Oliver Hoffmann / Shutterstock.com



時代遅れの「セキュリティコード」に頼る理由

牧野武文

June 16, 2017 08:00
by 牧野武文

セキュリティコードの役割とは?

クレジットカードを利用し、ECサイトなどで買い物をする際に、カード番号(Primary Account Number 以下PAN)、氏名、有効期限とともに「セキュリティコード」の入力を求められることがある。セキュリティコードとは、カードの裏面に印字されている3桁(American Expressのみ表面の4桁)の数字だ。ECサイトで買い物をするときに、手元に現物のカードを用意しておかないと、このセキュリティコードがわからず、購入処理の途中で慌ててカードを探し始める人も多いのではないだろうか。

では、このセキュリティコードは、クレジット取引セキュリティにおいて、どのような役割を果たしているのだろうか。

セキュリティコードは一言でいえば、準暗証番号のような存在だ。現在のクレジットカードの大半はICチップが搭載されているが、それでもまだ多くのカードが磁気ストライプを併用している。この磁気ストライプには、カード情報が記録されていて、市販の磁気リーダーで読み取ることができる。つまり磁気カードによる取引では、PAN、氏名、有効期限などのカード情報はスキミングという手法で盗み取られるリスクがつきまとう。

そしてスキミングで盗み出したカード情報を利用すれば、比較的簡単に磁気カードは偽造できる。これらは古くからあるカード犯罪の手法として知られており、2002年には国内でも偽造カードによる不正なカード取引の被害額は160億円を超えた。その後のICチップ付きカードの普及や不正検知システムの進化、偽造カードを防止する法律の施行により、対面での偽造カード使用被害は減少し、2016年には約30億円となった。偽造カードによる不正使用が減少する一方でインターネット加盟店における、なりすましによる不正使用は増加の一途をたどり、その被害額は2016年には約80億円となっている(被害額は日本クレジット協会公表の統計を参考)。

スキミングによって読み出されたカード情報が、ECなどインターネット加盟店でなりすましによって不正使用されないようにするために、セキュリティコードは有効である。なぜならセキュリティコードは、券面にしか印字されておらず、磁気ストライプにはその情報が入っていない。よってスキミングでその情報が盗まれたとしても、買い物の際にカード加盟店が、セキュリティコードによる認証を要求すれば不正に使用できない。

例えば磁気ストライプの情報からPANと有効期限を盗み出されて不正使用された場合、ECサイト側でカード決済の際にセキュリティコードの入力を追加で求めれば、正規の券面を持っている本人しか買い物が出来ないという仕組みである。

セキュリティコードを導入しないサイト

ECサイトを利用するときに、このセキュリティコードを要求しないカード加盟店もある。例えばAmazonでは「1クリック」購入ボタンを押せば、登録してあるカード情報だけで決済が完了し、セキュリティコードの入力の必要はない。また、楽天市場でも利用するカードを登録する際にセキュリティコードの入力は求められない。

セキュリティコードは、安全性を高める仕組みではあるが、ECサイトからすれば悩ましい存在だ。なぜなら決済時にセキュリティコードの入力を求められると、利用者は正規のカードを準備してコードを確認しなければならない。これが面倒で、購入をやめてしまう人が少なからずいる。ECサイトでは、このような「カゴ落ち」と呼ばれる購入者の離脱率にきわめて敏感で、セキュリティコードの入力をあえて省略しているところもある。

一方で、家電や国内航空券などの高額の商品や、商品の流通を伴わない商材(電子マネーのチャージやデジタルコンテンツなど)を販売するインターネット加盟店は、チャージバックという売上の返金リスクに晒されている。不正なカード情報がインターネット加盟店で使用された場合は、正規のカード会員の申告により払い戻しが発生するルールになっているため、売上金は加盟店から払い戻ししなければならない。この払い戻しは、商品やサービスが出荷または利用された後なので、その商品原価は加盟店側の被害となる。本人確認が十分でなかったインターネット加盟店側の責任という考え方に基づくものである。

中小零細のインターネット加盟店では、このチャージバックが多額になれば、経営を圧迫するため、カード決済の際の本人認証の確度を高める必要がある。そのため自社を不正使用の損害から守るため、セキュリティコードや3Dセキュアを導入することになる。

