Pay-Ya NEWS.

2022年9月21日8:00

一般社団法人キャッシュレス推進協議会では、金融庁や経済産業省などの関係省庁、有識者等との相互連携を図りつつ、さまざまな活動を通じて、早期のキャッシュレス社会を実現することを目的としている。同協議会では、キャッシュレス業界全体として、不正利用を未然に防ぐ取り組みの一環として、不正利用関連情報確認データベース（CLUE<クルー>:Cross-referencing List of User’s Encrypted data）を開発し、運用を行う予定だ。今後は、多くの事業者に参画を呼び掛け、多角的な不正利用に関連する情報の集約を目指している。2022年7月19日に開催した「決済セキュリティセミナー2022」では、一般社団法人キャッシュレス推進協議会 事務局長／常務理事 福田好郎氏が、同協議会の活動や「CLUE」の概要について紹介した。

一般社団法人キャッシュレス推進協議会  事務局長 福田好郎氏

不正者に狙われやすいコード決済
個社対応の努力では限界も

国内のキャッシュレス比率は2021年時点で32.5％に到達しており、政府が掲げる2025年の40％に向けて順調に伸びている。クレジットカードが主たるキャッシュレス決済手段に変わりはないものの、近年はコード決済の取扱金額が増えており、キャッシュレス全体を押し上げている。一方で、主要国と比較した場合、日本のキャッシュレス比率はまだまだ低い状況だ。ただ、5年間の年平均成長率は2桁増となっており、他国に比べても大きな伸びとなっている。このままのペースで成長すれば2025年の40％はもちろん、キャッシュレス先進国並の比率になることも視野に入る。

他方で、急激にキャッシュレスが成長していることもあり、セキュリティ対策も急ピッチで進めていく必要がある。特に近年ではフィッシング被害が深刻だ。フィッシング対策協議会が公表しているフィッシング情報の届け出件数によると、2020年以降、被害が急激に拡大しており、2022年第2四半期は26万8,476件が報告された。このように、キャッシュレス決済サービスが普及すればするほど、それを狙った不正取引が生まれている。

中でもコード決済は狙われやすい決済手段だ。コード決済は、銀行口座を紐づけてチャージして使用したり、クレジットカードを紐づけて、リアル店舗等で決済できる特徴がある。実際に不正アクセスする人は、フィッシングサイトなどでIDやパスワード等を不正に入手し、不正者のアカウントに紐づけて利用する。例えば、クレジットカードは利用箇所が特異な場所であったり、いつもと違うような取引があった場合、モニタリングにより不正を検知できるが、コード決済が挟まると、クレジットカードの利用先としてはコード決済を使っているとしか見えない。そのため、クレジットカード会社は不正を検知しにくい課題がある。また、ECサイトによるクレジットカードの不正利用では、注文から商品の発送までに時間があり、配送先に問題があるかどうかを確認することも可能だが、コード決済はリアル店舗ですぐに利用できてしまう。そのため、換金性の高い商品を購入され、比較的足がつきにくい傾向がある。コード決済各社ではモニタリングを強化するとともに、事前のeKYC（本人確認）などに注意を払っており、最近では不正利用も徐々に減ってきた。

狙われやすいコード決済

福田氏は「個社の努力により、不正アクセス自体は早期に検知ができたり、対応できたりしています。他方で入手した不正アクセスの情報を、他社でも試して使用する傾向が見られます。例えば、事業者Aに不正アクセスをした者は、事業者B、事業者Cというように、違う事業者にアクセスを試みています」と説明する。業界全体として、1つの事業者だけが不正アクセスを防止できたとしても、他社で不正が発生している状況だ。そうした、不正アクセス者の特徴を踏まえ、事業者間で不正な情報を共有することで、キャッシュレス業界全体としてセキュリティを高めていこうと考えている。例えば、事業者Aが不正検知した際、事業者BとCが共有できれば、事前に不正を防止することが可能だ。これを「不正利用関連情報確認データベース（CLUE: Cross-referencing List of User’s Encrypted data）」で実現させるという。

CLUEでは業界横断型で不正対策を強化
イベント、識別子、登録日などを登録

CLUEのデータベースでは、不正利用に関する情報を事業者間で共有することが可能だ。例えば、不正アクセス者が事業者Aに不正アクセスした際、何らかの形で不正アクセスを検知して防止したとする。事業者Aは不正アクセス者に関する不正情報やアカウントを特定するための情報（識別子）をCLUEのデータベースに登録する。事業者BやCは、この不正アクセス者が自社のアカウントについて不正利用に使われた識別子の登録有無を確認できる。事業者BやCは、リスクが高い可能性があるということを踏まえて、追加の本人確認、電話での確認といった追加のアクションを求める。福田氏は「CLUEそのものは、情報共有を迅速にするために、早い段階で情報を登録できるようにしています。正確性の担保がどこまで可能かは難しいため、CLUEに登録があった場合、それだけをもって不正アカウントと判断するのではなく、リスクが高いアカウントであると判断していただきます」と話す。

