ネット通販のカード決済でパスワードを義務化へ 61
ストーリー by reo
セキュリティコードも覚えておこう 部門より
セキュリティコードも覚えておこう 部門より
ある Anonymous Coward 曰く、
ネット通販で他人名義のクレジットカード情報を使って本人になりすまして買い物する手口の被害が増えているため、日本クレジット協会と日本クレジットカード協会は、決済時にパスワードを入力するシステムを導入すると発表したそうだ (asahi.com の記事より) 。
国内の多くのネット通販ではクレジットカード番号と有効期限を入力するだけで商品を購入できるが、これを利用して本人になりすまして勝手に契約する被害が後を絶たないそうだ。そのため、両協会は加盟する国内のカード会社全て (約 280 社) に対し、利用者があらかじめ登録したパスワードを入力しなければ商品を注文できないシステムの導入を来年 3 月以降に開設されるネット通販サイトに義務づける。既にこの本人認証システムを導入しているカード会社もあるが、両協会は未対応の会社に協力を要請する。一方、既存の通販サイト側にもパスワード入力がなければ取引が成立しないように求める。
「なりすまし」を含むカードの不正使用被害は 101 億円 (2009 年) に上るそうだ。
CNET Japan の記事によると、カード裏面のセキュリティコードと、ネット取引の認証手段である 3D セキュアが活用されるようだ。
Amazonは? (スコア:2)
1-Clickとかはどうなるのだろう。
毎回入力してたら1-Clickの意味なくなっちゃうよね。
登録時に1回入力してたら以後はOKとなるのかな。
Re: (スコア:0)
Re: (スコア:0)
FlashかHTML5かSilverlightでローカルストレージに...
Re: (スコア:0)
で一切無視するのがAmazonの常道でしょう。
日本にあるのは委託倉庫ってことなんですよね?
Re: (スコア:0)
http://srad.jp/it/article.pl?sid=09/07/06/0217208 [srad.jp]
恒久的施設だと認定されて140億円ほど追徴課税されたそうですが、日米の二国間協議はその後どうなったんでしょうかね。
詐欺大国の中国のクレカでは実施されてますね。 (スコア:2, 興味深い)
中国以外の他の国でもメジャーなんでしょうか。
中国国内または銀聯対応POSで銀聯で使う場合はクレカ使用時に7桁のパスワードが必要です。
ただ、海外でVISA/MASTER/AMEX等で使う場合はサインだけで買えるのでそれを
利用した不正利用があると中国のニュースでありました。
それでも日本円で1000円程度をカードで使う度に登録した携帯電話にSMSが送られて来ますから、
気をつけていれば不正利用にはすぐに気づける仕組みです。
中国の場合、銀聯対応のキャッシュカードでも
銀聯対応の店舗、ネットで買う、お金を下ろす場合に7桁のパスワードがあります。
これに加えてネットバンキングでの銀行振り込みではデジタル証明書が入った専用USBキーが必要なので、
結構厳重です。
日本のクレジットカード情報の多くが中国人によって盗まれ(ネット経由で数十万件単位で)、
カード本体が中国人によって偽造され、日本で中国人と日本人の混成団によって使用されるのですから、
中国に学んでもいいと思います。
または中国以上にセキュリティを強化しても良いと思います。
パスワードなんて忘れた (スコア:1, すばらしい洞察)
Re:パスワードなんて忘れた (スコア:1)
Re: (スコア:0)
Re: (スコア:0)
あとは偽Web店舗がでてこないといいけどな。
見分ける用にSSLの緑だか黄色だかみたいなのがまた要るんじゃないか
Re: (スコア:0)
ネットで買い物して聞かれるたびにパスワード再発行してますw
# そのうち止められそうだな。
使われないシステムなんて無駄 (スコア:0)
確かICカードに切り替わる際に「今後はICカード対応端末のある店では暗証番号入力必須。伝票署名は承認しない」の旨の案内がありましたよね。
なのに実際には伝票サインばっかし。
カードで買い物をするのは何度もあるのですが、暗証番号の入力が求められたのはこれまで1度しかありません。
っていうか、ICカード以前に、CAFIS端末だってそもそもそのための仕組みですよね?
暗証番号忘れなんてお店には何の落ち度もないのに、そのせいで商機を失うリスクなんて販売店が負いたがるわけないんですよ。
余計な負担が増した上に商機を失いかねないシステム何か使いませんよ。
現時点でも即時決済に拘らなければメールでもオーダーできるのだから、そういった方法に逃げるだけだと思う。
Re: (スコア:0)
最近は暗証番号を使わないことのほうが少ないです。
みどりの窓口だと暗証番号入力の装置があるにも関わらず、使わなかったことの方が多いかな?
