ここから本文です

時代遅れの「セキュリティコード」に頼る理由

6/20(火) 13:19配信

THE ZERO/ONE

セキュリティコードの役割とは?

クレジットカードを利用し、ECサイトなどで買い物をする際に、カード番号(Primary Account Number 以下PAN)、氏名、有効期限とともに「セキュリティコード」の入力を求められることがある。セキュリティコードとは、カードの裏面に印字されている3桁(American Expressのみ表面の4桁)の数字だ。ECサイトで買い物をするときに、手元に現物のカードを用意しておかないと、このセキュリティコードがわからず、購入処理の途中で慌ててカードを探し始める人も多いのではないだろうか。

では、このセキュリティコードは、クレジット取引セキュリティにおいて、どのような役割を果たしているのだろうか。

セキュリティコードは一言でいえば、準暗証番号のような存在だ。現在のクレジットカードの大半はICチップが搭載されているが、それでもまだ多くのカードが磁気ストライプを併用している。この磁気ストライプには、カード情報が記録されていて、市販の磁気リーダーで読み取ることができる。つまり磁気カードによる取引では、PAN、氏名、有効期限などのカード情報はスキミングという手法で盗み取られるリスクがつきまとう。

そしてスキミングで盗み出したカード情報を利用すれば、比較的簡単に磁気カードは偽造できる。これらは古くからあるカード犯罪の手法として知られており、2002年には国内でも偽造カードによる不正なカード取引の被害額は160億円を超えた。その後のICチップ付きカードの普及や不正検知システムの進化、偽造カードを防止する法律の施行により、対面での偽造カード使用被害は減少し、2016年には約30億円となった。偽造カードによる不正使用が減少する一方でインターネット加盟店における、なりすましによる不正使用は増加の一途をたどり、その被害額は2016年には約80億円となっている(被害額は日本クレジット協会公表の統計を参考)。

スキミングによって読み出されたカード情報が、ECなどインターネット加盟店でなりすましによって不正使用されないようにするために、セキュリティコードは有効である。なぜならセキュリティコードは、券面にしか印字されておらず、磁気ストライプにはその情報が入っていない。よってスキミングでその情報が盗まれたとしても、買い物の際にカード加盟店が、セキュリティコードによる認証を要求すれば不正に使用できない。

例えば磁気ストライプの情報からPANと有効期限を盗み出されて不正使用された場合、ECサイト側でカード決済の際にセキュリティコードの入力を追加で求めれば、正規の券面を持っている本人しか買い物が出来ないという仕組みである。

1/4ページ

最終更新:6/20(火) 13:19
THE ZERO/ONE