enterPAYment

Menu

Mastercard、最新の国際的な不正利用、セキュリティ対策の動向について(下)

2019年5月15日8:00

■Mastecard

グローバルでMastercardコンタクトレスを推進

海外のコンタクトレスの普及状況ですが、マスタカードは“アンテナマーク”が目印となります。日本では、カード会社や他ブランドのおかげもあり進んできています。コンタクトレスですが、カードにアンテナが必要であり製造コストが高くなりますが、海外では必須となっている国もあります。チップだけで決済できますので、時計やリストバンドでも支払いが可能です。

なお、マスタカードカード券面のロゴも変わり、オレンジと黄色で表示されていた文字がなくなります。今後は、デジタル化して小さな表示が増えると予想されるためです。また、裏面のサインパネルがなくなる動きも一部加盟店では広がっています。

不正対策としてICチップは偽造されにくいですが、海外ではチップごと取り外して、悪用される事例も出てきています。そこで、チップメーカーもコンタクトレスプレートとして、1枚のプレートにチップとアンテナを埋め込んでしまい、そこから加工することで、不正を防止する製品が出ています。国内の事例はまだですが、チップがプレートの中に入っており、券面に隠すことができるため、チップが出ていない状態でコンタクトレス決済が可能です。

端末では、海外の場合、汎用的な端末で接触、コンタクトレス、マグストライプに対応できます。近年では、PINで認証する代わりに指紋認証を行うバイオメトリクスカードもでていますが、利用者カードを抑えていないと本人認証できませんので、お店側からカードの接触部分を差し込んだ場合、使いずらいのが課題です。

コンタクトレスについては、Mastercardでは2018年10月から新規端末はコンタクトレスに対応する、2019年4月から発行するカードはコンタクトレスを付け、2023年までには全部の対応を完了するグローバルなロードマップが出ています。日本国内はその対象から除外しましたが、一番の理由は、日本ではFeliCaによる別のコンタクトレス決済が普及しているため、その推進を妨げないようにしています。ただ、このロードマップに沿った形で対応していただいている日本のカード会社や加盟店も多いです。

海外での普及状況として、チェコなどの北欧、カナダやオーストラリアは50%以上のトランザクションがコンタクトレス取引になっています。たとえば、オーストラリアはチップからコンタクトレスへの移行が進んでおり、8~9割がコンタクトレスになっています。イギリスやイタリアは、4分の1から半分くらいになっています。シンガポールでは接触取引が多いですが、コンタクトレスが伸びています。米国も普及が遅れていましたが、相当な勢いでコンタクトレス決済が増えており、交通分野が影響しています。日本、南米やアフリカや東南アジアは10%以下ですが、この状況を変えていきたいです

2016年からの経年でみると、マグストライプは減っていますが、依然として接触取引が多く、2017年からコンタクトレスの取引が増えています。政府が掲げている「実行計画」ではコンタクトレスには触れられていませんが、マスタカードではチップ化、コンタクトレスも推奨しています。

インターネット取引ではスマートオーセンティフィケーションに

サイバーセキュリティでは、インターネット取引の認証を強化しています。マスタカードでは、3-Dセキュアとして「SecureCode」を推進していますが、固定のパスワードは廃止になり「ID Check」となります。政府の実行計画でもインターネット取引のパスワード認証を推進していますが、加盟店からするとかご落ちが気になります。3-Dセキュア1.0から2.0になることで、仕組み的にかご落ちが生じにくく、不正の疑いのある取引のみにフラグが立つスマートオーセンティフィケーションを考えています。ACS(アクセスコントロールサーバー)ベンダーでのスコアリングを活用して、同じ会員が同じ環境で買い物をするときに、都度認証は必要なく、端末や認証方法が変わったときに認証を行うのがスマートオーセンティフィケーションの考え方の一部です。

また、プレオーセンティフィケーションでは、IDとパスワードがセットで売買されるケースへの対策となります。情報漏洩の可能性のある情報はメンバーであれば提供していく予定です。

マスタカードでは、今後ホストの脆弱性をチェックするシナリオを準備します。セキュリティソリューションからサイバーインテリジェンスという形で幅広く対策をとっていく予定です。

▶▶前編へ戻る

※本内容は、2019年3月13日に開催された「ペイメントカード・セキュリティフォーラム2019」のMastercard サーバー&インテリジェンス(C&I) ソリューション ディレクター 丸山秀幸氏の講演に加筆を加え、紹介しております。