年末年始にクレジットカードで買い物をしようと考えている人も多いだろうが、この機会に不正利用への対策などセキュリティについて、もう少し知ってみてはいかがだろうか。不正利用は自分の身に起きなければ、なかなか意識できないものだが、カード会社も不正利用を未然に防ぐため、さまざまな対策を講じている。
実際のところ、会員はどのように守られているのか。アメリカン・エキスプレスでフロードリスクマネジメント(不正利用対策など)を担当する朝比奈孝弘氏に、最新の不正利用やセキュリティ事情について教えてもらった。
-
アメリカン・エキスプレス・インターネショナルのフロードリスクマネジメントでマネージャーを務める朝比奈孝弘氏
不正利用のターゲットは加盟店から個人に変化
――クレジットカードの不正利用には、どのような種類がありますか?
朝比奈氏: 国内ではカードの盗難、カードの偽造、ネットでのカード番号盗用の3つが主流です。海外では郵便ポストをこじ開けられて、本人が受け取る前にカードを盗まれる、他人の名前で不正にカードを申し込まれるといった事例もあります。ただ、いまはネットでのカード番号盗用が全体の8~9割を占めています。
――ネットでの番号盗用は、何が原因で起きているんですか?
朝比奈氏: 5年ほど前までは通販サイトなどからの漏洩が主な原因のひとつとして捉えられていましたが、カード情報の取り扱いに関するガイドラインが徹底されてきたことで、大規模な漏洩は収まってきました。それに代わって起きているのが、カード会社や通販サイト、その他オンラインサービスになりすまして無差別にメールを送り、騙された人からカード情報を詐取するフィッシング攻撃で、ターゲットが加盟店から個人に変わってきているんです。
――フィッシングも通販サイトからの漏洩も、カード会社の立場からは防げないように感じますが、何か対策はあるのでしょうか?
朝比奈氏: どういうふうに注意していただけるか、関心を高めていかなければいけないと思っています。先ほども申し上げた通り、大手の加盟店さんではガイドラインを徹底していただくことで激減しました。残された中小の加盟店さんをどうするかは、どうメッセージを届けたら効果的なのか、他のクレジットカードも含め、業界全体で話し合われているところです。
――それはセキュリティ構築に予算をかけられないことが原因なんですか?
朝比奈氏: 予算というよりは、そこに人々の注意が向いていないのではないかなと思います。どうしてもごく一部の事件だと捉えて、自分たちの身に起こり得ると思っていない方が多いようなので。
――フィッシングに対しても、カード会社として何か対策はされているんですか?
朝比奈氏: こちらもお客様に危機意識を持っていただくために、「こういうのが流行っていますので、気をつけてください」と注意喚起のメールをお送りするなど、メッセージをお届けしているところです。やはり自分の身に起きないと、なかなかみなさん興味を持たれない。それは仕方ないとは思うのですが、アメリカン・エキスプレスはセキュリティの対応も誇っている部分ですので、こうした取材をきっかけに興味を持っていただけたらなと思っています。
――不正利用された場合は、会員に重大な過失がない限りは補償を受けられると思いますが、フィッシングに引っかかって不正利用された場合も、補償は受けられるのでしょうか?
朝比奈氏: アメリカン・エキスプレスでは、オンラインプロテクションサービスというものがありまして、万一、お客様カードがインターネット上で第三者によって不正利用されても、原則としてご利用金額をお支払いいただく必要はない、というポリシーを取っています。もちろんお客様にもきちんとした管理をしていただいているかどうかなど、状況を確認させていただく場合もございますが、いざ不正利用が発生した場合、お客様の立場を守るよう考えています。
――クレジットマスター(ソフトウェアなどで大量に生成したカード番号で決済を試みる不正利用)のような加盟店や会員が対策できない手口もありますが、アメックスではどんな対策をされているんですか?
朝比奈氏: まずはどこで起きているのか、きちんと把握すること。そして悪用された場合でも、決済できないようにシステムではねて、悪用者にとって便利ではない状況を作っていくことで、被害を抑えていくことが大事だなと思っています。そのためアメリカン・エキスプレスでは、AIなどの機械学習に関するテクノロジーの開発と、そのテクノロジーを駆使するデータ解析の専門家の育成には、世界全体で非常に注力しています。
――同じIPや端末から、何回も決済の申請が来たら自動的に弾くようなイメージでしょうか?
朝比奈氏: そういうことです。たとえば同じ加盟店から過去何時間に何十件と似たような番号帯で決済の申請が続くような場合は、そういう計測値を使って決済できないようにしています。
不正を疑われる利用はアプリ、メール、SMSで通知
――偽造カードについては被害が激減しているそうですが、カードやレジがICチップに対応したことが大きいのでしょうか?
朝比奈氏: そうですね。10年前は不正利用の6割以上が偽造カードによるものでしたが、2020年に向けて、海外からのインバウンド旅行客含め、多くの方をより安全な環境でお迎えしたい、という業界の熱意と運動、そして政府のサポートの後押しもあり、大手の加盟店さんは2020年4月までにIC対応のレジに置き換わりまして、それ以降は偽造カードの被害が激減しました。
――いまでも磁気ストライプで決済できる店は残っているんですか?
朝比奈氏: 一部のお店では、バックアップ機能として磁気の読み取りもできます。ただ、ICチップの入ったカードを磁気で決済しようとすると、システムではねることもできるので、うまくブロック機能が働くようにしています。
――実際に不正が疑われる取引を検知したときは、カード会社としてどういう対応をされているんですか?
朝比奈氏: システムが怪しいと判定したら、その決済を保留して、同時にお客様に通知を差し上げる体制になっています。
――その通知は、どのような方法で届くんですか?
