ITエンジニアのための勉強会・イベントレポート情報メディア

憧れの「Apple Card」は、かっこいいだけじゃなくて不正利用にも強い!?知っておきたいクレジットカードセキュリティの仕組み
trend

憧れの「Apple Card」は、かっこいいだけじゃなくて不正利用にも強い!?
知っておきたいクレジットカードセキュリティの仕組み

2019.06.10

 
  • このエントリーをはてなブックマークに追加

「クレジットカードを再定義した」
Apple Card

3月26日のアップルの発表で最も話題になったのが、Appleが運営するクレジットカードApple Cardだ。iPhoneのApplePay内に作るバーチャルなApple Cardだけでなく、リアルのApple Cardも登場する。これが余計な装飾がまったくないチタン製金属カード。クールだと、世界中で早くも話題になっている。そのデザインだけでなく、セキュリティに関しても、従来のカードとは一線を画している。Apple流に言えば「クレジットカードを再定義した」と言ってもいいほどの革命的なことなのだ。

従来のクレジットカードセキュリティ上の弱点は、決済の時に加盟店(店舗)側にカード情報を伝えなければならないということだ。加盟店は、このカード情報を元にカード認証をして決済を行う。このカード情報(カード番号、有効期限、氏名など)は加盟店が保存をして、データベース化してさまざまなマーケティング施策に活用する。集計をすることで購入回数、頻度などがわかる。

このデータが狙われる。外部からのハッキングにより、あるいは内部の人間がカード情報を持ち出すことにより、外部流出が起こる。この流出したカード情報を使って、ネットでカードを不正利用する「番号盗用」被害が世界的に増えている。

日本も例外ではない。日本クレジット協会が公開している統計によると、「番号盗用」による不正利用被害額がここ数年急増しているのだ。



(日本国内でも番号盗用による被害がここ数年急増している。店舗やECサイトなどが保存している顧客のカード情報が流出され、それがネットなどで不正利用されるというものだ。統計は日本クレジット協会が集計したもの。)

「トークナイゼーション」
(トークン決済)という
新しい技術の導入が開始

この問題を解決するため、カード業界は「トークナイゼーション」(トークン決済)という新しい技術の導入を始めている。これは、カード番号をまったく別のトークン番号に置き換えてしまうというものだ。数学的にトークン番号から元のカード番号を推測することはほぼできないようになっている。

このトークン番号は、カード発行時に決まり、クレジットカードのICチップの中に書き込まれている。このトークン番号を使って、決済を行う。

ポイントは、このトークン番号は、クレジットカード番号とは構造が異なっているので、ECサイトなどのクレジットカード番号入力欄にトークン番号を入力しても、カード番号とは認識されないということだ。

つまり、トークン決済のキモは、真正なクレジットカードを使って決済をするときは、認証をした後、トークン番号で決済ができるが、認証をする前にいきなりトークン番号を使おうとしても無効になってしまうということだ。番号を盗用して使おうとしても使いようがない。

店舗側には本来のクレジットカード番号は伝わらず、トークン番号だけが保存され、店舗はこのトークン番号だけを保存する。そのため、万が一、このトークン番号が流出しても不正利用のしようがない。つまり、番号盗用被害が起きようがなくなる。

ApplePayに登録できる
クレジットカードは、
トークナイゼーション技術に対応

ApplePayの優れた点は、ApplePayに登録できるクレジットカードは、このトークナイゼーション技術に対応していることを条件としたことだ。そのため、トークン決済に未対応のカードはApplePayに登録することができない。

今年の夏頃から米国で使えるようになるApple Cardももちろんトークン決済対応なので、カード番号が流出する危険性はほぼゼロになる。また、チタンで作られる物理カードにも名前以外は刻印されない。目で見る、写真を撮るといった方法でカード番号などの情報を盗むショルダーサーフィンもやりようがない。ICチップ対応のカードであれば、ICチップの偽造カードを作ることもほぼ不可能。悪人の視点から見ると、どこにも不正利用する隙がない。もちろん、将来、新たな手口が開発されることはあるかもしれないが、現在のところ、最もセキュリティレベルが高い決済システムになっている。



