日本クレジット協会(JCA)と日本クレジットカード協会(JCCA)は14日、インターネット上のクレジットカード不正使用対策として、本人認証強化などの新たなガイドラインを制定したと発表した。
インターネット上でクレジットカードを使用する場合、カード番号と有効期限だけで、取り引きが成立し、決済される仕組みだ。そのためカード番号と有効期限が盗まれると、カードの所有者になりすまして不正利用されるおそれがある。新ガイドラインでは、2011年3月から、新たにネット上でカード決済を行う場合には、従来のカード番号と有効期限に加え、「セキュリティコード」と「3Dセキュア」による本人認証を行うとしている。<br
セキュリティコードというのは、クレジットカードの裏面のサイン欄の上に記載された3桁の数字。3Dセキュアは、利用者があらかじめカード会社にパスワードを登録しておき、カード利用時にそのパスワードで本人であることを確認する仕組みのことだ。セキュリティコードとパスワードがわからなければ、盗んだカード番号と有効期限だけでは悪用できない。カードの持ち主本人しか知りえない秘密情報チェックで、不正使用の抑止をはかるわけだ。
セキュリティコードも3Dセキュアも、目新しい方法ではない。両協会はインターネット加盟店売上高上位100店、不正使用多発加盟店に対し、セキュリティコードおよび3Dセキュア導入を推進し、ゲーム業界に対しては必須化を実施してきたという。しかし現実には、いまだにカード番号と有効期限のみで決済が完了するインターネット加盟店が大半を占め、不正使用被害も増加しているという。このような不正使用により詐取された金は反社会的勢力の資金源になっているおそれもあることから、ネット上のカード不正使用を「社会的リスク」と認識し、セキュリティコードと3Dセキュアによる本人認証強化を図ることにしたとしている。
■強化策実行で懸念される「補償されない被害」の増加
このような強化策が導入されても、利用者は決して油断できない。カード番号と有効期限だけで決済されるのはシステム上の欠陥ともいえるため、これまでは不正使用の被害にあっても、ほとんどの被害が補償されていた。だが、本人認証付きの場合には対象外になっていることが少なくない。クレジットカード情報を狙ったフィッシングは、個人情報を全部入力させて根こそこそぎ持っていくので、セキュリティコードと3Dセキュアも盗まれるおそれがある。本人認証の徹底が進むと、こうして「補償されない被害」が増える可能性も否定できない。
また、新ガイドラインは「新規インターネット加盟店」向けであり、既存の加盟店に対しては段階的に対応していくとしている。当面は既存店のほうが多数なので、リスクは残留したままだ。ユーザー側の自己防衛は今後も必須である。
(2010/12/22 ネットセキュリティニュース)
【関連URL】
・「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン」の制定について(JCCA)
http://www.jcca-office.gr.jp/topics/topics_22.html
・「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン」の制定について[PDF](JCA)
http://www.j-credit.or.jp/download/101215_news.pdf
・新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン[PDF](JCCA)
http://www.jcca-office.gr.jp/up/file/%E3%82%AC%E3%82%A4%E3%83%89%E3%83%A9%E3%82%A4%E3%83%B3.pdf