三井住友カード

 国内で初めてネットショッピング認証サービスにデバイス認証を導入
導入後2カ月で3-D セキュアでの不正取引を半数に削減

 三井住友カードは、2017年11月13日より、Visa の「VISA 認証サービス(Verified by Visa)」および、Mastercard が提供する「Mastercard SecureCord」にデバイス認証機能を導入した。インターネット取引におけるなりすまし等による不正使用が増える中、導入直後からデバイス認証に必要となる情報を取得して不正判定を行うことで、高い成果を生んでいる。 

不正使用の手法は多様化・高度化
デバイス情報による異常なカード利用(機械的な攻撃)を抑制

 

クレジットカード取引における不正使用の手法は多様化・高度化しており、近年は非対面取引の不正が急増している。三井住友カードにおいても、日本クレジット協会の公表数値と同じ動きで不正が増加している。

三井住友カード セキュリティー管理部 副部長 田添裕嗣氏、 同部 部長代理 田中啓介氏、同部 グループマネージャー 植木晋也氏

同社ではIDとパスワードの盗用に対抗するため、ソフトウェア型のワンタイムパスワード認証を導入。3-Dセキュアの登録率は他のイシュア(カード発行会社)と比較して高い率となっているが、増加している異常なカード利用(機械的な攻撃)への対処が求められたという。

 

三井住友カード セキュリティー管理部 部長代理 田中啓介氏は、「この1~2年で不正を取り巻く環境が急変し、特に異常なカード利用(機械的な攻撃)が増えています」と話す。同社ではその対策として、2017年11月から、クレジットカード利用者がネットショッピング時に使用する機器のデバイス情報と、クレジットカード決済の取引情報から、不正使用のリスク度合いをオンラインかつリアルタイムで判定する「CAFIS Brain」を国内カード会社で初めて採用した。

 

「スマートフォンやPC等の端末情報等を活用することで、今までは見抜けなかった不正使用を見抜けるようになりました。同じデバイスにおける異常なカード利用(機械的な攻撃)や、過去に不正使用があったデバイスからのカード利用、海外からの不審なカード利用等を防ぎ、従来のオーソリ情報のみでの不正検知システムと比べ格段に精度の高い不正検知を実現しています」(田中氏)

リスクベース認証のイメージ(出典:NTT データ)

2年前の実験より5~6倍の成果
海外からの異常なカード利用(機械的な攻撃)が約9割

 

三井住友カードではNTTデータと協力し、2015年よりクレジットカード取引環境におけるリスクベース認証のトライアル検証を実施。田中氏は、「異常なカード利用(機械的な攻撃)が少なかった当時も効果が出ていましたので、不正使用を取り巻く環境が変化した今ではそれ以上の成果が出ると考え、採用を決定しました」と語り、笑顔を見せる。前述のワンタイムパスワード認証の責任者である同部 グループマネージャー 植木晋也氏も「導入後短期間で3-Dセキュアを経由した取引での不正使用被害は半数ほどに落ちています」と口にする。

 

今回の導入により、9割方の不正は同じ端末からほぼ毎日、数分おきに機械的に複数の番号を入れて悪用を働こうとしていたことが判明した。また、それらの悪用は海外からが多い。中には、IPアドレスを踏み台にしての不正もあるが、「CAFIS Brain」 のベースとなるExperian(エクスペリアン)の不正判定エンジン「FraudNet」は仮に加工されてもログを特殊な技術で見抜くことが可能だ。

 

今回、加盟店向けに提供されていたデバイス認証をカード会社が導入することは国内初の取り組みであったため、導入する際の微調整が非常に難しく、時間をかけて対応した。今後の課題は、さらなる不正検知精度向上。不正使用のデータを蓄積・分析し、発展途上にあるルールの精度向上に注力し、現在見抜けていない不正使用抑止をすることだ。

 

5年間かかる費用を半年で回収
3-Dセキュア2.0への対応を進める

 

田中氏は、「導入にコストはかかりますが、半年で回収できる実感があります。3-Dセキュアは2019 年初頭より、デバイス認証の概念を標準装備する2.0へ 移行する計画ですが、そこに向けたノウハウを蓄積していきたいですね」と意気込む。3-Dセキュア2.0については、国際ブランドのスケジュール通りにACS対応を進めていきたいとした。

 

同部 副部長 田添裕嗣氏は、「現行の3-Dセキュアに比べ、明らかに判断材料がリッチになりますので、他社でも導入が進めば効果が出るのは目に見えています。また、その効果は、カード会社、加盟店もおわかりになっています。すでにデバイス認証を行われている加盟店もありますが、その効果を伺っても前時代的なオーソリ情報以外を判断材料にするのは自明の理であると感じています。クレジット取引セキュリティ対策協議会が策定している実行計画では、インターネット取引の不正使用対策について多面的・重層的な対応を求めるとしていますが、3-Dセキュアを介したデバイス認証は決め手になる資質があります」と期待を寄せた。

注目サービス

GOLD

大日本印刷株式会社

 データを“使える”かたちに変換し、根拠に基づく施策を立案・実行
クライアントに“成果”を提供する「決済連動マーケティングサービス」 

NTTデータ

 決済をコアに加盟店の売上向上を支援するソリューションを全方位で提供
スマホ決済をキーに日本のキャッシュレス化を強力に推進する「CAFIS」

大日本印刷株式会社

 「DNPマルチペイメントサービス」がICクレジット、汎用電子マネー、共通ポイントに対応
新端末の提供と、IoSTプラットフォームとの連携により、安心・便利に決済を行える環境の整備  

インコム・ジャパン

 主要なモバイルバーコード決済を支えるインコム・ジャパンの強みとは? 
インバウンド・国内の接続先は今後も増加し、加盟店の販促もサポート

インコム・ジャパン/LINE Pay

 「LINE Pay」が本格的な普及に向け、加盟店開拓のパートナーとしてインコム・ジャパンと提携
加盟店のPOSレジで「LINE Pay」決済を実現させるネットワークを構築 

ツルハホールディングス

 POSA技術を使ってモバイルバーコード決済「LINE Pay」「WeChat Pay」を全店舗で導入
短期間、低コストでPOSの大幅な改修なくスピーディーな決済と安定した運用を実現 

SILVER

Mastercard

寺岡精工

 クラウド型マルチ決済サービス「Payoss(ペイオス)」の導入が加速
POSレジ、決済端末、ゲートウェイセンターの機能を一括提供 

ビザ・ワールドワイド

 世界で広がるVisaの非接触決済、日本での普及が進む
「Visaトークンサービス」、「3-Dセキュア2.0」でセキュリティも強化

BRONZE

東芝テック

 クレジットカード決済を内回りで安全に処理する「CR-7000決済クラウドサービス」
PCI DSSとPA-DSSに準拠したサービスとしてさまざまな流通小売業、飲食店に提供 

日本経済新聞社

 「リテールテックJAPAN」「SECURITY SHOW」出展申し込み受付開始

GMOメディア

 企業のポイントサイト構築から運用までを支援する「ポイントCRM」を提供
「ポイントタウン」の運営ノウハウを活かし、既に大手共通ポイント2社で採用 

フライトシステムコンサルティング

主要なすべての決済に1台で対応する据置型マルチ決済端末「Incredist Trinity(インクレディスト・トリニティー)」
モバイル決済のパイオニアが2020年に向け国内の据置型決済を強力にサポート