EMVシフト後、クレジットカードはまだ安全ではありません

クレジットカード詐欺に関する規則が変更されて以来、6ヵ月以上経過しており、古い磁気ストライプのクレジットカードからEMVチップが組み込まれたカードに移行しています。 Mercator Advisory Groupによると、米国のクレジットカード端末の20％のみがチップ利用のために2016年4月までに稼動していたという。すべてのクレジットカードの60％しかチップで更新されていません。

それにもかかわらず、チップカードをリーダーに貼り付け、トランザクションが確認されるのを待って、カードを長時間放置するとマシンでビープ音が鳴るという新しいプロセスを経てきた可能性があります。

このプロセスは、データをよりよく管理するように大きく推進されています。しかし、おそらくEMVトランザクションほど安全ではないでしょう。どのようにして安全なのかはかなり低い どれか EMVトランザクションが可能です。その一部は技術の限界であり、一部は人間の行動の現実です。

固執ポイントとしての消費者行動

EMV移行のいくつかの問題が広く指摘されている。一つは、トランザクションが遅くなる可能性があります。別の方法として、あなたはあなたの身元をあなたの名前に署名することによってあなたのアイデンティティを昔ながらの方法で確認します。そして、小規模の取引では、それをする必要はありません。

「店頭ではチップカードリーダーにチップカードを浸しておく必要があります - 少なくとも短期間では、商人がプロセスをスピードアップすることを学ぶように、店舗のチェックアウトレーンではかなり時間がかかります」とジャーナリスト、セキュリティ担当のBrian Krebsセキュリティに関するクレブスの専門家。 "また、おそらく、消費者がデバイスに慣れるまで、多くの人々がカードをマシンに残し、銀行の紛失や盗難を増加させるだろう。

ヨーロッパでは、消費者は何十年もの間チップ化されたクレジットカードを使用してきました。しかし、セキュリティを強化するために、カード所有者は取引中に身元を確認するためにPINコードを入力する必要があります。ではなぜ、米国はチップと署名の代わりにチップとPINシステムを採用しなかったのですか？主な要因は、消費者の行動を変えることがどれほど難しいかという発行体の認識でした。

"米国。消費者はクレジットカード取引でPINを入力することに慣れていません」とマサチューセッツ州のAite GroupのリサーチディレクターJulie Conroy氏は述べています。 「私が話した発行者の多くは、発行者がユーザーの経験から競争上の不利益を被ったカードを発行したくないため、チップと署名を選んだ。ある発行者の言葉で、スワイプの代わりに消費者を教えることは十分な変化でした。彼らは同時に消費者に2つの行動を変えるように教える必要性を冒すことを望まなかった」と語った。

詐欺を止める試み

アメリカの消費者を変える理由主な理由は詐欺でした。

2014年に、支払業界をカバーするThe Nilson Reportによると、世界中のクレジットカード詐欺で160億ドル以上が失われました。このうち、米国では48％が発生しました。従来の磁気ストライプカードは、ストライプに保存されている情報が静的であるか変更されていないため、ハッキングが容易です。一度コピーすると、重複したカードを作ることができます。ただし、EMVチップではトランザクションごとに固有のコードが生成されるため、あるトランザクションからコピーされた情報を別のトランザクションで使用することはできません。

"米国。消費者は、米国の規制環境と支払いネットワークが提供するゼロ責任保証のおかげで、[クレジットカードの直接費用]詐欺から大きく守られています。 EMVへの移行は、クレジットカード発行者を消費者を保護するよりも詐欺の損失から守ることに本当に関わっています。

2015年10月にクレジットカード詐欺に対する新しい規則が導入されました。詐欺が発生した場合、EMV技術を使用していない当事者は、損失の責任を負います。問題のカードがEMVチップ化されていない場合、責任は発行者にあります。マーチャントにEMVチップリーダーがない場合、マーチャントは責任を負う。責任も共有することができます。

PINは限定された保護のみを提供します

負債方程式を考慮しないのは、チップカードがPINまたは検証のための署名に依拠しているかどうかである。真実は、ほとんどのクレジットカード詐欺がチップとPINで防止されることさえないということです。

「チップ・アンド・PINは、盗難や盗難から守ることができます。つまり、誰かがあなたの財布を盗むと、買い物をすることで簡単にカードを受け取ることができません。そのような詐欺行為は一般的なクレジットカード詐欺と比較してごくわずかです。

さらに、泥棒は常にセキュリティを回避する方法を見つけるでしょう。 「われわれは、他の国の例に基づいて、スキミング攻撃、肩のサーフィン、またはピンポイントのカメラのいずれかを使用して、犯罪者が暗証番号を取得するのにかなり熟練していることを確認しました。コンロイ氏は、買収ごとにPINが変更されないため、「不正行為と効果的に戦える能力に限界がある」と述べた。英国がチップ・アンド・PINになったとき、紛失・盗難の詐欺は一時的に減少しましたが、数年以内にPINレベル以前に戻りました」

EMVチップはオンライン取引でも役割を果たさないため、チップカードは磁気ストライプカードと同様に脆弱です。

より安全な方法がありますか？

Conroyによると、チップとPINはせいぜい短期的な問題ではないという。「理想的には、産業界がPINを飛ばして、バイオメトリクス、モバイル検証などの他の検証方法に移行したいと思っています。 「このプロセスでは、商人が保管するのに費用がかかり、現在実装されている顧客認証方法としては役に立たない署名もなくすべきだ」と語った。

クレブスは、詐欺と戦う手段として「トークン」を使用することを提案しています。トークン化により、商人のコンピュータはクレジットカードデータをまったく格納しません。代わりに、発行者からデータを取得するために使用できるプレースホルダ番号またはトークンを格納します。

「トークン化は、加盟店がカードデータを長時間保管することを避けることができ、その過程でサイバークロスがカードデータを対象とする可能性を減らすことができます。トークン化は、ほとんどの消費者がクレジットカード詐欺の犠牲者になるデータ違反の脅威を軽減します。

モバイルソリューションには独自の制限があります

Apple Payなどのモバイル支払いとデジタルウォレットは、代替手段を提供する可能性があります。しかしコンローイ氏は、「モバイル決済の商店固有の実装の中には、大成功を収めているものの、オープンループのモバイル決済であるApple Pay、Android Payの採用が大きく遅れている。

Krebsはモバイル決済のセキュリティリスクも認識しています。 「アップルペイはトークン化の一形態を使用していましたが、これまでのApple Payの問題は、銀行の怠慢登録手続きや、これらのデータ要素が広くなったときの認証のための静的データ要素[社会保障番号や生年月日など]すべてのアメリカ人に妥協して販売している」と語った。

モバイルを維持することの1つは、あなたの財布のカードである可能性が高いです。 Conroy氏は次のように述べています。「コンシューマーはカードで取引するのが非常に快適です。消費者の行動を変えるのは難しいので、カードはいつか一緒に来ます。

Ellen Cannonは個人金融ウェブサイトInvestmentmatomeのスタッフ執筆者です。電子メール：[email protected]。 Twitter：@ellencannon。