コロナ禍で拡大する非接触決済、Visaのセキュリティソリューションは?

ビザ・ワールドワイド・ジャパン(Visa)は6月3日、コロナ禍における取引環境の変化とそれに伴う不正、そして決済セキュリティの重要性について、オンライン説明会を開催した。

Visaの日本担当チーフリスクオフィサージョン・クロスリー

この日の説明会では、5月18日〜21日にVisaがアジア太平洋地域の顧客に向けて発表したプレゼンテーションから抜粋し解説が行われた。まずは、Visaで日本のマーケットにおけるセキュリティを統括しているチーフリスクオフィサーのジョン・クロスリー氏がコロナ禍におけるマーケットの変化について説明した。

コロナ禍における人々の消費行動・決済行動の変容

新型コロナウイルスの蔓延により、人々の生活様式は大きく変容し、それに伴って消費行動にも変化が起こっている。2020年6月にVisaが実施した調査によると、世界では安全面での懸念により78%が決済手段を変更しており、アメリカでは消費者の45%がオンラインショッピングを必要不可欠なものと考えているという。

消費行動の急激な変化

また、オーストラリア、ニュージーランド、シンガポール、台湾は対面決済における非接触決済の割合が75%を超えたとのこと。非接触決済の普及が感じられる数字ではないだろうか。eコマース市場はこれまでにないスピードで成長をみせており、キャッシュレス化の波はますます加速していくとみている。

実際、2020年10月～12月のVisaの非対面決済額は対前年比で30%超の成長を遂げている。これは過去最大の成長ではあるが、課題もある。一つは、不正利用に対応するデジタル決済システムの必要性だ。非対面決済における不正は2024年には274憶ドルにまで達するという見通しで、不正に対する対策は急務と言えるだろう。

また、オーソリ承認のレベルについても、対面決済ではオーソリ承認率が98%であるのに対し、非対面決済では80%ほどになっている。この差も改善していくべきだとした。そして、消費者はシンプルかつ信頼性のある決済方法を求めており、フリクションレスな方法に期待が高まっている。世界中のeコマースにおいて、カートに入れながらも購入されなかったといういわゆる"かご落ち率"は77.7%。このかご落ちを回避するためには、よりスマートな方法が必要になるだろう。

一方で、コロナ禍に関連する不正を管理する必要にも迫られているという。リモートワークなどの増加により、eコマースにおけるスキミング、ソーシャルエンジニアリング攻撃などは悪化傾向。Eメールなどによるフィッシング、友人や家族が関与するなりすましなども増えているという。業種としては、広告サービス、ホテルなどの宿泊施設、デジタルグッズやゲームなどの非対面取引で不正がよく発生しているという。

不正の手口の多様化・巧妙化

最近の日本発行カードにおける不正の傾向を分析してみると、対面取引では2020年4月～6月期において大きく減少がみられた。これはコロナ禍の要因もあるが、2020年3月までにIC化100%にする取り組みが行われており、それにより4月から不正が激減したと考えられているとした。しかしながら、非対面決済においては不正は増加傾向。デジタル化へとシフトしていく中で、注視していくべきは非対面決済であるとした。

不正に対する取り組みとして、カード提供側としては2021年までにカード番号ではなく機密情報を復元できないトークンを使ったトークナイゼーションに切り替えていく。2022年にはEMV 3DSの動的認証に対応、2023年には3DSの静的パスワードを廃止する予定だ。

日本におけるセキュリティの強化

加盟店側では、2021年に旧バージョンである3DS v1からEMV 3DSへの対応を進め、2022年には大規模登録型加盟店でのトークン対応を目指していく。

トークンへの切り替えを行うことで、万が一情報漏洩などが発生してもその情報を不正に利用される可能性を限りなく低くすることができる。今後も、不正に対するセキュリティの強化を段階的に進めていくとした。

不正の多様化とVisaのセキュリティソリューション

続いて、Visaデータソリューションズディレクターの田中俊一氏からセキュリティについて解説が行われた。

Visaのデータソリューションズディレクター田中俊一氏

近年、不正の手口は多様化かつ巧妙化している。BIN攻撃やなりすましなどのほか、通常はありえないような電文を送ることでエラーを発生させるロジックエラーやATMキャッシュアウト攻撃なども発生している。これらの不正に対抗するためには、トークン化の推進や、EMV 3DS ＆ VCASといったセキュリティ対策の強化が不可欠。このような複数の手口に対応できるソリューションをVisaでは用意している。

Visaによるセキュリティ対策の強化

また取引においては、あらゆる段階で不正の脅威にさらされる可能性がある。例えば、初期登録の際にはアプリケーション不正によるID詐欺、本人認証の際にはフィッシングやアカウントの乗っ取り、取引承認の際にはリスト型攻撃など、取引ライフサイクルのあらゆる段階が不正のターゲットになり得るという。

取引ライフサイクルのあらゆる段階が不正のターゲットに

ただ、これらすべてを厳重に対策することで、消費者の取引に負担がかかってしまうことは避けなければならない。Visaのツールは、不正の極小化と承認率の向上のバランスを取りながら、正しい取引を阻害してしまうことを減らし、消費者体験の改善にも努めているという。

Visaのツールにより承認精度を向上

Visa Advanced Authorization(VAA)は、複雑なリスク評価をシンプル化しており、そのスコアが高いほどリスクの高い取引だとしている。リスクスコアをリアルタイムで提示することで世界中のVisaカード取引の有効性を特定しており、VisaNet取引の分析により、年間約250億の不正被害を防止できている。その判定速度は1件の取引につき最大500のリスク取引属性の評価を約1ミリ秒で行えるという。また、ニュートラルネットワークや人工知能、機械学習を用いたクラウドベースの不正リスクモデルも活用している。

Visa Advanced Authorization(VAA) - 複雑なリスク評価をシンプル化

そしてVisa Risk Manager(VRM)というオーソリ判断を実現するツールを提供しており、こちらはVAAをウェブベースでアカウント管理やケースマネージャーなどといった管理機能と柔軟性を兼ね備えたものとなっている。

VAAとVRMを利用したオーソリ判断の高度化

また従来より使用されていた3Dセキュアもさらに強化が進められている。Visa Secureでは、本人認証プロセスを改善し、各種取引をリアルタイムで評価しており、高リスクの取引では必要に応じてステップアップ認証を実施している。

Visa Secureでリスクベースの本人認証を強化

リスクベースの本人認証によるVisa Secureの機能

さらにVisa Token Service(VTS)によってカード番号をトークン化することで、無価値化されセキュアな取引が実現される。

Visa Token Service(VTS)

トークンの取引では、オンラインのカード取引と比べ不正を平均26%抑制できるとし、Visaでは過去5年間で14億ものトークンを世界で発行、直近10カ月で20億を突破するなど普及が進んでいる。データを保護しながらも消費者側の手間が省かれており、今後の市場拡大において基盤となるシステムとなる。現在、193の国と地域で導入されているという。