米国、EMV仕様クレジットカードへの移行で詐欺が増加

2016年5月17日

興味深い事実が明らかになりました。米国の小売店はEMVカード(別名チップ&ピンカード)への移行を進めていて、その目的は詐欺対策なのですが、この動きによって逆に詐欺の被害が増加しているのです(英語記事)。 chip-and-pin-cards-fraud-featured

さて、どういうことなのでしょう。米国の小売店がチップ&ピンカードを導入する期限は、ずいぶん前に過ぎてしまいましたが、この新規格に切り替えていない店はまだ多くあります。VISAによると、EMVを導入した小売大手5社は、詐欺が18.3%減少したものの、EMVに切り替えてない小売店では11.4%増加しています。

というのも、この移行期に、詐欺師たちが何とかしてお金を稼ごうと必死になっているからです。

EMVカードって何が違うの?

カードの磁気ストライプには、静的なデータが平文で格納されています。このデータは暗号化されていないため、比較的安価で一般的なスキマーというハードウェアを使えば、盗み出すのもそれほど難しくありません。また、静的なデータなので、盗まれてしまうとカードの複製に利用され、お金を引き出される恐れがあります。

このデータを「パスワード」と考えてみましょう。犯罪者にしてみれば、一度盗むだけで、後はいつでも好きなときにアカウントにログインできるようになります。

一方、新しいチップ&ピンカードは、その名が示すとおりチップを内蔵していて、ちょっとした暗号の魔法を使います。静的な「パスワード」ではなく動的なデータが、決済のたびに安全に生成されるのです。

本当はもう少し複雑な話なのですが、かいつまんで言うと、SMSのワンタイムパスワードに非常に近いコンセプトです。オンラインバンキング、GoogleやFacebookのアカウントにログインするときに使うコードのようなものです。特定の取引だけに使われる「パスワード」を盗んでも、何の意味もありません。次の取引には使えませんから。

カード内のチップは、情報の保存場所というだけでなく、とても強力なコンピューターでもあり、実際に決済端末やATMと通信して正規のカードであることを証明できます。複製することはできません。まあ、できるのかもしれませんが(デジタルの世界に不可能なことは何一つないので)、少なくとも従来の磁気ストライプを複製するよりは、ずっと大変な作業になるでしょう。

要するに、EMVカードは詐欺師にとって、まったく別の土俵というわけです。だからこそ、古き良き磁気ストライプの複製を利用できる機会があるうちに、時間との戦いを繰り広げているのです。

どうしてEMVへの切り替えはこんなに遅れているの?

チップ&ピンカードの導入ペースがこれほど遅い理由は2つあります。莫大なコストと計画のまずさです。米国に決済端末がいくつあるか、想像できますか?新技術への移行を完了させるためには、端末を1つ残らず新しいものに交換しなければなりません。小売店は間違いなく、莫大な額の費用負担を強いられることでしょう。絶対に必要というわけでなければ、誰もお金を出したいとは思いません。

実際、2015年10月1日までは、必須ではありませんでした。小売店はカード詐欺の責任を負っておらず、不正利用によって発生した損害は、クレジットカード会社がすべて補償していました。先述の期限を過ぎてから何が変わったのかというと、チップ&ピンカードによる支払いをまだ受け付けていない小売店が、こうした損失の責任を負うことになりました。

ここでは、計画のまずさについて触れておきます。現在、あまりにも多くの小売店が一斉にEMVに切り替えようとしています。困ったことに、新しい機器の購入は移行の第1段階でしかなく、決済システムの運用を開始するためには、認定を受けなければなりません。認定待ちの小売店が単純に多すぎて、この手続きに相当な時間がかかると見られています(英語記事)。

詐欺師は間違いなく、この機に乗じて利益を得ようとするでしょう。

私にも何か影響があるの?

プラスチック製カードを使うのは、以前から決して安全とはいえませんでしたが、今ではさらに危険度が上がっています。このところ米国では、カード詐欺が明らかに急増しているからです。そのため、以下のアドバイスを参考にして、いっそう慎重に行動することをお勧めします。

  1. まだチップ&ピンカードを持っていない場合は、銀行やクレジットカード会社に頼んで発行してもらいましょう。
  2. ATMを利用する際は、明るくて安全な場所にあるATMを選んでください。一番いいのは銀行の中にあるATMです。人目につかない場所や暗い路地にぽつんと置かれたATMは使わないようにしましょう。
  3. カードに署名するのではなく、裏面に「Ask for ID」(身分証明書を確認して)と書いておきましょう。EMVに対応していない機械で支払いをすることになっても、安全度が一段上がりますし、お店の人がセキュリティに詳しいかどうかもわかります。
  4. カードの請求金額に目を光らせましょう。ご利用の銀行がSMS通知サービスを提供している場合は、ぜひ活用してください(※訳注:日本の銀行では、SMSによる通知サービスは一般的ではないようです)。メール通知サービスが用意されていれば、こちらも申し込んでおくといいでしょう。不正利用の証拠を見つけるのが早ければ早いほど、お金を取り戻しやすくなります