オーストラリアの決済システムは何年もかけてアップグレードされてきたが、詐欺師たちは依然として利益を上げており、デビットカードやクレジットカードに新たなセキュリティ機能を搭載する大規模なプログラムに疑問符がついた記録を残している。
オーストラリアは数年前から、不正利用を抑止するために設計された高度な暗号化機能を備えたマイクロチップを搭載したEMV(Europay、MasterCard、Visa)決済カードへの移行を進めてきました。このセキュリティ変更は、カード裏面の黒い磁気ストライプの使用を減らすことを目的としています。磁気ストライプは、コピーによって偽造カードが作成される可能性があるためです。
1990年代半ばに開発されたEMVシステムは、ヨーロッパ全域および他のいくつかの国で導入されています。このシステムは、VisaとMasterCardによって推進され、加盟店や決済処理業者に対する新たな詐欺責任(いわゆる「ライアビリティ・シフト」)の脅威が一因となっています。
IDGニュースサービスの調査によると、4つの主要銀行と2,200万人の人口を抱えるオーストラリアでは、EMVへの移行が遅れており、業界が自ら設定した期限に間に合わなかったことが明らかになった。
この状況は、人口3億人を超え、6,000以上の金融機関を抱える、はるかに規模の大きい米国市場におけるEMV導入の難しさを予兆している可能性があります。オーストラリアではEMVへの移行により、一部の不正行為は減少しましたが、他の不正行為は明確な理由なく増加しています。
詐欺の減少が報告されましたが、本当にそうだったのでしょうか?
金融機関間の決済ポリシーを管理する自主規制機関であるオーストラリア決済決済協会(APCA)は6月、2011年に偽造カード詐欺が18パーセント減少したと発表した。
APCAによると、偽造デビットカードおよびクレジットカードによる損失は、2010年の4,084万豪ドル(4,200万米ドル)から2011年には3,346万豪ドルに減少した。しかし、銀行やクレジットカード会社からAPCAに提供されたデータを詳しく調べてみても、それほど明確なプラスの結果は得られなかった。
オーストラリアの決済環境は複雑です。デビットカードとクレジットカードには、EMVマイクロチップ搭載のものも搭載されていないものも存在します。APCAに提出された不正利用件数には、オーストラリア国内で発行された決済カードだけでなく、海外で発行されオーストラリア国内で使用されたカードも含まれます。
APCAは、18パーセントの減少率を算出するために、マスターカードやビザなどの企業のブランドが付いているオーストラリア国内の「スキーム」カードの偽造詐欺のコストと、海外で発行されオーストラリアで使用されているスキーム決済カードのコストを合計した。
後者の分野では偽造詐欺が著しく減少し、2010年の2,800万ドルから2011年には1,700万ドルに減少した。しかし、オーストラリア発行のカードでは詐欺が2010年の1,290万ドルから2011年には1,640万ドルに急増し、APCAが統計を発表し始めた6年以来最高の数字となった。
このデータは、オーストラリア人が自国でこの制度カードを使用していると、EMVマイクロチップが搭載されているにもかかわらず、偽造のリスクが高いことを示唆しています。APCAの主張をさらに曖昧にしているのは、海外発行のカードに磁気ストライプのみが搭載されているのか、それともEMVチップも搭載されているのかが不明であるということです。
「彼らが数字を巧みに操作しているのは明らかだ」と、シドニーに拠点を置くスマートカードとデジタルIDのコンサルティング会社、ロックステップ・グループのCEO、スティーブン・ウィルソン氏は述べた。「プレスリリースはマーケティング戦略の1つだ」
米アトランタ連邦準備銀行は2012年1月の報告書で、オーストラリアでのEMV導入による詐欺の減少は「他のチップ&PIN市場における偽造詐欺の減少よりも緩やかである」と指摘した。
APCAのCEO、クリス・ハミルトン氏は、同団体が発表した数字は科学的な研究の結果ではないことを認めている。その結論は、APCAに統計情報を提供している情報源からのフィードバックに基づく推測的な部分もある。「あまり明確ではないというのは、妥当な意見だと思います」とハミルトン氏は述べた。
APCA は、他の種類の詐欺の減少は、チップ対応の販売時点管理 (POS) デバイスの広範な導入によるものだと主張している。
例えば、EFTPOS Payments Australia Limited (EPAL)という会社が運営する決済システムを使用する銀行が発行するカードである、いわゆる「独自」デビットカードにおける偽造詐欺は大幅に減少しました。
同機構によると、EFTPOS取引はオーストラリア全体の取引の51%、デビットカード取引の80%を占めている。しかし、これらのカードにはEMVチップが搭載されていないため、偽造されやすくなっている。EPALは自社製デビットカードのセキュリティを強化していると主張しているが、具体的な詳細は明らかにしていない。
ATM運営会社は撤退に消極的
EPALはカードのEMVへの移行を延期しているが、今後数年以内にカードの導入を開始する予定だ。広報担当者によると、EMVは「管理上の」問題とみなされている。
オーストラリアの小売業者は4月からEMV対応の決済端末の設置が義務付けられました。これらの端末を設置していない場合、遵守期限に従い、小売業者は不正行為による損失を賠償する責任を負う可能性があります。