CLUEとは

CLUE自体は、非常に単純なデータベースだ。不正入手したクレジットカードや他人の口座情報を紐づけるといった「登録の原因となったイベント」、電話番号、メールアドレスといった「登録されている識別子の種類」、外部から閲覧できないようにハッシュ化された「識別子の内容」、システムに登録した「登録日」等で構成されている。

システム自体は単純だが、「これらをどう運用していくか」「セキュリティ上の懸念はないのか」「法的な問題をクリアできているのか」「関係各機関の理解は得られるのか」をクリアしなければならなかった。キャッシュレス推進協議会では、2021年末にCLUE構築に向けたニュースリリースを出し、関係機関と協力して議論を進めてきた。

情報の蓄積でより価値が高まる
登録する識別子は事業者ですべてハッシュ化

CLUEの運用については、データベースに情報が溜まれば、溜まるほどその価値は高まっていく。そのため、情報提供をしやすくするための配慮が必要だ。また、できるだけデータ提供の判断において、参加事業者の裁量が働かないようなルール設定が必要となる。

情報提供をしやすくするための仕組みとして、1つ目は不正者のデータのみを扱い、被害者のデータを対象外とした。例えば、なりすましをした時に使っていたIDとパスワードについては、不正者のものになるが、真正者のアカウントをIDとパスワードを使って乗っ取った行為に関しては、「登録されている情報は真正者の情報になりますので、CLUEには登録しない整理にしています」と福田氏は述べる。2つ目は、データはハッシュ化した状態で登録し、実際の内容は解読できないようにしている。3つ目は、参加事業者でデータダウンロードは行えないようにした。仮にダウンロードしたデータが漏洩した場合、利用者の情報が使われることがないようにしている。4つ目は、運用の方針について、参加事業者全員による合意によって策定されるようにした。個人情報の共有も入るため、事業者全員による理解が必要だからだ。5つ目は、新たな参加者の受け入れについても、キャッシュレス推進協議会会員であることに加え、既存の事業者全員の承認を必要とした。これにより、安心して情報を共有できる体制を構築している。

設定したルールの粒度については、登録する識別子の書式を明確化した。例えば、電話番号であれば、国際番号の“81”や市外局番の03の“0”の位置づけなど、電話番号やメールアドレスの記載の書式は明確にしている。これは、ハッシュ化により、正確に突合させるために必要だ。また、登録のトリガーとなるインシデントを設定し、その登録情報を明確にした。例えば、クレジットカードの不正利用があった場合、その条件や判断を設定したうえで、登録してもらう。福田氏は「これについては、かなり時間をかけて、参加事業者間でブレがないように 調整をしておりますし、特に個人情報保護委員会等含め、関係する行政機関からも登録する情報において、参加事業者間で異なる判断がおきないようにということが重要とされていますので、ルール化しています」と説明する。さらに、登録する識別子を明確にすることで、各インシデントにおいて事業者による登録内容の漏れをなくしている。

加えて、不正が確定している情報と、不正の蓋然性が高い情報の違いを明確にした。不正が確定している情報は、第三者機関から見ても、不正だと見なされている情報だ。不正の蓋然性が高い情報は、一事業者の中でこれが不正だと認識されている情報となる。福田氏は「不正が確定している情報は、第三者機関による不正の認証・認定が必要になってくることから、実際にCLUEに登録する段階で、かなり時間が遅れてしまいます。そうしている間に、不正アクセス者が次の事業者を狙うこともありますので、できるだけ早期に情報提供ができるよう、一事業者の中だけで不正だと認知できれば、この不正の蓋然性が高い情報として取り扱うことにしています」と述べる。

実際のセキュリティ対策として、CLUEに入る際は、ID・パスワード認証、二要素認証、IPアドレスによるアクセス制限をクリアする必要がある。また、参加事業者は、ハッシュ化し、文字の羅列自体を登録してもらうことになる。各社が突合したい情報を同じアルゴリズムでハッシュ化することで、仮に、結果が同じであれば同様の不正が行われていることになり、番号が1つでも違えば、ハッシュ化の結果は大きく異なるため、登録なしの形になる。CLUEの中にはハッシュ化された情報のみが蓄積されることになるため、仮にデータベースの情報が漏洩しても、元データは解読できない。

セキュリティ対策

情報の画面参照は3方式を用意
金融庁や個人情報保護員会と検討を重ねる