コンテンツにスキップ

スティーブ・マクラッケンによるイラスト

カジノサイト EMV が米国デビュー

ミーガン・ゲイツ著
2015 年 11 月 1 日

印刷問題:2015 年 11 月

通常、パーティーに完全に欠席するよりは、パーティーに遅刻した方が良いです。ユーロペイ、マスターカード、ビザ (EMV) テクノロジーを採用する場合、米国は先進国のほとんどより約 10 年遅れて参加することで、この概念に関して「流行遅れ」の限界を超えました。

クレジット カードまたはデビット カードの取引が発生するたびに、2 つのテクノロジーが存在します。カード自体と、販売者がカードの情報を処理できるようにする販売時点管理 (POS) テクノロジーです。過去 40 年間、米国での取引におけるカード技術は磁気ストライプであり、POS 端末はカードが保持する情報を処理するように設計されていました。

しかし、磁気ストライプ技術には、詐欺師が簡単に利用できる多数の脆弱性がありました。 POS 端末でカードの情報を読み取ったり、郵便物からカードを盗んだり、小売業者のシステムをハッキングしてカード番号にアクセスしたり、カード番号を単にコピーして、後日オンラインで不正な購入を行うために使用したりする可能性があります。

これに対抗するために、Europay、Mastercard、Visa は新しいカード技術である EMV を開発しました。 EMV カードは、支払い情報を磁気ストライプに保存する代わりに、情報を保存し、支払い取引中に暗号化処理を実行する安全なマイクロプロセッサ チップを使用します。 

「磁気ストライプ カードとは異なり、EMV 支払い取引を正常に実行するために使用できる偽造 EMV カードを作成することは事実上不可能です」と、スマート カード テクノロジの理解、導入、使用を促進する多業種団体であるスマート カード アライアンスによると、 

EMV カードには、チップのほかに、トランザクションを完了するために 2 番目の消費者認証システム (通常は 4 桁の PIN) も必要です。これにより、物理的なカードが盗まれた場合でも、不正な購入に使用することができなくなります。安全性の低い代替手段として、EMV カードは PIN の代わりに署名を使用することもでき、取引が完了する前に消費者が請求を受け入れることを示す署名を要求します。

フランスは約 20 年前にチップと PIN カードを使用した EMV 技術を導入し、他のヨーロッパ諸国と英国も 2006 年にこれに倣い、「責任シフト」(不正行為に対する責任を最も安全性の低いシステムを使用した取引当事者、つまりカード発行者または販売者に法的に移転する)を導入しました。それ以来、カナダ、ラテンアメリカ、アフリカ、中東、アジア太平洋地域でこの技術が採用されています。 2014 年 12 月の時点で、世界中で 34 億枚のチップ支払いカードが使用されており、実装地域のほとんどの POS 端末はそれらを処理できます。

しかし、米国は 10 月にカード発行会社や加盟店に EMV テクノロジーの使用を奨励することを目的としたヨーロッパと同様の責任シフトを実施するまで取り残されました。しかし一部の専門家は、この移行がどの程度効果があるのか、また米国がクレジットカードやデビットカードの不正行為を防ぐベストプラクティスに従っているのかどうかを疑問視している。

たとえば、消費者が何かの支払いに EMV 対応カードを使用しているが、販売者が EMV 対応 POS システムを持っておらず、代わりにカードを磁気ストライプ取引として処理している場合、購入が不正であった場合には販売者が責任を負うことになる、とスマート カード アライアンスのエグゼクティブ ディレクターであるランディ ヴァンダーフーフ氏は説明します。

ターゲットやウォルマートなどの一部の大手販売業者は期限前に EMV 対応 POS システムを導入しましたが、他の多くのベンダーは導入しませんでした。実際、ヴァンダーフーフ氏は、10 月までに米国の加盟店のおよそ 35 ~ 50 パーセントのみが EMV 対応になったと推定しています。 

POS システムの変更は端末を物理的に交換し、チップ カード取引を処理するために必要なソフトウェアをインストールする必要がある複雑なプロセスであるため、販売業者は期限に間に合わなかった可能性があると彼は言います。

さらに、創業以来磁気ストライプ技術を使用してきたほとんどの販売業者にとって、これは一生に一度の変化である、とヴァンダーフーフ氏は付け加えた。 「これは彼らが通常行うことではなく、彼らが多くの専門知識を持っていることではありません。」

しかし、EMV対応のPOSシステムを期限までに導入せず、ゆっくりと展開し続ければ、加盟店は引き続き磁気ストライプ技術を使用して取引を処理するため、米国では今後も大手小売店へのハッキングが発生する可能性が高く、磁気ストライプ技術を使用して取引を処理することになると、FICOの欧州詐欺責任者マーティン・ワーウィック氏は述べている。

