EMVチップ採用でカード詐欺の被害数70%減少(VISA調べ)。

f:id:nanashi0x:20180224165112p:plain

www.darkreading.com

オンラインショッピングを利用する機会が増えてきた事で、クレジットカード情報の盗み取りを狙うクラッカーも増えている。

ダークウェブでは盗み取られたクレジットカード番号が、持ち主の名前とPINコードと共に販売されている事態だ。

私の知人が中国に留学した際に現金のみを使うことを心がけていたのにも関わらず、空港で大きなお金を払わねばならず、仕方なくクレジットカードを使用した事があった。

その時は問題なく使えたのだが、後でクレジットカード支払い履歴を見たら、見覚えのない支払いが発生していた事が判明したようだ。

その人は直ちにカード会社に連絡して払い戻しを行なったようだが、クレジットカード会社からしてみれば、カード番号を盗み取った何者かに対してお金を渡したようなものである。

そうした被害を食い止めるために、クレジットカード会社としてもクレジットカードのセキュリティを向上する必要がある。

数多くあるセキュリティ向上のためのアプローチの1つとして、EMVチップ搭載のカードに関してVISAが面白いデータを公表していたので、掘り下げていきたい。

EMVカードとは

EMVとは、クレジットカードに付帯している金色のチップの事。

EMVという名前は、Europay、MasterCard、VISAの三社が統一基準として開発し、他のカード会社へも業界スタンダードとして普及している。

日本では、ICチップという呼び名のほうが一般的かもしれない。

f:id:nanashi0x:20180224164826j:plain

 

POSに代わってiPadを使用したカード決済システムを小売店などに提供しているSquareのホームページに、EMVに関して説明する以下のような動画があったので、参考にするといいだろう。

 

EMVカードが開発された背景

元々はカード裏面上部に磁気ストライプがあり、専用の読取機でカードをスワイプする事で支払い手続きを行うことが出来た。

だが磁気ストライプはセキュリティ面で不安があった。

なぜなら磁気ストライプはカセットテープに用いられていた技術であり、カードのスキミングとして知られる手法で簡単にデータの読み取り、カードの複製を行うことが出来たからだ。

カードの持ち主にとって身の覚えのない不正利用が遭った場合、持ち主に対して金額の補填をするのがカード会社である。

つまりカード会社としても、スキミングされにくく、支払い処理が盗聴されても読み取られる事のないカードを開発する必要があった。

そうした背景から、カード会社同士で統一した方法でセキュリティ面で磁気ストライプよりも安全なEMVチップ搭載型のカードを開発したのだ。

 

EMVカードの成果

VISAは、2015年9月から2017年12月までのEMVカードに関するデータを公開した。

以下にそれぞれのポイントに分けて説明していく。 

  • EMVカードに対応した店舗
    • 2015年9月時点でEMVカードに対応した店舗は、僅か392,000店舗にしか満たなかったが、2年後の2017年12月時点でおよそ2,700,000店舗に増加した。これは578%の増加率であり、アメリカ全土の59%もの店舗がEMVカード支払いに対応した。 
  • VISAのICカード普及について
    • 2015年9月におけるVISAカードEMVカード数はおよそ1,590,000だったが、2017年12月にはおよそ4,810,000に上昇。この内デビットカードの割合は全体の56%、クレジットカードは44%である。
  • カード詐欺の被害件数の減少について
    • EMVカード決済に対応した全ての店舗で、スキミング等の偽装カード被害の被害件数が2015年9月から2017年12月のおよそ二年間で、70%も減少した。

 

f:id:nanashi0x:20180224164608p:plain

 

EMVカード情報を盗み取る事は可能か

上記のセクションでは、VISAの公表したデータに基いて、EMVカードの安全性について述べたが、EMVカードのエクスプロイト方法は報告されている。

2016年にアメリカ、ネヴァダ州のLas Vegasで開催されたBlack Hat Conferenceで、Tod Beardsley氏がエクスプロイト手法を公表した。

f:id:nanashi0x:20180224164657p:plain

Beardsley氏の方法は、EMVカード読み取り機能を備えたATMに対してRaspberryPiを使用して中間者攻撃を行い、EMVカードのPIN情報を盗聴する。

エクスプロイト手法に関する技術的な詳細に関しては、彼がBlackHat USA2016で使用したスライドが参考になる。

このようなEMVカードの情報抜き取りは、既に南アメリカ等の観光客が集まる所で被害が確認されているようだ。

同時に、Beardsley氏はEMVチップに関して「磁気ストライプよりはセキュリティが向上している」と示唆。

そうしたBeardsley氏のコメントに沿って言えば、前セクションにおけるVISAが公表したEMVカードの普及に伴うカード詐欺被害件数の減少を、大きな成果として捉えていいだろう。

 

日本のクレジットカード普及に関する目標、所感

日本としては、2020年の東京オリンピック開催年に向けて「世界で最もクレジットカード利用が安心・安全な国 日本」を実現しようとしているようだ。

経済産業省が公開した「クレジットカード決済の健全な発展に向けた研究会 中間報告書」によれば、2020年のオリンピックまでに流通しているクレジットカードの100%をICカード化する目標がを掲げている。

支払いの度にクレジットカードで決済を行うことで自動で為替計算を行なってくれるクレジットカードは便利である。

両替手数料のかかる現金を一切持ち歩かずに、クレジットカードのみ使いたい外国人観光客は多い事は言うまでもない。

途上国などでクレジットカードを使用してスキミング被害に遭った知人がいたが、私も個人的に外国でクレジットカードを使う場合には慎重にならざるを得ない。

現状では、日本では未だにクレジットカード決済に対応していない店が大多数を占めるので、ICカードの普及に合わせて急ピッチで整備を進められるだろう。

クレジットカード決済に対応した店舗が次々に生まれて暮らしが便利になるのは1ユーザーとして非常にありがたい事である。

が、それと同時にセキュリティ面に不安があると観光客の足も遠のく自体は避けねばならないと思う。

2020年まで後2年を切っているのだから、EMVチップ読み取り機能を搭載した決済端末を急ピッチで進めて貰いたい。