Re:使われないシステムなんて無駄 (スコア:1)
そうですか?当方東京地区ですが、近年端末での暗証番号4桁入力が増えています。
責任範囲 (スコア:1, 興味深い)
ウィルスとかトロイとかで抜かれてたのも、今までなら「あーカード番号漏洩ですねー」で保険でカバーされてたのが、パスワードが抜かれた場合「利用者様の責任になりますんでー」とかなったりするんじゃないかと、不安。
# 根拠はないけど。
Re:責任範囲 (スコア:1, 参考になる)
たしかに不安だけど、今までなんでも保険でカバーしか結果が100億円なんでしょう。それはそれでどうかと。
> パスワードが抜かれた場合
たしか銀行で不正にお金が引き出されたときにの補償では過失の度合いにより補償額が変わります。たぶん大筋ではこれに準ずるんじゃないでしょうか。
キャッシュカード等、暗証番号の管理についてのお願い [japanpost.jp]
一般的なブラウザとスマートフォンはいいけど… (スコア:1)
> カード裏面のセキュリティコードと、ネット取引の認証手段である 3D セキュアが活用されるようだ。
セキュリティコードはさておき、3DセキュアはVISA以外ガラケー対応してなかった気が。
ガラケー通販はクレジットカード利用率がいくらか下がるとはいえ…
しかし結局のところ、利用者が本人認証サービスに申し込んでないとあまり意味無いのがなぁ。
一般消費者への本人認証サービスの啓蒙の方も重要だと思うんだけど大丈夫なんだろうか。
# 本人認証サービスに申し込んでいるかどうかの判定は出来るので、
# 本人認証サービス未登録カード利用の拒否は可能だけど、顧客の手間が増えるので皆やりたがらない。そりゃそうだよね。
Re:一般的なブラウザとスマートフォンはいいけど… (スコア:2)
ガラケー通販はクレジットカード利用率がいくらか下がるとはいえ…
携帯電話で決済される都度課金などにシフトさせていくんでしょうかね?
それはそれで問題が大きくなりそうですが。
3Dセキュアは有料オプション (スコア:1, 興味深い)
だったりしませんか?うちの契約している決済会社はそうです。
これが義務付けられると、うちみたいな通販じゃない会社にとっては
余計なコストになるなぁ…大した額ではないが、嬉しくは無いね。
Re: (スコア:0)
よくわからんけど、「オンライン決済システムは今度、3Dセキュアが必須になります」と言っておきながら「3Dセキュアはオプションなので有料です」は筋が通らないんじゃね?3Dセキュアなしのオンライン決済システムが使い物にならなくなるんだから。
だから義務化するなら標準サービスになると思うけど。
Re: (スコア:0)
そして標準サービス料金が上がる、と。
本当の問題は客離れ(Re:3Dセキュアは有料オプション) (スコア:0)
オプション料金が1000円、2000円上がったって我慢できるが、決済が面倒に
なって客に逃げられるのが、本当の損失だね。
ますます、amazon.co.jpみたいな海外の企業が有利になるんじゃ、何の為の
規制だかワケがわからないような事になる。
Re: (スコア:0)
今のところ、既存契約業者は必須じゃない。
あと、3Dセキュアで守っていなければ不正利用を看破できない加盟店の責任でチャージバック何度もかけられるなら、有償オプションだろうがなんだろうが、入れる流れになるのではないかと。
Re: (スコア:0)
>余計なコストになるなぁ…大した額ではないが、嬉しくは無いね。
3Dセキュアを導入するには、既存の処理に手を加え、沖独占販売のミドルと専用サーバが必須。
しかも、各種エラー処理時のカード会社推奨対応(キャンセル扱いとかそのまま決済とか)がチョコチョコ変わって、その都度にチマチマ修正とか面倒くさい。
カード会社が、ベンダと結託して手数料で儲けようとしてるのでは?と思えるくらい。
三井住友カードあたりは (スコア:1, 興味深い)
すでに3Dセキュアですらも、本人確認に確実な手段とは考えていないようです。
今年に入ってすでに数回、小額の決済(8000円程度のイヤホン)ですらも承認を保留されました。
カード会社に電話すると、ごにょごにょですが、カードやクレヒス自体にはまったく問題が無い
とのことで毎回保留を解除してもらえます。
以前は海外との決済で保留される程度で国内決済で保留が掛かるなんてことは一度も無かったの
ですけれどね。
確実な認証手段として使えているのであればこのようなケースで保留する必要は無いので、3Dセキュア
についても一定の被害が発生し始めているのだろうと推測します。
そこから推測すれば、パスワード不要な(カード番号と有効年月、3デジット)決済などは言うまでも
無いのでしょう。
Re:三井住友カードあたりは (スコア:1)
>カード会社に電話すると、ごにょごにょですが、カードやクレヒス自体にはまったく問題が無い
>とのことで毎回保留を解除してもらえます。
フレーム上等で書くが問題があると思われているから保留されているの。
カード会社が客のクレヒスとかを馬鹿正直に教えてくれると思っているわけ?