「私たちは、大手小売店が買い物をするためのカード番号を入手するためだけに、こうしたハッキングを常に目にすることになるでしょう」と彼は説明する。 「特に米国にとって、トレンドはそこに向かって進むと思います。」

ヴァンダーフーフ氏も同様の評価をしており、多くの専門家が販売者に対し、システムをEMV技術にアップグレードできなければ、かつては多くの販売者をターゲットにして偽造カードを作成していた詐欺師が、盗んだ認証情報を使用できる場所がますます少なくなるだろうと警告していると述べた。

これらの詐欺師は、「小売環境で使用できるカードを使えばまだ逃げられると知っているため、テクノロジーをアップグレードしていない販売者を探し出します」とヴァンダーフーフ氏は説明します。同氏は、店舗内でより多くの不正行為が発覚し始めており、消費者がEMV対応カードを使用しない場合、販売者はその責任を負うため、販売者にとってはアップグレードするためのより大きな金銭的インセンティブを生み出すことになると付け加えた。

加盟店の進歩は限られているにもかかわらず、カード発行会社はカードの交換が日常的な業務であるため、若干の改善を見せています。米国銀行協会のシニアバイスプレジデント兼立法審議会首席であるウィリアム・ボーガー氏は、プロテクト・マイ・データが8月に主催したイベントで、米国で流通している11億枚のクレジットカードとデビットカードのうち、2015年末までに6億枚がEMV対応になると述べた。ボーガー氏はさらに、カード発行会社が 2017 年末までに米国のすべてのデビット カードおよびクレジット カード所有者に EMV 対応カードを発行できるようになる可能性があると予測しました。

しかし、専門家が提起している懸念の1つは、米国のカード発行会社のほとんどが、より安全なチップとPINを使用したカードを消費者に発行していないことだ。その代わりに、マーチャント・アドバイザリー・グループの副社長リズ・ガーナー氏は、ボーガー氏とのイベントで、カード発行会社は「アメリカの消費者に不利益を与え」ており、チップと署名付きのカードを発行していると述べた。 「これはビジネス主導の決定であり、セキュリティ主導の決定ではありません」と彼女は付け加え、カード発行会社は消費者がカードの PIN バージョンを使用しないためにビジネスを失うことを恐れていると説明した。

ウォリックはこの立場を熟知している。 2004 年に英国がチップと PIN カードに切り替えたとき、カード発行会社も同様の懸念を示しました。しかし、英国の消費者にとって、PIN カードの拒否や PIN の忘れは問題ではなかったと彼は言います。

さらに、英国は、チップと PIN カードを採用することで、偽造カード詐欺とよりよく戦うことができました。これは、詐欺師がカードを盗んだり、取引プロセスを完了するために署名を偽造したりすることができなくなったためです。 FICOの調査によると、ワーウィック氏によると、英国での偽造詐欺は、チップとPINカードが採用されてから、2004年の2億1,800万ポンド(約3億3,500万米ドル)から2006年には7,200万ポンド(約1億1,700万米ドル)に減少したという。 

詐欺師が依然としてカードを盗み、それを使って買い物をする可能性があるため、米国はこの種の詐欺に効果的に対抗できないだろう。 「紛失や盗難による詐欺にはあまり効果的ではありません。また、カードをポストに投函しても、[詐欺師] がカードを盗んで使用する可能性があるため、あまり効果的ではありません」とワーウィック氏は言います。

米国のEMV導入に関するもう1つの懸念点は、ヨーロッパとは異なり、米国のATMと自動燃料ディスペンサー(クレジットカードやデビットカードを受け入れるセルフサービスのガソリンスタンドのポンプ)が2017年まで責任転嫁の対象から除外されていたことだ。これにより、カードをスキミングしようとする詐欺師の主な標的になる可能性があるとワーウィック氏は言う。

「犯罪者がどのようにしてお金を狙うかというと、まず現金が欲しいので、ATM と現金を欲しがるということです。」と彼は説明します。 「そして、彼らはカードの詳細を侵害することを好みます。ガソリン スタンドやガソリン ポンプ、特に自動ポンプは、人々にとって侵害しやすい場所であり、それがヨーロッパ全土で起こっていました。」

FICO は、EMV カード詐欺と米国におけるスキミングの増加に関する最近の白書でもこの傾向について取り上げました。白書によれば、「米国では、スキミングによるATMへの攻撃が前例のないほど増加している」という。 「これは、犯罪者が米国での逃走がはるかに困難になる前に、磁気ストライプ技術による詐欺を最大限に活用していることを意味します。」

では、なぜ米国は例外を設けたのでしょうか? 「すべてのガソリンスタンドが、これらの高価な無人ガソリンターミナルポンプの交換には多大な費用がかかると言っているのは、やはり商業的な理由だと思います」とワーウィック氏は言う。 「そこで、彼らはすべてを完了するためにさらに数年交渉しました。ATM についても同様です。なぜなら、この移行には決して安いものがないからです。」

arrow_upward