | ||||||||
カードの盗難 | 13,685 | 8% | 15,657 | 4% | 10,239 | 3% | ||||||||
カードの未着 | 1,302 | <1% | 1,014 | <1% | 1,158 | <1% | ||||||||
カードの不正申し込み | 2,059 | 1% | 1,464 | <1% | 2,092 | <1% | ||||||||
カードの偽造 | 19,629 | 12% | 17,622 | 5% | 16,422 | 5% | ||||||||
CNP | 106,608 | 63% | 295,708 | 84% | 268,944 | 82% | ||||||||
二重売り上げ | 432 | <1% | ― | ― | ― | ― | ||||||||
その他 | 11,816 | 7% | 5,225 | 1% | 6,995 | 2% | ||||||||
合 計 | 169,047 | 100% | 352,929 | 100% | 328,320 | 100% | ||||||||
出典 : NCCC“Annual Report”2006年版、2007年版、2010年版、2011年版、2012年版、2013年版より作成 |
台湾におけるカード偽造による損害は、2006年度においては8,082万台湾ドル(2億7,479万円)で、不正全体の29%をも占めていが、カード偽造の不正金額は毎年減少し、2013年度には2006年度のわずか2割ほどの1,642万台湾ドル(約6,100万円)までに減少し、不正全体に占める割合も5%と2006年度比で24ポイントも下げている。
これに対して、CNP(Card Not Present)のカード不正は2006年度の4,690万台湾ドル(約1億7,000万円)から2012年度には2006年度の6.3倍となる2億9,571万台湾ドル(約11億円)にまで拡大している。CNPの不正損失額の不正全体に占める割合も2006年度の17%から2012年度には84%にまで拡大し、2006年度比で67ポイントも増大させている。台湾のカード不正の大半がCNPの不正が占めている状況に至っている。なお、2013年度は、CNPのカード不正は2012年度比で9.0%低減し、カード不正の損失額も2012年度比で8.7%減少している。
マレーシア
マレーシアでは中央銀行のBank Negara Malaysiaの決済システムの年度報告書である『Financial Stability and Payment Systems Report, 2013』で、マレーシアのペイメントカード不正の状況が報告されている。2013年度のクレジットカードの不正の損失額はRM2,940万(約11億7,600万円)で2011年以降ほぼ横ばいで推移し、2013年度の損失割合は決済金額比0.03%である。(図表20)は、2013年度におけるカード不正タイプ別の割合で、インターネットの61.9%と通信販売の5.2%と合わせてCNP(Card Not Present)のカード不正による損失は67.1%にも及んでいる。
(図表20) マレーシアのカード不正類型(2013年度) |
|
カード不正のタイプ | 割合 |
---|---|
インターネット | 61.9% |
通信販売 | 5.2% |
カードの紛失・盗難 | 21.6% |
カード偽造 | 7.0% |
その他 | 4.3% |
出典 : 『Financial Stability and Payment Systems Report, 2013』Bank Negara Malaysia |
CNP(Card Not Present)のカード不正対策
eコマースにおけるオンライン決済を中心としたCNP(Card Not Present)のカード不正が、アメリカやカナダ、イギリス、フランス、オーストラリア、台湾、マレーシアなどで近年急増していることはこれまで触れてきたとおりである。オンライン決済を中心としたCNP(Card Not Present)のカード不正はこうした国々のみならず、世界的傾向で、国際的なペイメントカードの統括機関であるVisaやMasterCardをはじめとして、アメリカやイギリス、フランスなどではVisaの「Verified by VISA」やMasterCardの「MasterCard Secure Code」、American Expressの「Safe Key」、JCBの「J/Secure」といった3-Dセキュア、Visaなどの「CVV(Card Verification Value)」、MasterCardの「CVC(Card Verification Code)」といったのカード認証コード、住所確認サービスの「Address Verification Service(AVS)」などのCNP(Card Not Present)のオンライン決済におけるカード不正対策が行われている。
