Admin

セキュリティに関して、知っておくべきこと

 

自分のお金を守る

お客さまを守る

決済のセキュリティ

概要

不正使用について

データの安全性

ICカード

ソーシャルエンジニアリング

支払い異議申し立て

PCI DSSへの準拠

磁気カード

ハッキング

アカウントの不正なりすまし

ICカードのライアビリティ

安全な決済

カード決済の非承認

2 段階認証

情報漏洩

エンドツーエンド暗号化

暗号化

 

不正使用について

不正使用とは、個人または組織をだまして不正に金銭や商品を入手したり、サービスを利用したりすることをいいます。

加盟店さまは時としてカード決済を行う際に不正使用に遭遇してしまうことがあります。購入者の中には、加盟店が提供する商品やサービスを手に入れようと、盗まれたクレジットカード情報を使って購入を試みる人物がいるかもしれません。そして真正のカード名義人が、その不正利用の事実に気付いた場合、カード会社に対し、該当取引に対する支払いの異議を申し立てるのです。

特に、Eコマースや非対面での決済の場合、対面ではなくインターネットなどを介して購入手続きが行われることから、不正取引の被害を受けやすくなります。その性質上、購入者が真正のカード名義人であることを確かめるには限界があり、詐欺師からすれば相手に悟られずに商品やサービスの購入を試みるのにうってつけの環境になります。

 

支払い異議申し立て

支払い異議申し立てとは、カード名義人がクレジットカード会社に対し、カード請求内容に対する異議を申し立てることをいいます。クレジットカード会社がそれを受けて申し立てを処理し、対象の決済を強制的に無効にすると、加盟店さまは申し立ての対象となった決済金額を返金する責任を負います(これを「チャージバック」とも呼びます)。

カード名義人が支払いの異議申し立てに至る理由はさまざまです。購入した商品やサービスに不満があったり、あるいはそのサービスの提供自体を受けていないと主張するかもしれません。また、クレジットカードが盗難に遭い無断で使用されたと申告してくることもあるでしょう。どのような理由にせよ、クレジットカードの名義人には、クレジットカード会社に対して支払いの異議申し立てを行う権利があります。

 

アカウントの不正なりすまし

セキュリティ対策がされていないと、SquareアカウントやEメールアドレスまたは銀行口座などが悪意のある人物に不正に乗っ取られ、悪用されてしまう可能性があります。

詐欺師の手口に多いのが、不法なサイト上で購入したりソーシャルエンジニアリング(詳しくは、下記、『ソーシャルエンジニアリング(フィッシング)』を参照)などで入手したログイン情報を使って、アカウントへのアクセス手段を入手するというものです。盗まれた情報でSquareアカウントにログインされると、ログインパスワードを変更されアクセスができなくなるかもしれません。仮にSquareアカウントでそのような事態が起きた場合、たとえば登録の銀行口座の情報が詐欺師のものにすり替えられ、せっかくの売上がその詐欺師の口座に入金されるということにもなりかねません。

このような事態を未然に防ぐため、Squareでは、加盟店のみなさまに、2段階認証によるもう一層上のセキュリティを追加することをおすすめしています。ご自身のSquareアカウントにログインできなくなってしまったり、身に覚えのない取引履歴を確認した場合は、直ちにSquareにご連絡ください。

 

2 段階認証

2段階認証とは、アカウントにアクセスする際に利用するIDやパスワードに加えて、もうひとつ本人確認の要素を増やすことによって安全性を高めるプラットフォームのことです。2段階認証は通常、携帯電話やメールアドレスにテキストメッセージでコードが送信されます。このコードは、アカウントログイン時に入力する2番目のパスワードとして機能し、ログインする際に必須となります。これにより、通常のログインに加え、2番目のコードが必要となるため、第三者が本人とは無関係のアカウントにログインするのは極めて難しくなります。

 

データの安全性

データの安全性は、詐欺師によるデータへのアクセスを防ぐための「施策」と「技術」から成り立ちます。不審な挙動を検知する独自のソフトウェアやハードウェア(例えば、ファイアウォールなど)形式のものもあれば、セキュリティで保護された決済端末や取引を常時監視するという方法もあり、Squareではそのすべてを取り入れています。

