3Dセキュアでカードの不正利用、チャージバック対策は可能？EMV 3-Dセキュアの特徴や弱点について

3Dセキュアとは、インターネット上でより安全にカード決済をおこなうための本人認証の仕組みです。

これまでは、カード情報を入力すれば、インターネット上でカード決済が可能でした。カードさえ持っていれば、本人でなくてもカードの情報を入力して決済ができてしまうため、不正利用やそれにともなうチャージバックのリスクがありました。

しかし、3Dセキュアを導入することで、従来のカード決済に本人認証の工程が加わります。

例えば、インターネットで商品を購入するケースで考えてみましょう。 まずはインターネットで商品を選択し、決済画面でカード情報を入力します。購入ボタンを押したあと、カード発行会社（以下「イシュアー」）のリスク判断に応じて、各国際ブランドのセキュア認証画面が表示されて本人認証をおこなうケースがあります。

3Dセキュアによる本人認証の方法は、基本的にはSNSやメールに送られてくるワンタイムパスワードによりますが、一部固定パスワードを使っているケースもあります。

その後、本人認証が成功し、イシュアーがオーソリを承認すれば決済完了となります。

このように、クレジットカード決済に3Dセキュアによる本人認証の工程が加わることで、カード情報のみでの決済が困難になるため、スキミング（カード情報を盗んで偽造カードを作ること）やなりすましによるクレジットカードの不正利用を防げる可能生が高まります。

日本クレジット協会が公表したデータによると、クレジットカードの不正利用被害額は近年急増しており、2023年は過去最大となりました。特に番号盗用というカード番号を不正に取得して取引をおこなう不正利用が90％を超えることが常態化しています。

こうした背景もあり、経済産業省は2024年3月、安全・安心なクレジットカード利用環境の整備を目的とした「クレジットカード・セキュリティガイドライン」の改定をおこない、インターネットショッピングを提供するEC加盟店はEMV 3-Dセキュア（3Dセキュア2.0）の導入計画の策定・早期導入に着手するよう、また、すでに不正利用が多発している加盟店に対しては、即時に3Dセキュア2.0を導入するよう求めています。

また同ガイドラインでは、2025年3月末までには原則すべての加盟店がEMV 3-Dセキュアを導入するよう述べており、実質的に2025年3月までのEMV 3-Dセキュア導入が義務化されたといえるでしょう。

出典：日本クレジット協会「日本のクレジット統計2023年版」 出典：経済産業省「『クレジットカード・セキュリティガイドライン』が改訂されました」

3Dセキュア1.0は、事前に設定したパスワードを覚えたり控えたりしておかなければならず、かご落ちが増える（ユーザーが途中で購入をやめてしまう）という欠点がありました。

しかし、EMV 3-Dセキュアでは、認証画面が表示されると同時にワンタイムパスワードがSMSやメールアドレスに送られる、あるいは指紋・顔認証がおこなわれるため、利用者はパスワードを覚えておく必要がありません。それにより、パスワードを忘れてしまったユーザーがかご落ちしてしまうリスクを減らせます。

また、すべての取引に対してではなく、過去の取引履歴や各種情報から不正利用のリスクが高いと判断される取引にのみ本人認証を要求するようになったため、決済時の利用者の負担が軽減されるようになりました。

3Dセキュア1.0はブラウザでの利用を想定していた仕組みのため、スマートフォンやアプリでの決済には対応していませんでした。しかし、EMV 3-Dセキュアはスマートフォンなどのモバイル端末にも対応するなど、ブラウザやデバイスとの互換性も向上しており、利便性が高まっています。

EC加盟店にとっては、かご落ちが減らせるメリットがあるうえ、各国際ブランドが2022年10月を目途に3Dセキュア1.0のサポートを終了したことから、現在はEMV 3-Dセキュアが主流となっています。

3Dセキュアは以前より利便性やセキュリティ面でバージョンアップしていますが、不正取引を100％防げるわけではありません。ここでは、その理由について解説します。

不正利用の手口が高度になっている

不正利用の手口は年々高度化・巧妙化しています。 EMV 3-Dセキュアについても、不正利用をする側はそれに対応した高度な手口で認証の突破を試みるに違いありません。

事実、3Dセキュア1.0導入時には、フィッシング詐欺によりパスワードを盗みとり認証を突破する被害が発生しました。

偽装取引への対応ができない可能性がある

高リスクと判断される取引にのみ承認を要求するEMV 3-Dセキュアの機能を「リスクベース認証」といいます。本来リスクベース認証のルールは加盟店ごとに異なるべきですが、実際にカード会社が加盟店ごとに個別のルールを設定するのは難しいものです。認証のルールによって、不正利用者が認証を通過したり、公正な利用者が不正なユーザーと判断されたりする可能性があります。

