3D セキュア 2.0 だけではクレジットカードの不正利用を防ぎ切れない理由

Payments
Payments

成長中のスタートアップからグローバル企業まで、あらゆるビジネスに対応できる決済ソリューションを利用して、オンライン決済、対面支払いなど、世界中のあらゆる場所で決済を受け付けます。

もっと知る 
  1. はじめに
  2. 日本でのクレジットカード不正利用被害額
  3. 3D セキュア 2.0 だけでは不正利用を完全に防げない理由
    1. 進化する不正手口に対しリスクベース認証は完璧ではない
    2. 携帯電話を盗まれると認証は簡単に突破される
  4. クレジットカードが不正利用された場合は EC 加盟店が負担
  5. 3D セキュア以外の不正防止対策
    1. セキュリティコード
    2. 不正検知システム
  6. 不正の現状を把握し発生原因を明確にすることが大切

EC サイト市場が拡大し、オンラインショッピングがより一般的となっている今日、クレジットカードの不正利用は年々増加傾向にあります。そんな中で経済産業省は、2025 年 (令和 7 年) の 3 月末を目処として 3D セキュア 2.0 (EMV 3D セキュア) の導入を必須とすることを発表しました。これにより、すべての EC 加盟店を対象に、導入に向けた早急な対応が求められます。

3D セキュア 2.0 は従来の 3D セキュア 1.0 と比べ、認証方法や特徴などについていくつかの改善点が見られます。しかし、3D セキュア 2.0 を導入するだけでは不正利用を完全に防ぐことは難しいと考えられています。そのため、顧客に安心して EC サイトを利用してもらうためには、その他のセキュリティ対策を講じる必要があります。

本記事では、日本国内で発生するクレジットカードの不正利用の現状、3D セキュアだけでは不正利用に対応し切れない理由のほか、3D セキュア以外の不正防止対策について解説します。

目次

  • 日本でのクレジットカード不正利用被害額
  • 3D セキュア 2.0 だけでは不正利用を完全に防げない理由
  • クレジットカードが不正利用された場合は EC 加盟店が負担
  • 3D セキュア以外の不正防止対策
  • 不正の現状を把握し発生原因を明確にすることが大切

日本でのクレジットカード不正利用被害額

一般社団法人日本クレジット協会によると、2023 年 (令和 5 年) 1 月から 12 月に発生した不正利用の被害額は、541 億円にも上りました。これは記録としては過去最高の被害額で、前年の 2022 年 (令和 4 年) の 436 億円をはるかに上回っています。このように、クレジットカードの被害額は毎年増加していることがうかがえますが、不正手口は年々複雑化・巧妙化しており、これらの不正利用を 100% 防ぐことは困難なことから、非常に重要な課題とされています。

2022 年から 2024 年上半期までのクレジットカードの不正利用による被害額 - クレジットカードの不正利用被害額は年々増加傾向にあり、2023 年に発生した不正利用の被害額は、過去最高の 541 億円にも上りました。

参考資料:
クレジットカードの不正利用被害の発生状況 (2024 年 9 月)
クレジットカードの不正利用被害の発生状況 (2023 年 12 月)

こうした背景の中、経済産業省によってセキュリティガイドラインが幾度か改訂されたのち、不正利用の防止に向けた基本的な対策として、すべての EC 加盟店を対象に 3D セキュア 2.0 の導入を義務化することが決定されました。この義務化によって日本における 3D セキュアの普及率の向上が期待されています。

3D セキュア 2.0 だけでは不正利用を完全に防げない理由

非対面のクレジットカード決済時に行われる 3D セキュア認証は、不正防止対策としてはある程度の効果があります。また、3D セキュア 2.0 の導入については現在、決済サービスプロバイダー (PSP) やカード会社による EC 加盟店に向けた働きかけも活発化していることもあり、着々と普及が進んでいます。しかし、3D セキュア 2.0 だけですべての不正利用の手口を確実に見抜けるというわけではありません。