前述のAmazonや楽天は、その資本力により、独自の手法にて不正使用を防止しているため、「カゴ落ち」が懸念されるような現在の本人認証のシステムを導入していない。

カード情報不正入手の手段の変化

前述の通り、セキュリティコードは、カード情報の不正な入手の手段として、スキミングが全盛だった時代に効力を持っていた手法である。

しかし、不正な買い物を防止するため本人認証の強化にセキュリティコードを導入する加盟店が増加するにつれ、セキュリティコードが機能しなくなる状況が発生している。昨今では、不正なカード情報の入手は、大半がECサイトなどインターネット加盟店からの流出が原因となっている。機能不全は、この手口の変化が関係していると言う。

「問題は、不正アクセスによるカード情報流出事件が起きた際にセキュリティコードまで流出しているケースが多数あることです」と、fjコンサルティング、瀬田陽介CEOは指摘する。セキュリティコードがPANや有効期限と一緒に加盟店のサイトから流出してしまえば、せっかく磁気ストライプにそのコードを含めないというセキュリティ措置も台無しになってしまう。

この問題に対応するため、カード情報保護のための国際的な基準であるPCI DSSでは、セキュリティコードに対しては、一定のセキュリティ要件を満たせば保存することが許可されているPANや有効期限とは異なる対応を求めている。セキュリティコードなどのセンシティブ認証データは、加盟店のみならず決済代行事業者も処理後に直ちに削除することが求められており、保存すること自体が禁止されている。また国際ブランドも、センシティブ認証データを保存している加盟店と契約しているカード会社(アクワイアラ)にペナルティを課すなど、厳しく対応している。

保存されないセキュリティコードが盗まれる理由

しかしながら、2016年に発生した加盟店からのカード情報流出事件の約3分の1でセキュリティコードが侵害されている事実がある。「この要因のひとつとして、「バックドア」を使った不正アクセスが増えてきていることが挙げられます。加盟店のWebサーバやアプリケーションサーバの脆弱性を突きマルウェア(バックドア)を仕掛け、正規の決済処理の通信を悪意のあるサイトに送信するという手法です。この場合は、加盟店側のサイトでセキュリティコードを保存していなかったとしても、決済処理の過程で外部に送信されるため、PANや有効期限と一緒に情報流出してしまいます」(瀬田氏)

しかし、数万件という大規模でセキュリティコードがPANや有効期限と合わせて流出しているケースでは、サイト内にセキュリティコードが保存されている、またはアプリケーションログなどに不作為に保存されている場合が多いと言う。

時代にあった認証方式を

前述のAmazonや楽天のようにセキュリティコード以外の手段で不正対策を講じられればよいが、中小規模のECサイトでは、独自の安全対策に限界がある。また携帯電話やケーブルテレビなど継続課金では、国際ブランドやPCI DSSの要求通りにセキュリティコードを保存をしないようにすると、利用者は毎回セキュリティコードを入力しなければならない。そのため加盟店側には、毎月の継続決済の処理が滞ったり、場合によっては契約の更新率が低下してしまう懸念もある。アクワイアラがチャージバックを抑制するためにセキュリティコードの入力を必須化すればするほど、継続決済のために、ますます加盟店や決済代行事業者側でセキュリティコードが保存されるケースが増えていきかねないのだ。
 
「インターネットの取引が増加する中で、セキュリティコード以外の本人認証手段として開発されたのが3Dセキュアです」(瀬田氏)。しかしそのユーザビリティの悪さから、現行バージョンはほとんど普及していないと言う。( 世界を変える「ペイメントテック」(3) 「3Dセキュア2.0」でカード不正使用を駆逐できるか

現在、次期バージョンである3Dセキュア2.0が導入段階に入っている。新バージョンは、携帯電話のSMSなどよるワンタイムパスワードを使用し、また3Dセキュア認証サーバ自体にリスクベースで認証の要否を判定する機能を持つ。ワンタイムパスワードによりユーザビリティも向上する。加盟店側も本人認証が強化され、優良な顧客には毎回そのワンタイムパスワードの要求すらいらなくなると期待している。なりすましによる不正な買い物を防ぐためには、既に時代遅れになった認証手段に頼らず、時代に合った方式にいち早く移行していくことが求められる。




ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…