加盟店さまの顧客情報の安全性を確実なものとするため、クレジットカード会社ではPCI DSSと呼ばれる一連の規則が考案されました。

 

PCI DSSへの準拠

PCI DSSはクレジットカード業界のセキュリティ基準(Payment Card Industry Data Security Standard)のことをいいます。クレジットカード決済の受け付け、カード情報の保存や伝送を行う企業が安全な環境を維持することによって、カード名義人の情報が悪用されないようにすることを目的にしています。この規則に準拠するということは、クレジットブランド大手5社(Visa、Mastercard、 Discover、AMEX、JCB)が設立した組織であるPCI Security Standards Councilによって策定されたセキュリティ基準が守られていることを表します。

クレジットカード決済を受け付けているのにもかかわらず、規則に準拠していないことが判明した場合、毎年多額の費用を支払うことにもなりかねません。決済代行会社の大半は、この時間も費用もかかる規則への準拠を加盟店に一任しています。Squareで取引を行う際は、加盟店さまが規則に準拠するようSquareにて対処しているため、ご自身のビジネスの運営に注力していただけます。

 

ICカードのライアビリティ

ICカードは磁気テープのクレジットカードと比べ不正利用が困難なため、クレジット業界では、カード決済の受け付けにおける望ましい方法としてIC技術が採用されています。この磁気テープからのIC技術への移行に伴って、カードネットワークは債務責任の規定を新たにしました(これを「ライアビリティシフト: 債務責任の移行」と呼びます)。これにより、対面決済の際に、ICチップが付いたカードをお客さまが提示されたのにもかかわらず、ICチップで決済せず、磁気テープでスワイプしたり、カード情報を手入力して決済を行い、その後そのカード名義人から該当の請求に対する異議を申し立てられた場合、その債務責任を加盟店が負うことになります。

このライアビリティシフトにより、Square Reader (以下:IC カードリーダー)のように、ICカードの受け付けが可能な決済端末を備えていることが重要になります。

 

情報漏洩

情報漏洩とは悪意のある人物により個人情報が侵害され、公開されることを言います。

情報漏洩の一例として、企業のサーバーがハッキングされ、サーバーに保存されている機密情報が漏洩するというものがあり、大抵はハッキングされた会社が保持する消費者のメールアドレスやクレジットカード番号等の個人情報が盗まれます。ハッカーは情報を入手後、ダークウェブ上で不正な取引をもくろむ他者に盗んだ個人情報を売却し金銭に換えることもあります。

このような不正から加盟店さまを守るため、情報セキュリティは非常に重要視される項目になります。会社が自社を守る対策を取っていれば、顧客のどんな情報であれそれを保護することができるのです。

 

ICカード

ICカードには磁気テープの代わりにマイクロプロセッサチップが使われており、クレジット業界では決済手段として好まれています。ICを使用するカードでは、これまでの磁気テープよりも格段に高いセキュリティによる保護が可能です。たとえば、ICカードは磁気テープのような方法で複製することが不可能なため、悪用しようとすると物理的にカード情報を盗み出す必要があります。また、スワイプでの決済とは異なり、ICチップを差し込んでの決済となり毎回1度きりの違った暗号で処理されます。

 

磁気カード

従来の磁気カードを決済処理用端末でスワイプすると、磁気製の黒い帯(磁気テープ)が端末によって読み取られ決済が承認されます。磁気カードでは、使用ごとの情報が隠されることなく全支払情報が記録されているので、カード情報を偽造カードにコピーする「複製」による被害を受けやすくなります。また、磁気テープの技術は、録音テープとほとんど同じ技術になります。よって、クレジットカードブランドの間では、より安全性の高い「IC」カードが選ばれるようになっているため、磁気カードは徐々にその姿を消しつつあります。

 

安全な決済

安全な決済処理と決済用端末とは、Payment Card Industry Data Security Standards(PCI DSS)に準拠しているものです。Squareの端末はすべてこの基準に準拠しています。