3D セキュア 2.0 が不正利用を防ぎ切れない理由については、以下のとおりです。

進化する不正手口に対しリスクベース認証は完璧ではない

まず、注意点として、3D セキュア 2.0 の導入だけでは、不正利用への対応として不十分であるということを理解しておきましょう。

3D セキュア 2.0 は、3D セキュア 1.0 に代わって、より多くの不正利用を防止できることが期待されている認証システムです。しかし、故意に不正を働こうとする犯罪グループによる不正手口は常に進化しているため、遅かれ早かれなんらかの方法で認証を通過されてしまう可能性があります。

携帯電話を盗まれると認証は簡単に突破される

3D セキュア 2.0 は一見、認証システムとしては十分かと思われるかもしれません。

3D セキュア 2.0 では、3D セキュア 1.0 のように事前に登録した固有のパスワードを使用するのではなく、携帯電話やメールアドレスに送信されるワンタイムパスワードのような、一時的に有効なパスワード・コードを用いて認証が行われます。これにより、利用者はパスワードを記憶する必要がなく、毎回異なるパスワードやコードを使用するため、認証方法としての利便性と安全性が改善されました。

一方で、頭で記憶したパスワードを使用した「知識」ベース認証となる 3D セキュア 1.0 から、SMS やメールアドレスに届くパスワードを使用した「所持」ベース認証となる現行の 3D セキュア 2.0 に変わったことによるリスクについても注意が必要です。

たとえば、外出中に携帯電話の盗難被害に遭い、携帯電話のロックが突破されると、第三者によって簡単にワンタイムパスワードが確認できるため、既にログイン中のアプリからであればクレジットカード決済が自由自在に実行可能となってしまいます。

このような被害を避けるためにも、普段から持ち歩く所持品の安全については、日頃から注意を怠らないようにしましょう。また、外出中に不特定多数の人が集まる公の場で、EC サイトから商品を購入するのは、決済情報画面を盗み見られたり、クレジットカードの盗難などのトラブルが発生するリスクが高いため控えるようにしてください。

クレジットカードが不正利用された場合は EC 加盟店が負担

EC サイトを運営する事業者にとって最も深刻な懸念点の 1 つに、不正利用によるチャージバックが挙げられます。

チャージバックとは、クレジットカード保有者がクレジットカード決済に同意しなかった場合に、クレジットカード会社が決済を取り消して、カード保有者に返金する仕組みを指します。
たとえば、カード保有者にとって身に覚えのない取引が利用明細書に記載されていた際に、チャージバックを申し立てることができるほか、商品が届かなかったり、破損されていた場合にも意義申し立てが可能です。

このように、チャージバックは不正手口によるトラブル解決手段として、カード保有者を保護するための重要な位置付けにあります。

一方で、チャージバックが生じると、商品の販売元、すなわち EC 加盟店側は、クレジットカード会社に取引金額を返金しなければならず、チャージバックに伴う手数料を請求される場合もあります。さらに、発送済みの商品については、手元に戻ってくることはないため、チャージバックの発生は EC 加盟店にとって大きな損害を与える結果となってしまいます。

チャージバックが発生する最大の原因は、年々増加傾向にあるクレジットカードの不正利用です。前章にて解説したように、3D セキュア 2.0 は万能ではないため、3D セキュア 2.0 の導入だけで不正利用を完全に防止することはできません。したがって、チャージバックの発生をできるだけ抑えるには、3D セキュア 2.0 の導入に加え、第三者による「なりすまし」などの不正利用を防止するためのさまざまな対策を立てる必要があります。

3D セキュア以外の不正防止対策

セキュリティコード

セキュリティコードは、第三者によるクレジットカードの不正利用の防止を目的とし、チャージバックと同様にカード保有者を守る役割を担っています。EC サイトで商品を購入する際にクレジットカード決済を選ぶと、セキュリティコードの入力を求められることがよくあります。このセキュリティコードを入力することで、クレジットカードが手元にある状態で決済が行われていることを証明することができます。すなわち、間違えたセキュリティコードを入力した場合、決済は完了せず、取引は成立しません。