(公式サイトにあるAppleCardの写真。アップルのロゴと利用者氏名以外の情報は刻印されていない。カード番号、セキュリティコード、有効期限などもない。ICチップにはトークン番号が書き込まれているので、カード番号を加盟店に渡すことなく、安全にトークン決済ができる。AppleCardの公式サイトより)

すでにiPhoneでApplePayを使っている人は、Walletアプリで自分のカードを見ていただきたい。クレジットカード番号が下4桁しか表示されない。実は、本当のクレジットカード番号はiPhoneの中のどこにも保存されていない。カードを登録するときに、トークン番号が発行され、それしか保存されていないのだ。このため、iPhoneからカード番号が流出する可能性はゼロになる。



(日本のApplePay公式サイトにある写真。カード番号のところを見ると、下4桁しか記載されていない。これは表示だけのことではなく、iPhoneのどこにもカード番号は保存されていない。トークン番号が発行され、安全なトークン決済を行う。下4桁のカード番号が表示されているのは、カード会社によっては本人確認にカード番号の下4桁を使う習慣があるため。(https://www.apple.com/jp/apple-pay/))

すでに普通のクレジットカードを
使っている人も、ApplePayの
高いセキュリティの恩恵に

すでに普通のクレジットカードを使っている人も、このApplePayの高いセキュリティの恩恵にあずかることができる。普通のクレジットカードを店頭で使った場合、トークン決済になるとは限らない。店舗側がトークン決済に対応していなければトークン決済されず、カード番号を店舗に渡す普通の決済になってしまう。しかし、ApplePayに登録をすると、ApplePay対応店舗でしか決済ができなくなるが、必ずトークン決済となる(日本の場合は、Felicaに対応するため、iD、QUICPayなどの電子マネー経由の決済になるが、カード番号が店舗に保存されないという点は同じ)。

つまり、カードをそのまま使うのではなく、ApplePayに登録して使うことで、セキュリティレベルが店頭でも、ウェブでも格段に上がるのだ。もし、セキュリティを重要視するのであれば、物理カードは家に置いて持ち歩かないようにし、ApplePay経由でのみ使うようにすると、カード情報が盗まれるリスクを限りなく小さくすることができる。

ApplePayのような新しい決済方法が登場すると、ついつい「セキュリティが不安」と漠然と感じてしまう。しかし、事実は逆で、一般のクレジットカードよりもはるかに安全なのだ。

クレジットカードはレガシー技術を切り捨てることができない。例えば、カード情報が磁気的に記録されている磁気ストライプは、スキミングされやすく、カードセキュリティの穴になっている。そのため、現在、ICチップ対応が急がれているが、まだまだ磁気ストライプにしか対応できていない店舗も多い。カードは「世界中どこでも決済できること」が大きなテーマになっているので、ある技術が古くなりリスクが高まったからといって、すぐに切り捨てるわけにはいかないのだ。

一方で、ApplePayのような新しい技術は、レガシー技術を切り捨てることができる。アップルは、MacBookやiPhone、iPadでそうであったように、レガシーを切り捨てることで、性能や機能を大幅に上げてきた。それがApplePayなのだ。そのため、まだまだApplePay対応店舗、対応サイトが少ないという問題はある。

もし、普段使われる店舗、サイトがApplePayに対応したのであれば、今使っているクレジットカードをApplePayに登録して、ApplePay経由で決済をすることをお勧めする。それだけで、カードの不正利用事故に巻き込まれる確率は大きく下がるのだ。

原稿:牧野武文(まきの・たけふみ)

テクノロジーと生活の関係を考えるITジャーナリスト。著書に「Macの知恵の実」「ゼロからわかるインドの数学」「Googleの正体」「論語なう」「街角スローガンから見た中国人民の常識」「レトロハッカーズ」「横井軍平伝」など。

憧れの「Apple Card」は、かっこいいだけじゃなくて不正利用にも強い!?知っておきたいクレジットカードセキュリティの仕組み

この記事はどうでしたか?

おすすめの記事

キャリアを考える

BACK TO TOP ∧

FOLLOW