朝比奈氏: いまはアプリ、メール、SMSの3種類で同時に、「本人の利用ですか?はい/いいえ」といった通知が届きます。もちろん、バックアップとして電話もできるようにしてあります。もし会員本人の利用で間違いなければ、ご返信いただければ、すぐにステータスをアップデートして、利用再開できるようになっています。
――万が一、それを通り抜けて決済が確定した場合は、どうなるんですか?
朝比奈氏: 後付けのスクリーニングもしているので、疑わしいものは必要に応じてお電話を差し上げています。それから、ご利用記録の通知を設定しておけば、決済ごとにアプリで通知が届くので、それを見ていただければ、毎月の明細が確定する前に、心当たりのない決済には気づいていただけると思います。
-
アプリを入れて設定をすると、決済が行わるたびにプッシュ通知が届く
――アメックスでは「疑わしきはチャージ(請求)しない」というポリシーがあるそうですが、どんな具体例がありますか?
朝比奈氏: たとえば東京にいた1時間後にニューヨークで決済されたとか、この時間内でこの距離の移動は無理だろうみたいなことはシステムで判定しています。それから利用パターンですね。それまでの利用履歴を踏まえて、不自然な利用があった場合は、検知し、お客様に確認するようになっています。
安全な利用では本人認証を省略
――ネットでの決済では、SafeKeyという本人認証サービスを使われていますが、改めてSafeKeyの役割を教えていただけますか?
朝比奈氏: (SafeKey対応加盟店では)決済に進む前の段階で、「ご本人の利用で間違いないでしょうか?」という確認を入れることで、セキュリティを高める仕組みになります。具体的にはアプリ、メール、SMSにワンタイムパスワードをお送りして、ご本人の確認をさせていただきます。
-
プッシュ通知による本人認証のイメージ
すべての決済で愚直にワンタイムパスワードを送るやり方も、ひとつの見識ではあるのですが、いまはそこから一歩進んだ「リスクベース認証」を導入しています。これは取引電文で届いた情報をもとに、本当に本人の利用なのかシステムで判定させる。たとえば、いつも使っている端末で、いつも使っているお店だったら問題なしと判断して、ワンタイムパスワードの確認を省略するんです。
SafeKeyのいいところは、従来の加盟店からの電文では得られなかった端末情報やデバイスの設定など、より多くの情報をもとに、多角的にリスク判定をするようになったことなんです。これによって判断の精度が上がって、悪用を見つけやすくなり、逆に安全な取引も見つけやすくなります。もちろん不正利用よりも正常な利用のほうが割合としては大きいので、正常な利用の場合は素早く決済できるようにすることで、お客様の利便性を向上させることができるんです。
――ワンタイムパスワードの入力がなかったからといって、セキュリティが低いわけではないんですね。
朝比奈氏: そうですね。私も先日オンラインでチケットの購入を決済するときに、SafeKeyの画面が表示されたのですが、そのままパスワード入力なく決済が完了しました。それは過去に利用歴もあるし、利用パターンとしてもおかしくないとシステムが判断して、余計な手間をスキップしてくれたという形なんです。
――SafeKeyに対応していない加盟店もあると思いますが、何が原因なのでしょうか?
朝比奈氏:既存の登録に加えて新たなシステムを導入していただくわけですから、やはり初めのハードルは少し高いのかもしれません。ただ、この点については私たちも導入からしっかりサポートさせていただきますし、またSafeKeyに対応していただければ、より多くのデータでカード会員様のみならず加盟店様の取引も効果的にモニターしてお守りすることができるため、安心してお取り引きいただけるのではないかと思います。
――インターネットではセキュリティコードを入力して支払いをするサイトもありますが、SafeKeyとは別物なんですか?
朝比奈氏: そうですね。SafeKeyとは別物という認識で、必須条件ではありませんが、一定の抑止力は働きます。先ほどの話ですと、昔からあるクレジットマスターなどには有効だと言われています。
――他社のカードはセキュリティコードが裏面に3桁で記載されていますが、なぜアメックスは表面4桁の記載なんですか?
朝比奈氏: セキュリティコード自体は通信販売という業種が誕生する前からあったもので、偽造変造対策として、電話でカードの有効性をチェックするときに聞いていました。だから表面の目立つところに印刷していたんです。
いまは時代が変わって、通販サイトで「セキュリティコードは裏面の3桁を入力してください」と書かれることも多いので、我々もカード裏面のサインパネルのところに3桁の数字を入れるようになりました。だから表面の4桁でも、裏面の3桁でも、どちらを入力しても決済できるようになっています。
-
(左)「アメリカン・エキスプレス・カード」はカード表面に4桁のセキュリティコード(7997の部分)が記載されている。(右)カード裏面の見本画像。実際はサインパネル右上の赤枠部分に3桁のセキュリティコードが記載されている。
――そうだったんですね。最後にユーザーが不正利用の被害に遭わないように、気をつけるべきことを教えていただけますか?
朝比奈氏: いまは個人がターゲットに変わってきているので、くれぐれもフィッシングメールには気をつけていただきたいです。慌ててログインしたり、カード番号を入れたりする前に、よく文章の内容を見返していただくと、気づかれると思うんです。不必要に煽ったり、不安にさせたり、急がせる内容に必ずなっているので、少しでも「おや?」と感じたらアクセスしないことです。
ただ、そう言い続けてはいるのですが、それでも被害に遭う方がいらっしゃいます。それだけ手口も巧妙になってきているので、より細かいところに注意していただく必要があると思います。不安な方はメールのリンクからはカード会社のサイトにアクセスしないようにして、直接カード会社のサイトにアクセスしてからログインすると安全だと思います。これはクレジットカードだけでなく、オンラインバンキングや通販サイトからのメールにも同じように有効な対策でしょう。
