クレジットカード決済システム、みなさん導入されておりますでしょうか?
クリスマス、年末年始、忘年会、、、何かとお金を使う時期、みなさんのクレジットカードも大忙し。
そんな便利なクレジットカード、便利であるということはシステムが脆ければ他人も簡単に決済ができてしまう代物です。
少し前ですが、クレジットカードセキュリティの導入以後、動向をなんとなく追いかけているつもりなので、ECにおけるクレジットカードセキュリティのトレンドを集めてまいりました。
クレカ不正利用の被害額
まずはここから。
2021年は...330億円!!
と、記録されております。(衛星の開発費レベル)
開発者が把握しておきたいトレンド
そんな、莫大な被害額を抑えるための取り組みを、2025年(大阪万博の年)へ向けて打ち出された経済産業省のロードマップからピックアップします。
- ECサイトの脆弱性対応・不正利用防止対策(ECサイト構築ガイドライン策定・脆弱性診断(IPA))
- EC決済における不正利用対策・本人認証の強化:国内における3Dセキュア2.0の利用率の大幅な向上
ECサイト構築ガイドライン策定・脆弱性診断(IPA)
経済産業省の補助のもと、IPAが中小企業のECサイトの脆弱性診断を無償で行いますよーという取り組みでした。
しかし、募集は2022年4月20日に終了しておりました。。。無念
ぜひ機会があれば受けてみたかったですが、筆者は残念ながらこの取り組みに触れる機会はありませんでした。
中小企業向けですが、もし受けた方がいらっしゃいましたらぜひ感想をお聞かせください!!
3Dセキュア1.0 と 3Dセキュア2.0
もう一つ、こちらはEC開発者の方ならぜひ把握いただきたい内容です。
3Dセキュア1.0
(※2022年10月にサポートが終了しております。)
既に3Dセキュア1.0を導入していたシステムでは急ぎ対応を行ったのではないでしょうか。
パスワード認証を必ず挟むため、それなりに強度はあります。
しかし、普及率は10%程度だったようです。
なぜか
- パスワードそのものが盗まれてしまった場合に効果がなくなること
- ユーザーがパスワードを忘れてしまうと利用できなくなるため、ECサイトの売上が落ちる(カゴ落ち)
結論、コスパが悪かった ということです。
サポートが切れたということは、十分なセキュリティ対策として認められなくなりました。
今後、3Dセキュア1.0を利用したままで、クレジットカードの不正利用がある場合は、状況により運営会社から被害額の補填が行われるので要注意です。
開発者サイドからもアップデートを推進したいですね。
3Dセキュア2.0
こちらが、導入が推奨されている3Dセキュア2.0
どう変わった
- 多角的な本人認証により、利便性とセキュリティの両面が一新された
- カゴ落ちのリスクが軽減された
まだまだ導入されているところは少ない印象もありますが、ECでは速やかな導入が求められております。
ECから本人認証に必要な情報を付与し、イシュアがそのリスクを判断します。(ブラックボックス)
その際に、従来のパスワード入力を求められず、SMSを利用したワンタイム認証や生体認証を利用するため利便性も向上、結果的にユーザーフレンドリーで安全なサービス提供が実現できます。
導入コスト
元々3Dセキュア1.0を導入していた場合は比較的容易に移行ができる印象です。
ECを扱っている方はぜひ、クレジットカード決済システムで3Dセキュア2.0に対応しているのか、していなければいつ頃導入させるべきなのかこの機会にご検討ください。
最後に
クレカの不正利用にはくれぐれもお気をつけて、年明けの請求が楽しみですね^^
明日は @ymmt1089 さんの記事です!
お楽しみに!!
参考
クレジットカードシステムのセキュリティ対策の更なる強化に向けた方向性(クレジット・セキュリティ対策ビジョン2025)第1.1版
IPA HP 中小企業が運営するECサイト向け無償脆弱性診断の募集
DGFT HP 3Dセキュア 2.0(EMV3Dセキュア)への切替え進む!加盟店がすべき対応