コード決済におけるクレジットカード不正対策ガイドラインを策定（中）

総あたりだけではなかった

　このガイドラインのなかで、意外な事実が示された。「今般判明した不正利用においては、不正利用者がクレジットカード番号、有効期限のみならず、セキュリティコードをも不正に入手したうえでコード決済サービスを利用しているケースが多数であったことが判明」としている。

　不正利用されたのはPayPayシステムの穴をついて、当たるまでセキュリティコード入力を何度も繰り返す、通称「総あたり攻撃」が原因とされていたが、セキュリティコードが流出していたのであれば、システム問題もあまり関係なかったことになる。同ガイドラインでは、総あたり対策は施したうえで、セキュリティコードが流出している実態を踏まえた対策が必要としている。

なぜコード決済で不正利用されたのか

　コード決済で不正利用されたのは、過去に流出していたクレジットカード情報だという。不正者は情報を入手したまま潜伏し、コード決済の盛り上がりを見て、ここぞとばかりに不正利用したことになる。システム問題も関係なかったのであれば、なぜ不正利用者はコード決済を不正の舞台に選んだのか。協議会は同ガイドラインでその背景を以下のように推察している。

　小売店舗や飲食店で、カード券面をもって取引（以下、通常利用）する場合は、カード券面そのものがあることに加え、その取引性から不正利用がされにくいとしている。近年増えてきたネットショッピング（以下EC利用）などでのケースでは、商品を発送することから送り先の情報があるため、不正利用への抑止力となっているとしている。

　これに対しコード決済ではカード券面なしで、発送先を示すこともなく商品をもち帰れる。スマホのアカウント情報などに虚偽を登録していれば、逃げ切れるのだ。

不正登録を未然に防げなかった「なりすまし」

　犯罪者にとって、流出カードの不正利用に、コード決済が格好の舞台となったのはこれだけではない。カード盗難ではなく、情報のみの流出というのがポイントだ。

　カード券面そのものはカード名義人が保持しているので、不正利用の請求が届くまでカード名義人もカード事業者も気づかない。この手法は「なりすまし」と呼ばれ、ペイアプリに流出カード情報を登録してもそれを見抜けず、被害を受けて初めて不正であることが発覚する。「なりすまし」はEC利用が始まったことで生まれた不正手法であり、一度はこれを克服したのだが、それをさらに越えるべく「なりすまし」手法は進化した。

（つづく）
【吉田　誠】

流通メルマガのご案内

　流通メルマガは沖縄を除く九州地区の食品スーパー、ドラッグストア、ディスカウントストアなどの小売業の情報を、土日祝日を除く毎日タイムリーに配信しています。現在、１カ月間に限り、無料で配信させていただきます。無料試読希望者は、下記のメールフォームからお申し込み下さい。
※「流通メルマガ」試読申し込みフォームはコチラ >>