国際カードブランドのVisaが、韓国・ソウルにおいて「Visa Security Summit 2017」を開催した。クレジットカードを中心としたセキュリティに関するイベントで、その2日目の模様が報道関係者向けにも公開された。同イベントはVisaが毎年開催しており、今年で13回目。韓国における開催は初めてで、467人が参加したという。基調講演として同社のChief Risk Officerとしてセキュリティ部門のトップであるEllen Richey氏が登壇した。

Visa Chief Risk Officer , Ellen Richey氏

フィンテックはサイバー攻撃の温床に?

Richey氏は、現在の決済市場において「3つのトレンドがある」と話す。その1つがフィンテックで、新規参入者が増加したもののサイバー攻撃を行う犯罪者にってみれば「攻撃できるサーバーが増えた」とRichey氏は指摘する。この状況を「世界がデータに溺れている」とRichey氏は表現。大量のデータが作られたことで、「マシンラーニングで消費者の行動を真似てなりすます」といった新たな攻撃が生まれるが、逆にこの大量のデータがセキュリティのためのソリューションに繋がるとRichey氏は語る。

クレジットカードの歴史は、不正利用対策の歴史でもある。60年もの間にさまざまな技術を導入し、1993年から2016年までの統計で不正利用率は2/3まで減少させてきた。また、1万円の決済ボリュームのうちの不正金額を示す「Basis Point」は6.9程度まで下がっている。

詐欺被害の割合は減少しているが、個人情報流出が大幅に増加している

ところが、「2004年あたりから、大量のデータ流出の兆しが見え始めた」とRichey氏。2004年から2017年までに、20億件におよぶ個人データが流出した結果、不正利用率の減少が止まってしまった。15年から16年の1年に至っては、この不正利用率がわずかに上がってしまったそうだ。

これに対抗するため、ICチップ(EMV)を採用した新しいカードが投入された。グローバルでEMV化が進んでいるものの、最大の消費国である米国ではEMV化がまだ完了していない。ただ、「米国は前例のないスピードでチップ導入が進んでいる」(Richey氏)とのことで、EMV対応の決済端末は直近で200万台まで増加したという。また、米国のトランザクションの42%がチップ経由となっており、ライアビリティシフト以降はカードの偽造率が58%下がったそうだ。

EMV化が急速に進む米国の状況。発行されたVisaのICチップ搭載カードは4億2100万枚で、17年3月にはカード全体の58%、決済量の89%を占める。対応する決済端末は200万台で全体の44%でトランザクションは10億件、全体の42%となった。16年12月と前年同月比で偽造被害が58%減少したそうだ

これまで、国や地域のEMV化が一定以上になると、別のEMV化が遅れた国に偽造の手が伸びていた。欧州がほぼEMV化したあとは、最大の消費国である米国がEMV化しておらず、そこが狙われた。例えば2015年時点では、偽造カード被害の79%を米国が占めていたという。

しかし、米国のEMV化が急速に進展したことで、次の攻撃の動向が問題となる。「チップの採用には副作用もある」(Richey氏)というその一例が「非対面」、つまりオンラインでの攻撃の拡大だ。カードの偽造が困難になったことで、攻撃者はオンライン攻撃に移行している。

「最大の偽造カード大国だった米国が(チップに)移行したことで、ますます犯罪高度化、非対面が進行している」とRichey氏は話し、「これまでで最大の嵐の中に入ろうとしている」と警告する。

今後5年間で不正が125%増えるとの調査もあり、さらにカードの拒否率も上がっている。こうした状況は「利用率が下がってしまうため、良いことではない」(Richey氏)。利用者にとってはセキュリティと同様に利便性も大事であり、単にセキュリティを強化して使い勝手を悪くするわけにはいかない。

米国カード偽造被害を2006年と2016年で比べると、CNP(非対面取引)が大幅に増加。昨夏から偽造カード被害全体では減少傾向にあり、CNPも横ばいだという。ただし、「今のところは」とRichey氏

そのため、「ソリューションで嵐を切り抜けなければならない」とRichey氏。業界として網羅的な対策が必要と唱え、脆弱なシステムの改善とともに、PCI DSSのようなセキュリティへの取り組みと、「データの無価値化を図ることが重要」と強調する。

Apple PayやAndroid Payが切り開いた「トークン化」

それがApple PayやAndroid Payなどでも使われているトークン化の技術だ。トークン化によって流通するカード番号がトークンとなって無価値化するため、盗まれても悪用されなくなる。