しかし、オーストラリア全土に3万台以上あるATMは、それほど急速にはアップグレードされていない。
ATMをEMV対応にするには、ハードウェアとソフトウェアのアップグレードが必要になる場合があり、容易ではありません。Clear2Pay社でATM EMV対応を専門とし、オーストラリアの銀行と取引のあるイッサ・ケシェック氏は、「ATMをEMV対応にするのは非常に手間がかかります」と述べています。ATMは、様々な種類のカードで確実に動作することを確認するために、何千回ものテストを受ける必要があります。
その結果、オーストラリアの銀行は対応を遅らせ、自らに課した期限を失効させてしまった。ATMは2013年10月までにEMV対応になるはずだった。期限はその後2014年6月に延期されたが、その日付はまだ確定しておらず、さらなる詐欺の機会を残しているとケシェック氏は述べた。
「本質的に、安全性の低い国が標的になるのです」とケシェック氏は述べた。「攻撃者は、オーストラリアのように安全なインフラを持たない比較的規模の大きい国に狙いを定めます。オーストラリアもその一つです。」
オーストラリアで4,000台以上のATMを運営するコモンウェルス銀行は、2011年11月、EMV規格に準拠したATMを初めて導入すると発表しました。NAB銀行は、2013年6月末までにATM全台をEMV対応にする予定です。一方、ANZ銀行は、計画は商業的に機密事項であるものの、アップグレードは「最優先事項」であると述べています。WestPac銀行は、ATMの大部分がEMV対応であるものの、必ずしもすべてのATMがEMV規格に準拠しているわけではないと述べています。
オーストラリアにある3万台のATMのうち、約半数は非銀行系企業によって運営されています。最大の企業はファースト・データとカスタマーズATMです。カスタマーズATMはコメントを控え、ファースト・データはインタビューに応じませんでしたが、EMVへの完全準拠に向けて取り組んでいると述べました。
英国に拠点を置くコンサルタント会社、グリーンウェイ・ソリューションズの電子犯罪防止担当主任コンサルタント、イアン・スウェイン氏は、通常、非銀行ATMは「銀行ATMと同じセキュリティ基準で構築されることはない。なぜなら、それらはより安価な機器だからだ」と述べた。非銀行ATMは、ビザやマスターカードが義務付けているのと同じセキュリティ基準を満たす必要があるが、スウェイン氏は、それらの機器は銀行ATMほど物理的に安全ではないかもしれないと述べた。
「そのため、カードスキマーが機能する可能性が高く、攻撃者はデバイスに物理的に侵入して内部にスキマーを仕込んだり、背面からモデム接続を盗聴したりできるのです」とスウェイン氏は述べた。
オーストラリアではすべての決済カードにEMVチップが搭載されているわけではないため、一部の銀行では、ATMがカードの磁気ストライプからデータを読み取ることができる、いわゆる「フォールバック」メカニズムをオフにしていない可能性があります。場合によっては、チップに不具合があると思われる場合でも、ATMは磁気ストライプのデータを読み取ることがあります。
これにより、詐欺師にとっての好機が生まれ、ATM の複雑さを利用して、ATM が支払いを行うかどうかをテストできるようになります。
顧客のATMカードがスキミングされ、偽造カードが作られた場合、「銀行には、複製された磁気ストライプが使われているのか、本物の磁気ストライプが使われているのかを見分ける方法はありません」と、ケンブリッジ大学コンピュータ研究所セキュリティグループの研究者で、EMVを幅広く研究しているスティーブン・J・マードック氏は述べています。「銀行の記録は、ICチップと磁気ストライプを区別できるはずです。」
この状況は、ICカードが不正に利用された場合、顧客が責任を負うことになるため、顧客にとって悪いニュースです。ICカードの磁気ストライプが複製され、銀行のATMが磁気ストライプのみを読み取るように設定されている場合、顧客が不審な取引を行っていないことを証明することは困難になる可能性があります。
「銀行は、あなたが何か間違ったことをした、そしてそれがあなたの不正行為であることを証明しようと、さらに強引な手段を講じます」とケシェック氏は述べた。「無実が証明される前に、あなたはほぼ有罪になるのです。」
銀行は偽造カードを見分けるために他の手段も利用できます。例えば、シドニーでカードが使用され、1時間後にルーマニアで現金引き出しに使用された場合、詐欺師が関与している可能性が高い兆候です。
しかし、位置情報ブロックには限界があり、特にカード会員の居住地の近くで不正取引が行われた場合はその限界が顕著です。「不正取引検知システムが十分に厳格でないため、こうした取引を捕捉するのは非常に困難です」と、ガートナーの不正検知専門家兼アナリストであるアビバ・リタン氏は述べています。「そうでなければ、正規の顧客に迷惑をかけてしまうことになります。」
それでも、銀行は不正行為を捕捉するためのより優れたシステムを開発しているとスウェイン氏は述べた。世界中でカード決済を可能にする国際金融システムは非常に技術的であり、「そもそも機能していること自体が驚くべきことだ」とウィルソン氏は述べた。
ニュースのヒントやコメントは[email protected]までお送りください。