AMEXの限度額設定無しを信じている人?
過去に何か換金性の高いもの連続買いしたんじゃないの?
ちなみに電話承認になった場合には本当に怪しいヤツは、電話掛けているそばから居なくなる。
俺?磁気不良以外でなったことはない。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
うーん、普通のネット決済で何度も保留されるって話、あんまり聞かないんですけど。
数千円ごときでいちいち保留していたら業務回らないだろうし、
なんかそちらにも問題あるのでは?
遅延などのクレヒスを直接傷つけることはしてないけど、
よっぽど変な店で何度もカード使ってるせいで注意対象になってるとか??
別口の借金情報が伝わっているとか。
たまーに、信用情報に他人の事故歴が誤って書き込まれるケースもあるみたいですね。
カード会社としても、信用情報の取得は有料ですから、電話しただけでは再調査はしないかも。
それに、窓口担当の権限では、自カード以外の信用情報までは見えないように作った気がする、多分だけど。
Re: (スコア:0)
ははは。他のコメントも含めて酷い言われようですがw。
不正検出はデータマイニング手法でやっているそうです。
私の場合だと、昨年1年間はこのカードは可能な限り使っておらず、今年に入ってからたまに
”ネット通販主体で”ぽつぽつ利用履歴があるような時期が多かったので、データをざっと
眺めるだけだと休眠カードの不正利用と疑われやすいのは確かです。確か今年国内通販累計で
3回ほど引っかかったかな。
逆にカードを安定的に使うほうが、保留掛かりにくいですね。
ちなみに、CICやCCBの情報は定期的に取得していますが、特段おかしな情報を書かれたことは無いですよw。
またリアル店舗で通らなかったことは無いので特にクレヒスに傷があるわけもありませんw。
Re: (スコア:0)
三井住友カードをつかってはや十数年、4桁5桁の決済にこまごまとつかっている。
先日社用の立て替えで6桁のソフトウェアをオンライン決済しようと思ったらなんどやっても決済が通らなかった。
そうかこういうことだったのか。デスクに電話すればいいわけか。
でもデスクの受付が9時5時なのであった。夜中の作業では間に合わない。嗚呼。
Re:三井住友カードあたりは (スコア:3, 参考になる)
そういう場合は前もって「これから○○万円の決済するよ」と連絡いれておくと
すんなりと通るよ。
あれは、プログラムで普段と違う行動 or 現金化しそうなものを買っているかを
判断して保留しているだけ。
宝石なんぞ買ったことがないヤツが、ティファニーでウン十万の宝石かったとか
東京で使ったのに、1時間後にパリで買い物した場合に弾いてくれる良心的な
システムだと思うけどね。
えっ、メンドクサイ?
カードのランクを上げろ、プラチナまでいけばグチャグチャ言われることはない。
なにをいまさら (スコア:1, 興味深い)
数年前にここスラドで、ネット上のクレジットカード決済は名前と有効期限だけで、素人目にもセキュリティーが甘すぎる。なぜ認証を併用しないのか?
といった疑問を投げかけたところ、皆一様に
「カード会社は利用者の購入傾向を人的に監視しているから問題ない」
「カード会社は多額の保険に加入しているから悪用されても問題ない」
「悪用されたことをカード会社に問い合われば請求はされない」
と言って、パスワードなどあっても無駄といった論調でしたが、こうした流れに至って、当時の「問題ない」と言い切っていた識者達の意見を改めて拝聴したいところです。
Re: (スコア:0)
たとえばカード番号だけでは不十分だといって、カード裏面に3桁のセキュリティコードが印字され確認するようになりましたが、それでも今回のようにパスワードが必要だという話になったのでしょう?