 

エンドツーエンド暗号化

エンドツーエンド暗号化は、情報を送信した端末と受信した端末のみ、復号化することができます。また、情報の受け渡しを行うサーバーとネットワークは、情報の受け渡ししかできないため暗号化された情報が解読されることはありません。

たとえば、ICカードリーダーでクレジットカードを読み取ると、データは決済を処理する前であってもリーダーによって必ず暗号化されてから安全にSquareに送信されます。決済処理が行われると、Squareはそのデータをもう一度暗号化してからクレジットカード会社に送ります。

では仮に、ICカードリーダーを使っていて、WiFiネットワークが悪意を持った人物によって傍受されている場合を考えてみます。ICカードリーダーを通して送受信されるクレジットカード番号や請求情報などの全てのデータは暗号化されているため、悪用を企てている相手が再利用することはできません。

 

ソーシャルエンジニアリング(フィッシング)

ソーシャルエンジニアリングとは、詐欺師が人間の心理的な隙などを巧みに操って、パスワードや口座番号のような個人情報を盗み出す手口です。「フィッシング」と呼ばれることが多いこの手口で詐欺師は巧みに信用を得ようとしてきます。

Squareをケースに例えると、詐欺師があたかもSquareが差出人であるようなメールを加盟店に配信し、そのメールからSquareアカウントにログインさせ、特定の決済や払い戻し情報の確認を求めたり、アカウントに問題があると偽りその確認ためログインを誘導したりして、Squareアカウントにアクセスを試みます。詐欺師がどのような手段を取るにしてもハッキングの手口の大半は、高度なコンピュータプログラムに頼らない単純な方法によるものなので、ひっかからないよう注意する必要があります。

Squareの社員が加盟店さまのアカウントのパスワードやマイナンバーなどの個人情報を聞き出すことは決してありません。Squareの担当者を名乗る人物から連絡があり、そうした情報を求められた場合は、情報を提供せず、直ちにSquareにご連絡ください。

 

ハッキング

ハッキングとはコンピュータを駆使して個人情報を入手する行為で、違法な利用目的として行われます。ハッキングの手段にはマルウェアをインストールするウェブサイト、別の正当なサイトを装って相手を欺き情報を引き出そうとするウェブサイト、大量のメールを主体とする詐欺などがあります。

犯罪者はこうした手段を用いて機密情報や個人を特定できる情報(パスワード、クレジットカード番号、メールアドレスなど)にアクセスします。この個人情報が侵害され、他の悪意を持った人物に公開されてしまう事態が情報漏洩と呼ばれています。

詐欺師に個人情報へのアクセスを許してしまうと銀行口座からお金を引き出されたり、勝手に自分の名前を語られ不正な買い物に利用されてしまうおそれがあります。また漏洩された情報はダークウェブ上で悪意のある別の人物に売却される場合もあります。

 

カード決済の非承認

カード決済が非承認となった場合、通常はそのカードを発行したクレジットカード会社が、決済処理を承認しなかったことを意味します。非承認になる理由はさまざまですが、カード名義人がクレジットの限度額を超過して使用した場合や詐欺利用が疑われている場合などがあります。

Squareの不正利用対応の専門チームはSquareのシステムで送受信されるすべてのお取引を監視しています。詐欺の兆候が見られる取引に対しては、詐欺が発覚した場合に加盟店さまが債務責任を負わされることを防ぐため、該当決済を非承認とする場合もあります。

 

暗号化

暗号化とは、情報を特別なキーがなければ読み取れないコードに変換することです。Squareでは業界標準の暗号アルゴリズムでデータを暗号化します。カード番号やカード名義人の名前などのデータは、Squareだけが解読可能な暗号に変換され、詐欺師が解読し利用することはできません。

SQ大竹-Otake
ベータマネージャー, Square
ベータコミュニティに参加しよう !
ベータに参加して、Square製品をより良いものにしませんか?
2,397件の閲覧回数
メッセージ1/1
不適切なコンテンツを報告
0 返信