セキュリティコードはスキミング (カード番号・有効期限などを不正に取得する手口) の防止対策として導入されています。セキュリティコードはカード番号や有効期限と異なり、クレジットカードの磁気データには含まれていないため、たとえ氏名やカード番号、有効期限情報が盗まれたとしても、セキュリティコードが分からなければ不正利用は不可能となります。

しかし、セキュリティコードの入力は法律で義務付けられているわけではないため、セキュリティコードの入力なしで決済が完了できる EC サイトが多く存在しているのも事実です。また、セキュリティコードはスキミングによる不正利用を防ぐことはできたとしても、クレジットカードそのものが盗難によって第三者の手に渡り、セキュリティコード情報が知られてしまうと、本来の不正防止対策としての機能を果たせません。そのため、クレジットカードの取り扱いや管理については、利用者側はくれぐれも注意することはもちろん、事業者側も利用者の安全を保護するセキュリティ対策を実施することが重要です。

不正検知システム

顧客が安心して利用できる EC サイトを目指すには、3D セキュアのほか、不正検知システムを併用するとよいでしょう。不正検知システムなら、3D セキュアでは検証し切れない不正取引をより正確に検出し、自動的にブロックすることで、自社 EC サイトの被害をより効果的に防止することができます。また、不正検知システムの場合、カード保有者である正規の利用者は、追加で認証が求められるなどの余計な手続きを踏むことなく決済ができるため、3D セキュアによるカゴ落ちリスクの減少にもつながります。

このように、悪質な不正利用者を寄せ付けないためには、自社 EC サイトのセキュリティレベルを強化させることで、あらゆる不正手口に対処できるよう運営態勢を整え、利用者が安心して買い物を楽しめるサイト環境を構築することが大切です。

なお、Stripe が提供する独自の不正利用防止ツール、Stripe Radarでは、日々変化する不正利用のパターンに適応可能な機械学習によって、より高度な防止対策を図ることが可能です。また、不正検知システムの開発に時間やコストをかけることなく決済フローに組み込めるため、スムーズに利用を開始することができます。

不正の現状を把握し発生原因を明確にすることが大切

3D セキュア 2.0 の導入が義務化となり、EC 加盟店において導入が着実に行われている中、今後はさらに不正利用やチャージバックのリスクが軽減されることに期待が高まっています。しかし、3D セキュアは完璧ではなく、すべての不正利用を防ぐことはできないため、3D セキュアだけに頼らない不正防止策を講じる必要があります。

悪意ある不正集団による巧妙な手口に対処するには、まず不正が実際に起きているかどうかを確認することから始めましょう。不正を確認した際は、どのような注文内容や顧客層において不正が多発しているか現状を把握し、発生原因を徹底的に解明したうえで、不正利用を可能な限り防止するための対策をとるようにしてください。

Stripe では 3D セキュアの義務化にあたって、導入期限に準じた段階的な対応を現在進めており、先ほどご紹介した Stripe Radar のほか、データ暗号化 (SSL/TLS 技術) による不正アクセス防止など、個人情報・取引データのセキュリティ対策を徹底しています。

また、Stripe は、決済手段の導入をはじめとし、情報処理や収益管理など、決済業務の効率化を後押しするツール・機能を幅広くご用意しています。たとえば、現在 EC サイトの立ち上げを検討中の方は、オンライン決済ニーズに柔軟に対応可能な Stripe Payments を導入すると、j自社システム開発を行うことなく、事業スタイルに合った決済環境を整えることができます。

この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。
Payments

Payments

あらゆるビジネスに対応できる決済ソリューションを利用して、世界中のあらゆる場所でオンライン決済と対面決済を受け付けましょう。

Payments のドキュメント

Stripe の支払い API の導入方法について、ガイドをご覧ください。