私は不正利用された時にカード会社から、パスワード認証をパスした以上は本人の利用なので支払え、と言われるのが怖いです。
いまのまま、カード番号だけで決済をするザルのほうが、いいと思うんです。
Re: (スコア:0)
そのコメントを特定したほうが議論しやすいと思います。
これ [srad.jp]じゃないですよねえ?
一次ソースがないのでリンク (スコア:1, 参考になる)
社団法人日本クレジット協会のプレスリリース12/14『新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン』を制定しました。 [j-credit.or.jp](pdf直リン)
日本クレジットカード協会の「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン」の制定について [jcca-office.gr.jp](このページ内にプレスリリースとガイドラインリンクあり)
ちなみに社団法人の方が経産省認定の業界団体(去年業界3団体が合併して発足)、日本クレジットカード協会の方は銀行系カードの業界団体です。
ひろみちゅも言ってたけど (スコア:0)
NTT-DATAのわけわからんドメインにパスワード入力させるのはそろそろやめるべき。
Re: (スコア:0)
訳判らんドメインにパスワードを入れるのも悩ましいが、https://hogehoge-shop.jp
みたいなドメインでパスワード入力させられるのも恐ろしく無いですか?
いっそ、日本クレジット協会と日本クレジットカード協会が信用出来るドメインを
発表して、そこのドメインは大丈夫!って発表したらいいんじゃないのかな?
変なショップより、ある程度の信用ある決済サービスサイトの方がマシ!と考える
人も多いでしょう。
Re: (スコア:0)
大丈夫!ってお気楽に発表される方が信用できなくて怖いですけど。
何がどう大丈夫なのか、誰がどんな責任を負うのか負わないのか、
範囲や条件を明確に説明してもらわなければ意味がないけれど、
それは事細かに説明されればされるほど、
難解すぎて一般人には意味のないものになってしまいそうです。
Re: (スコア:0)
現状では、3D認証を使っている場合でもカード番号などは店舗のページ上で入力させて、その後そのユーザーが3D認証利用者であればカード会社のページに遷移してパスワード入力、となっていたように思います。
せっかくだからこれを機に、カード情報の入力自体をカード会社ページへの遷移後にさせるようにしたほうがいい気がしますね。これなら店舗や中間に入る決済会社に番号が渡ることもないし。
Re: (スコア:0)
あれは、わけのわからんドメインを使っているから怪しいのであって、
secure-service.nttdata.co.jp みたいなドメイン使うようにすれば、
不安感が削がれるのでは無いでしょうか?
サービスを立ち上げるのは、どんないかがわしいドメインでもいいけど、
決済だとかには保守的になるべきだと思います。
Re: (スコア:0)
Re: (スコア:0)
変なドメインだと怪しく思うという話なんだから、ドメインをそもそも理解
していない人にとっては、メリットもデメリットも無いでしょう。結果は、
「何か判らんが、怖いので止めておこう」と思うか、あるいは「何か判らんが、
何とかなるだろう」とポチってくれるかどちらかでしょう。
ドメインは何であるか理解しているが、調べもしないで、単にNTT DATAを知
らないから怪しむだろうという例は、全くいないとは言わないけど、例外的
な人ですよね。
ついでに (スコア:0)
実店舗で使えないクレジットカードとか用意してくれないかな。
番号が漏れたとき、ネットでは大丈夫でも偽造されたら困る。
Re:ついでに (スコア:2, 興味深い)
つ「三井住友VISAバーチャルカード」
決裁の上限額が10万円です。
Re:ついでに (スコア:2)
そのカードでも、プラスチックカードを偽造されたら使われてしまうはず。 (番号は普通のVISAと同じだから。)
HIRATA Yasuyuki
Re:ついでに (スコア:1, 参考になる)
クレジットではなくVISAデビット扱いになりますが、ジャパンネット銀行のワンタイムデビットなんかどうでしょう。
毎回銀行のWebサイトでクレジットカード番号・仮想的なカード有効期限年月を生成して、それを使ってネット通販で買物出来ます。一つの番号は発行から10日間有効で、10日以内でも一度使われた後は違う店舗からの決済は受け付けないようになっています。
何のためのクレジットカードか (スコア:0)
セキュアにするなら、年会費と手数料を大幅に値下げしてくれないと、納得がいかん。
何やっても無駄 (スコア:0)
目に見えた結果。 (スコア:0)
保険免責がしやすくなっただけ。
誰が漏らしたかなんて、証明しようが無いもんね。