また、公正な利用者の購買パターンを模倣して正当な取引を偽装したり、認証情報を盗んだりして、認証を突破しようとするリスクも考えられます。

では、3Dセキュアの弱点を補うにはどうすればよいのでしょうか。 ここでは、3Dセキュアの弱点を補う不正利用防止策を2つご紹介します。

不正利用検知システム

不正利用検知システムとは、第三者による不正利用のリスクが高いと検知された場合にカードの利用を制限するシステムのことです。

例えば、インターネット上のクレジット決済において同じサイトから短時間に大量の注文がある、同じ利用者が同時に複数のサイトで注文しているなど、不審な動きや購入があったときに自動的に取引を止めたり、アラートを表示したりして一時的にカードの利用を制限します。

EMV 3-Dセキュアが取得できるのは、決済金額やカード情報などの情報が主であるのに対し、不正利用検知システムはユーザーの端末情報やIPアドレスといった属性情報も取得します。そのため、EMV 3-Dセキュアのみの場合よりも多角的な視点で不正を判定することが可能です。

また不正利用検知システムは、加盟店ごとに不正利用の傾向や特徴を分析し、独自のルールや対策を設定できるためセキュリティがさらに向上します。

トランザクション・モニタリング

トランザクション・モニタリングとは、顧客の入出金や取引履歴を継続的に監視し、疑わしい取引を検出する仕組みのことです。取引の種類や決済がおこなわれた地域、時間帯などの履歴をもとに、通常の取引と逸脱した取引がおこなわれた場合にアラートを発するなど、利用者や取引のリスクに応じた対応ができます。

3Dセキュア導入による不正利用やチャージバック対策をおこなった事例をご紹介します。

HUGO BOSS

ドイツのラグジュアリーブランドHUGO BOSSでは、ユーザーが世界中のどこでも、いつでもシームレスなショッピング体験と決済ができるようにすることを大切にしています。

店舗やWebサイト、アプリなど幅広い購入チャネルを持つHUGO BOSSにとって、多様なニーズに応える決済プラットフォームの構築とオンライン決済におけるセキュリティ強化が大きな課題でした。

そこで、柔軟な決済オプションを提供して顧客の利便性を高めています。さらに、店舗での決済だけでなく、ユーザーが遠隔地で買い物をする際には、AdyenのPay by Linkソリューションを活用して決済用のリンクを作成し、そこから決済してもらう方法も取り入れています。

また、年間数百万件の取引を記録し、安全に決済する必要があるために、3Dセキュア認証によるチャージバック対策を導入。導入により、決済の承認率とコンバージョン率が向上するだけでなく、不正利用の防止策としても機能しているとのことです。

こうした先進的な決済システムの導入により、より効率的なエンドツーエンドの決済プロセスの構築に成功しました。

詳しくはこちらをご覧ください。

>>「HUGO BOSSがショッピング体験の新標準を確立」はこちら

True Alliance

True Allianceは19の世界的ブランドを扱い、23のECサイト、100もの店舗を展開するオーストラリアの大手小売業です。当初、さまざまな決済方法に対応させるために、複数の異なるシステム（決済ゲートウェイ）を使用、それにより不正対策システムも複雑化していました。そのため、新しい決済方法を組み入れるにも都度多くの問題が生じていました。

そこで、マルチブランド・マルチチャネルの決済に対応した仕組みを作るために、Adyenのユニファイドコマースソリューションや不正対策ソリューションRevenueProtect、3-Dセキュア認証の導入、全店舗への最先端POS端末の導入などをおこないました。

これにより、自社システムが1つのプラットフォームに統合。あらゆる決済ベンダーを簡単に追加できるようになったと同時に、すべての決済取引をスムーズに照合できるようになりました。また、オンライン購入した商品の店舗での返品交換・返金などECでの顧客体験も最適化されました。

さらに、不正対策ソリューションの導入により、ブランドとチャネルごとにカスタマイズされたリスクルールを設定できるようになりました。結果、不正利用が大幅に減少。従来の3.5%から0.1%未満となり、年間140万ドルのコスト削減につながりました。

詳しくはこちらをご覧ください。

>>「オーストラリアの小売大手True Alliance：ユニファイドコマースで年間140万ドル以上のコストセーブ効果に」はこちら

3Dセキュアは、ECサイトの決済における不正利用リスクを抑制する効果があります。2025年3月末までに、EMV 3-Dセキュアを導入するよう加盟店は求められているため、利用者により安全で利便性が高い決済システムを提供できるようになるでしょう。

ただし、EMV 3-Dセキュアも決して万能なシステムではありません。不正利用のリスクをより抑えたいのであれば、不正利用検知システムやトランザクション・モニタリングなどを組み合わせることが大切です。

Adyenの3Dセキュア認証は、各国のルールに準拠しつつ、全世界の情報を単一のプラットフォームでリアルタイムで収集して、機械学習を使用しながら適切な認証を取ることが可能です。またリスクエンジンであるRevenueProtectと合わせて利用することで、不正利用検知やトランザクションモニタリングもおこない、コンバージョン率の最大化と不正利用のリスク軽減に寄与します。どこでもスムーズでセキュリティ性の高い決済システムを提供できます。

また、委託認証の採用によりアクワイアラーが決済プロセスと決済品質を管理することで、顧客の決済体験の向上とフリクションレス決済を実現します。

EMV 3-Dセキュアによる不正利用対策をお考えの際は、ぜひAdyenにご相談ください。