このほかに、CyberSourceの「DM(Decision Manager)」やAuthorize.Netの「AFDS(Advanced Fraud Detection Suite)」などのカード不正検出ツールソフトの導入や、ICカードを用いた二要素認証のワンタイムパスワードとICカードリーダによるICカードでのオンライン決済など、いろいろな取り組みが行われている。
VisaのCNPのカード不正対策
また、アメリカにはCasco Mediaグループ(創業:2010年)が運営するCNPカード不正対策のポータルサイト“CNP Card Not Present.COM”がある。同社は “CNP EXPO”というCNP(Card Not Present)のカード不正対策に関する専門家を対象にしたカンファレンスと関連事業者のブースが出展したエキシビションを毎年開催している。“CNP EXPO”では、CNPカード不正対策に関する優れたプログラムなどを表彰する“CNP Award”の表彰も行われている。
(図表21)は、Visaの“インターネット”や“テレフォンオーダー”、“メールオーダー”といったCNPの「カード不正の予防ツール」と「カード不正検出サービス」を表したものである。インターネットのオンライン決済では、「イシュアドメイン」と「アクワイアラドメイン」、「相互運用ドメイン」の3つのドメインを指す3-Dセキュアの「Verified by VISA(VbV)」のほか、カード認証コードの「Card Verification Value 2(CVV2)」や住所確認サービスの「Address Verification Service (AVS)」、データセキュリティの「PCI DSS(Payment Card Industry Data Security Standard)」を用いた「Account Information Security(AIS)プログラム」といった予防ツールを提供している。なお、住所確認サービスの「AVS」は現在アメリカ、カナダ、イギリスのみで提供されている。テレフォンオーダーは、「Verified by VISA(VbV)」を除く、「CVV」、「AVS」の2つの予防ツールが提供されているほか、メールオーダーの場合「AVS」のみとなっているが、一部の通販事業者のオーダーフォームには「CVV」に対応したものもある。また、CNP(Card Not Present)の不正対策として、サードパーティのCyberSourceの「DM(Decision Manager)」や「Managed Risk Service」、Authorize.Netの「AFDS(Advanced Fraud Detection Suite)」などの不正検出ツールソフトを例示している。
(図表21) VISAのCNPにおけるカード不正の予防ツールとサードパーティのカード不正検出サービス |
||||||
VbV | CVV | AVS | PCIDSS | DM | AFDS | |
---|---|---|---|---|---|---|
インターネット | 〇 | 〇 | 〇 | 〇 | 〇 | 〇 |
テレフォンオーダー | 〇 | 〇 | 〇 | 〇 | 〇 | |
メールオーダー | 〇 | 〇 | 〇 | 〇 | ||
出典 : VISA |
CyberSourceの不正検出ツールソフト
CyberSourceの「Decision Manager」は、「グローバル認証サービス」や「ビジネスルールマネジメント」、「ケースマネジメント」、「レポーティング機能」など不正対策の自動化や効率化に必要な機能の提供が可能である。また、VisaとCyberSourceによる600億ものトランザクションのビッグデータの解析や260以上のグローバルな認証テストを実施し、①購入パターンのモニタリング、②IPアドレスの地理的位置の解析、③ポジティブリスト・ネガティブリスト、④VISA認証サービスやMasterCard Secure Code、J/Secureなどの本人認証サービス、⑤CVV2やCVCなどのセキュリティコード、自社データ用のカスタムフィールド、⑥グローバルな電話番号検証サービス、⑦グローバルな配送住所検証サービス、⑧事業形態や商品に合わせた複数のスクリーニングプロファイルの作成といった“ビジネスユーザ・ルール管理インターフェース”、⑨高度なプロセス分析やレポーティングなどの“ケースマネージメントシステム”、⑩結果検証に可能なレポーティング――など多彩なカード不正対策ツールがラインアップされている。
