オンラインコマースが現実のものとなって以来、オンラインで何かを購入する際には、クレジットカード番号、有効期限、CVCコードを知っていれば十分でした。MFAが世界中の銀行で採用されるようになり、状況は徐々に変化していますが、過去20年の間、オンラインショップの大半はそうではありませんでした。オンラインショッピングが現実のものとなる前でも、電話でカードの詳細を綴ることで商品を購入することができました。
ではなぜ銀行やクレジットカード会社は、カードに直接秘密のコードを印刷し続けることにしたのでしょうか?これで誰でもカードの写真を撮ったり、番号を暗記したりして、口座の持ち主を詐称することができる。これは特に、ウェイターのような人にとっては簡単なことである。
最終的には、あなたは不正行為のリスクを負担していないので、リスク許容度を設定していません。3桁のコード、全体のカード番号、チップとピン、チップと署名、レシート上の署名、マグストリップなどの情報。あなたの銀行は、それらのすべては本当に秘密で、あなたはそれらを保護する必要がありますが、彼らができるならば、あなたの顔に入れ墨をするだろうと言うでしょう。
ゲームの目的は、許容できる不正行為のコストに対して、可能な限り取引の摩擦を少なくすることです。
なぜカードに3桁の数字が印刷されているのか?それは、おそらくあなたがカードを使いたい時にカードを手に持っているからです。この「秘密の」コードは、主に怠惰な磁気ストリップのスキミングや、レシートがカードに印刷されていた昔の時代に関連した低レベルの詐欺に対抗したり、先手を打ったりするために生まれました。この番号はマグストリップのデータの一部ではなく、マグストリップや、大量のインプリントレシート(クレジットカードの初期の時代)やクレジットカード番号で埋め尽くされたデータベースを所持していることに気づくかもしれない人々からの秘密であることを意味しています。それはこれまでに、大量の口座番号が取られたインスタンスに対抗するために、カードの存在の低レベルの証拠を提供することを意図していた; それは、認証や安全な取引ではありません、それはチェックサムではありません、それは単にマグストリップやインプリントにはない番号です。驚くべきことではないが、興味深いことに、この番号は単にランダムなものではなく、カード発行会社だけが知っている方法でプライマリーアカウント番号から暗号的に導き出されているのだ。
なぜ銀行は番号を保護しようとしないのでしょうか?銀行はあなたに番号を覚えなくてもカードを使ってほしいと思っているからです。
なぜアメリカン・エキスプレスの4桁の「秘密の」番号がカードの表にあるのか、裏にもしっかりと隠されていないのか、誰にも分からない。
なぜカードは裸ではなく、どこか別の場所に安全に保存された情報を使ってブランディングするためのものではないのでしょうか?なぜなら、2つの場所はmore場所であり、明らかに安全ではない3桁のコードが印刷された紙を別個に郵送されてきた場合、カードを使用しないかもしれないからだ。
銀行のインセンティブは、あなたがカードを使うことです。もしあなたがカードを使わなかったり、競合他社のカードを使ったりすると、銀行は儲からない。
銀行が納得できるレベル以上に決済手段を確保したいなら、それはあなたの自由です。番号を削って剥がしても、マグストリップを剥がしても、何でもいい。銀行は気にしないので、銀行はそんなことはしません。
カードに印刷されているのは、自分以外の人が読む必要があるかもしれないからです。カードをレジに渡したときに、何らかの理由でカードをスキャンできずに番号を入力しなければならない場合、カードを裏返してセキュリティコードを入力することで、カードを持っていることをコンピュータに証明することができます。これは決して暗記することを意図したものではなく、もしカード利用者がコードを暗記してしまった場合、カードを物理的に所有していることを証明するものとしての有効性を失ってしまいます。
カードにコードが印刷されていることでカードの安全性が低下し、 コードを記憶した後にカードからコードを削り取ることを提案する人もいる しかし、それは他の詐欺方法ほど一般的ではない特定のタイプのクレジットカード詐欺を防げるだけのことである。
真の暗証番号がない場合、請求先郵便番号はカード所有者が既に記憶している番号であり、カードには印刷されていないため、別の認証として使用することがますます一般的になっています。
セキュリティコードの主な目的は、ハッキングされたカード情報の再利用を防ぐことです。これを実現する主な方法は、決済処理業者がこのコードを保存しないようにすること
決済カード処理に関わる加盟店、サービスプロバイダー、およびその他の事業体は、承認後に機密認証データを保存してはなりません。これには、カードの前面または背面に印刷された 3 桁または 4 桁のセキュリティコード、カードの磁気ストライプまたは チップに保存されたデータ(「フルトラックデータ」とも呼ばれます)、およびカード所有者が入力した個人識別番号(PIN)が含まれます。本章では、PCI DSSの目的と関連する12の要求事項を紹介します。
カード番号とセキュリティコードが印刷されている理由をお聞きしています。どちらの場合も、少し歴史をおさらいしておきましょう。
カード番号(業界ではPANと呼ばれています)は単なる識別子であり、秘密にする理由はありません。カード番号はどのような取引にも必要であり、チャージを関連する口座にチャージバックするために必要です。
POS端末(「クレジットカード機」)を使用したPOS端末で、磁気ストライプまたはカードのチップを読み取り、認証や暗号化を行わずにPANとその他のデータを提供します。
電話や紙(業界では “MOTO "と呼ばれているもの:通信販売/電話注文)で、電話で詳細を読むか、注文用紙に記入するだけの場合。
インターネットでは、カードから番号を読み取ってフォームに入力する必要があります。カード番号が読めないのに、どうやって注文するの?
