「3Dセキュア2.0で不正が減らないと言われる理由は?」と疑問を感じている方もいるのではないでしょうか。
3Dセキュア2.0はいずれ認証を突破される恐れがあり、リスクベース認証を通過した場合は不正を見抜けません。
「クレジットカード・セキュリティガイドライン【4.0版】」による4方策の対策でも、3Dセキュア2.0以外の対策も推奨されています。
そこで本記事では、
- 3Dセキュア2.0だけでは不正が減らないと言われる理由
- 3Dセキュア2.0が不正に突破された場合に起こり得る2つのリスク
などをお伝えします。
弊社では「3Dセキュア2.0の特徴」や「最新の不正注文対策」についてまとめた資料を無料配布しています。
下記のボタンからダウンロードできますので、ぜひご活用ください。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ 
※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了となります。
3Dセキュア2.0についてはこちらをご参照ください。
目次
3Dセキュア2.0だけでは不正が減らないと言われる理由は?
「3Dセキュア2.0だけでは不正が減らない」と言われるのは何故なのでしょうか。
その理由について、下記2つの視点から解説します。
- 不正が巧妙化しており、いずれ認証を突破される恐れがある
- リスクベース認証を通過した場合、不正を見抜けない
それぞれ詳しく見ていきましょう。
【理由1】不正が巧妙化しており、いずれ認証を突破される恐れがある
3Dセキュア2.0は新たな認証サービスということで、一時的には不正対策としての効果を期待できます。
しかし、不正集団はあらゆる手口で認証の突破を試みてくるものです。そのため、いずれなんらかの方法で認証を突破される恐れがあります。
実際に3Dセキュア1.0では、フィッシングサイトを使った詐欺などでパスワードが漏洩し、認証が突破されてしまう被害が発生しました。
そもそも3Dセキュア2.0は、チャージバックのリスクを減らすことは期待できるものの「不正利用の根絶は難しい」とされています。
また、サイトごとに適した検知ルールを設定できるという意味では、後述する「不正注文検知システム」との併用もおすすめです。
【理由2】リスクベース認証を通過した場合、不正を見抜けない
2つ目は、リスクベース認証を通過した場合、不正を見抜くことはできないからです。
リスクベース認証とは、決済時に、
- クレジットカードの利用履歴
- クレジットカード利用者のデバイス情報
- 配送先住所
などの情報から不正利用がないかを判定し、認証(スコアリング)によるリスク度判定を実施するものです。
リスクベース認証の結果、不正利用の可能性が高いと判断された場合には、追加認証を実施することになり、不正利用の可能性が低いと判断された場合には、追加認証が実施されずに決済が完了します。
3Dセキュア2.0の目玉機能として導入されたリスクベース認証は、なりすましなどによる被害を防ぎやすくなります。
しかし、リスクベース認証を導入したからといって、不正アクセスを100%見抜けるわけではありません。
リスクベース認証を通過された場合は不正を見抜くことができないため、追加で別の不正対策を講じることが求められます。
3Dセキュア2.0が不正に突破された場合に起こり得る2つのリスク
3Dセキュア2.0が不正に突破された場合に起こり得るリスクは、次の2つです。
- 不正利用されたデータがどの注文データか調査しにくい
- 不正顕在化加盟店に登録されてしまう可能性がある
どういうことか、詳しく見ていきましょう。
【リスク1】不正利用されたデータがどの注文データか調査しにくい
3Dセキュア2.0は、導入した加盟店側で不正利用の手口や被害の実態を把握しづらいという側面があります。
なぜなら、たとえ不正被害が起きていたとしても、アクワイアラー(決済代行会社やカード会社)から加盟店側へ報告されることは少ないからです。
加盟店からすると、3Dセキュア2.0の不正ブロックの詳細がわからないため、どの注文で不正が起きたのか判断できません。
不正被害が増加し、アクワイアラーから不正対策を求められたとしても、被害の実態がわからないものへの対策は困難を極めます。
【リスク2】不正顕在化加盟店に登録されてしまう可能性がある
上述したように、不正被害が発生しても加盟店側に通知されないケースが多く「知らず知らずのうちに不正が起きていても把握しにくい」といった課題が挙げられます。
不正が多くなってきたタイミングでアクワイアラーから連絡が届くことはありますが、そのときはすでに「不正顕在化加盟店」になっているかもしれません。
不正顕在化加盟店になると与信認証率が下がり、利用者から「決済ができない」などと問い合わせが届くことも考えられます。
そうなると、問い合わせ対応に追われたりサイトの利用を敬遠されてしまったりと、次なる弊害が発生してしまう恐れがあります。
不正注文検知システムを導入し、不正の状況を明らかにすることが重要
あらゆる手口を使って不正注文を試みてくる悪用者へ対処するには、
- 不正が起きている/起きていない
- どの注文で不正が起きているのか
など、不正の状況を明らかにすることが重要です。
不正被害の実態がブラックボックス化している場合、個々の手口へ対処するのが難しくなってしまいます。
そこでおすすめなのが、不正注文検知システムの導入です。
不正注文検知システムを導入するとベンダー独自の情報を使用でき、巧妙化する最新の不正手口にも対応してもらいやすくなります。
たとえば、かっこ株式会社の「O-PLUX」は、導入企業累計110,000サイト以上の不正データをリアルタイムで共有しているため不正検出の精度が高く、セキュリティ強化に効果的です。
自動で不正注文を検知できるため、人力での目視チェックと比較して効率的に不正行為をモニタリングすることが可能です。
実際に不正が起きているかのレポートも確認できる「O-PLUX」について、詳細が気になる方は以下のボタンをクリックのうえご確認ください!
\累計110,000サイト越えの共有データで高精度に不正注文を検知/
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
なお、3Dセキュア2.0導入後も不正注文検知システムが必要な理由は下記記事で紹介してありますので、ご参照ください。
まとめ:3Dセキュア2.0だけに頼らないセキュリティ対策が大切
3Dセキュア2.0はチャージバックリスクを減らすことを目的としており、不正利用をゼロにすることが目的ではありません。
ECサイト事業者様には、3Dセキュア2.0だけに頼らないセキュリティ対策が求められます。
なお、弊社では「3Dセキュア2.0の特徴」や「最新の不正注文対策」についてまとめた資料を無料配布しています。
下記のボタンからダウンロードできますので、ぜひご活用ください。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ ※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了となります。
3Dセキュア2.0についてはこちらをご参照ください。