CNP不正対策としての二要素認証のワンタイムパスワード
CNPにおける次世代のカード不正対策として注目されているセキュリティツールが、すでに多くのインターネットバンキングで導入されている二要素認証のワンタイムパスワード(One-Time Password(OTP)、使い捨てパスワード)である。
二要素認証とは、異なる要素を持つ有効な認証方法を2つ以上組み合わせた強力な認証方法である。認証方法の要素には、PIN(暗証番号)やパスワードなど『自分だけが知っている』(Know)、IDカードなどの『自分だけが持っている』(Has)、一部のATMで導入されている指紋や静脈など照合といったバイオメトリクスなどの『自分自身』(is)の3つがある。2つ以上の要素を組み合わせることが重要で、「4桁のPINと8桁のパスワードの照合」や「デビットカードとクレジットカードの二重照合」、「指紋や静脈の照合」といったように同じ認証の要素を繰り返し用いても強力な認証方法となり得えず、二要素認証とは言えない。EMV ICカードとハンドヘルドスマートカードリーダーとの組み合わせによるワンタイムパスワードによる認証は、パスワード生成過程において自己のICカード(Has)のPIN(Know)を入力する二要素認証である。
二要素認証のワンタイムパスワードには“時刻同期型”や“チャレンジ型”、“トランザクション認証型”、SMS(Short Message Service)型などいくつかのタイプがある。チャレンジ型は、時刻同期型にプラスしてトークンなどにEMV ICカードのPIN(暗証番号)を入力することにより強固な認証を行うもので、EMV ICカードのクレジットカードを用いたワンタイムパスワードに用いられている。
MasterCardチップ認証プログラム(CAP)
MasterCardでは、EMV ICカードを用いたワンタイムパスワードによる二要素認証による認証手続きとなる「チップ認証プログラム」(CAP)を“One Smart Authentication”(1つのスマート認証)として2003年来継続して開発している。MasterCardのCAPによる認証は、EMVスタンダードのペイメントカードを用い、専用のICカードリーダを介して、ログイン認証やトランザクション認証に用いることができるワンタイムパスワードで、生成されたワンタイムパスワードは“CAPトークン”と呼ばれ、CAPトークンを検証するバックエンド認証サーバはCTVS(CAPトークン検証サービス)と呼ばれている。
EMV ICカードをハンドヘルドICカードリーダに挿入し、ICカードリーダのテンキーでカードのPIN(暗証番号)を入力するとワンタイムパスワードを生成し、このワンタイムパスワードを用いてCNP環境で安全なオンラインショッピングを行うもので、ワンタイムパスワードは、ウェブマーチャントのチェックアウトページ上の適切なフィールドに入力されると、“MasterCard Secure Code”のデータトランスポートインフラストラクチャを使用して認証するためにイシュアに送信される。
ディスプレイICカードによる二要素認証
EMVスタンダードのICカードを用いた二要素認証による認証方法として、MasterCardのチップ認証プログラム(CAP)のようなハンドヘルドICカードリーダを用いず、コンタクトICカードに液晶の小さなディスプレイ表示画面と操作ボタンを有する“ディスプレイICカード”がスイスとアメリカにオフィスを置くnagraID SecurityやICカードメーカ大手のGemalto社、旧Aladdin社を買収したSafeNet社などによって開発されている。
“ディスプレイICカード”を用いた二要素認証による認証方法は、トークン型のワンタイムパスワード生成機と同じ時刻同期による認証機能で、ペイメントカードのオンライン決済のほか、オンラインバンキングアクセスやテレフォンバンキングアクセスなども可能で、航空会社のFFP(フリークエント・フライヤーズ・プログラム)や法人カードのVPN(Virtual Private Network)のように第三者へのアクセス利用も可能としている。
*海外のCNP(Card Not Present)などの詳しいカード不正対策については、TIプランニングより2014年1月に刊行された『世界のオンライン決済・不正利用対策市場要覧』(定価9万円(税抜))を参照されたい。