PANは決して秘密ではありません。紙の小切手に記載されている口座番号と全く同じように、どの口座からお金が引き落とされるかを知るための口座番号に過ぎないのです。
キー(最後の一桁)は(お粗末な)セキュリティ機能だと思っている人もいますが、実際には入力エラー(桁が変わった、桁が入れ替わった、など)から保護するためだけに使われています。
最近では、人々はPANは秘密であるべきだと考え始めており、これが「トークン化」の導入につながっています:実際のカード番号を送信する代わりに、別のカード番号を送信します。
これは例えばApple Payの場合の例です。カードを本当のPANで登録すると、銀行はトークン(「偽の」PAN)を送り返してきます。もし誰かがそのPANを傍受した場合、そのPANを使って何かをすることはできません。Apple Payにカードを追加することはできませんし、店舗やオンライン、電話などでも利用できません。
それって本当に便利なの?すべての取引が他の手段で認証される完璧な世界では、PAN自体が無意味なはずです。実際には、かなり安全ではない認証方法を使用できるチャネルが存在するため、これは追加の防御ラインとなります。
非接触型カードの導入に伴い、トークン化の必要性が若干高まっていることに注意してください。
カードの裏面(アメリカン・エキスプレス・カードの場合は表面)に印刷されているセキュリティコードは、もともと存在していませんでした。以下のような不正行為を防ぐために追加されました。
完全なカード番号(および氏名と有効期限)が記載されたクレジットカードのレシートが廃棄され、他人に回収された場合(これは、特にインプリンタが使用されていた場合に顕著であったが、カードネットワークが最終的に顧客のレシートに完全なPANを印刷することを禁止することを決定する前にも同様であった)。
カードを「スワイプ」して、PAN、有効期限、カード所有者名などを含む磁気ストライプの内容を記録する。) これにより、カードに物理的にアクセスできる人(ウェイターやレジ係など)は、気づかれることなく大量のカードを素早く記録することができるようになりました。
これに対抗するために、この新しいコードが追加されました。
このコードは、ユーザーが実際にカードを持っているかどうかを確認することができない(いわゆる「カード非提示」取引)、ユーザーがカードを持っていることをもう少し確認したい場合にのみ必要となります。
これを回避するのは非常に簡単です:カードの完全コピー(両面)を作成するか、すべてのデータをメモしておく必要があります。しかし、上記のシナリオの多くでは、不正なユーザが気づかれずにこれを行うことは、より困難になっていました。
(ハンドヘルド端末の導入は、ユーザーが常にカードから目と手を離さないようにすることができるため、大きな助けになるが、特に米国のレストランでは、これはまだ標準的な習慣ではない)。理論的には、誰もセキュリティコードを保存することは許されていないので、ハッカーはPANと有効期限だけを取得し、再度使用することはできませんが、実際には、あまりにも多くの人がまだセキュリティコードを保存しています。業界は
真の保護は、新しい認証手段(3Dセキュア)によって実現されます。
真の保護は、データ以外の別の検証モードを可能にする新しい認証手段(3D セキュア)から来ています。銀行(あるいはカード)によっては、以下のようなものが含まれています。
セキュリティコードは、オンライン/MOTO取引(「カードが存在しない」取引)で***のみ使用されることに注意してください。カードが提示されているトランザクションでは、次のいずれかを使用します。
簡単に言えば、信用システムの意図は、異なる当事者間の信頼関係をタイムリーに利用することにあります。しかし、サイバーの世界は防弾性には程遠い。ほとんどの悪用は、通常、設計自体の中にあり、他の何かではありません。コンピュータを使って人生のどこかで何かを得ようとしている人への私のアドバイスは、サイバー窃盗ではなく、スクリーンやロジックボードの修理のような市場性のあるスキルを身につけることです。他人から奪って嫌がらせをする(クレジットカードの盗難)のではなく、電気工学など、理解するのに時間がかかるものを世界に示すことには、もっと多くのチャンスがあります。将来のサイバーセキュリティは、反復的な意思決定を処理する思考機械に頼ることになりそうだ。
