ごく一般的な堕落した元高校生のブログ

そもそも、クレジットカードとは・・・ってのは省略する。軽く説明すれば購入者が販売者に「カード会社にツケといて（ｽｯ[カード]）」でカード会社が購入者の代理で販売者に支払い、購入者は月に一回まとめてカード会社にツケた分を支払う・・・っていうシステムだ。

支払うためにはレジでクレジットカードの磁気を読み取り情報にアクセスする、インターネットショッピングではカード番号(１６ケタ）、有効期限、カード名義人、そして場合によってはセキュリティコードを入力することでカード情報を伝え、支払う。

今回、気づいたことがあるし調べるとなんか興味深いサイト（※セキュリティコードについて言及したサイト）を見つけたのでそれについて今回はまとめてみる。

引用元-https://www.orico.co.jp/service/knowledge/credit-card-security/

セキュリティコードについての説明はこの通りで、「不正利用を防止するためのコード」というのが存在する理由。

ちなみにCVVとも呼ばれるこの「セキュリティコード」。

こんな面白い記事を見つけた。

なんと、「ヨドバシドットコムにおいて、クレジットカードのセキュリティコードを間違えていたにも関わらず決済出来てしまった」らしいのだ。ちなみにこの記事では「PayPayのクレカ登録において、セキュリティコードを総当たりで探れるんじゃないか」という疑惑についても言及されているが、本題はそこではない。ちなみにこちらはセキュリティコードを間違えると登録に失敗したというメッセージが表示されるようだ。

セキュリティを強化するためのハズのセキュリティコード。ヨドバシドットコムでは適当な値を入れても決済出来てしまうなんてセキュリティの意味がまるでない。どういうことなのだろうか。

ヨドバシドットコムは「入力情報以外の色々な属性で確認しているから、間違っていても本人認証できる」と言っている

いやいやいやいや、セキュリティコードの入力を求めておいて、「あ、それは使いません」ってどういうことだ。入力しないほうがマシだろう。というのも、今日Amazonで買い物をしたのだが、そういえばセキュリティコードの入力は求められなかった。最近ではネットショッピングサイトでは求められないらしい。セキュリティコードはアメックス以外ほとんどが裏面に3桁の数字が記述されているが、最近はそのセキュリティコードが必要なく表面をカメラでスキャンするだけで支払情報として登録できてしまう。というか、今はナンバーレスのカードが出回っているほどにセキュリティ面は強化されているもののやはりヒューマンエラー等もあるから不要になったのだろうか？等と考察は出来るが、

それでも「重要な情報入力させといて使わない」というのはどうにも腑に落ちない。

ちなみにAmazonの他にも楽天市場等でもセキュリティコードは要求されないようだ。ヨドバシドットコムでも「本人確認の上では必須条件じゃない」という発言をしているらしい。

でもやはり、自分が入力した情報に誤りがあるのに通ってしまうというのは違和感がある。

ちなみにカードの磁気情報を抜き出してクローンカードを作り、不正に利用するという犯罪行為をスキミングとか呼ばれることがあるが、それは「カード本体を所持している＝本人だ」と認識しているためか、セキュリティコードは認識できない。というのは、スキミングで出来上がったクローンカードでセキュリティコードが必要なネットショッピングではカード番号が分かってもセキュリティコードが分からないため決済できない・・・というセキュリティを謳っているところもあったが

結局最近はセキュリティコードが不要で決済できるネットショッピング（Amazon等)も多く存在し、「セキュリティコードって存在意義無いんじゃないの？」って思った。それが私の思う違和感。実際、セキュリティコードは時代遅れだと言及している記事もあるようで個人的にもそう思う。

私は未成年なのでデビットカード（クレジットカードとほぼ同格に使えるが、お金はあらかじめ自分で用意したものの範囲でしか使用できない。16歳から契約できる。）を使って何度も決済したことがあるので経験があるが、セキュリティコードを要求されたことってホント数回しかない。確かGoogle関連やPeypalの支払いでは要求された。

それでセキュリティコードが必要か不要かの基準も少し調べてみた。Amazon等では「カゴ落ち」と呼ばれる、セキュリティコードがカード本体に記述されているためカードを確認しないと決済できない、それが面倒だから購入を辞めてしまう、で利益が減る現象を減らすためにセキュリティコードを要求していないという噂もあった。これは実際Google等ではクレジットカード情報を保存しておいても本人確認のためにセキュリティコードを要求してくるため、記憶できず各自で入力する必要がある場合が多い。

また、家電などの高額商品をクレジットカードで支払おうとすると、セキュリティコードを要求されることが多いらしい。不正利用された場合に「チャージバック」といって、加害者側からお金を没収出来なくてもお店は不正利用されたカード利用者にお金を返さなければならない。つまり損をするのはカード利用者ではなくお店の方なのだ。もちろん、これが高額で起きればお店の損失は大きくなるため、カゴ落ちなんてことよりとにかく安全に販売し、不正利用を防ぐ方を重点的に考える為セキュリティコードを要求するらしい。

ほぼコピペになるけど、Amazonや楽天でも高額商品は売ってるじゃないか！！！というのは、Amazon等はとてつもなく超巨大企業だという事は知っての通りで、損失があっても利益で余裕でカバーできるから「不正利用はちゃんと対処しチャージバックも問題ないから、カゴ落ちを避けなければ」という考え方で運用しているためセキュリティコードが不要らしい。

スキミングでクローンカードが作れるから、磁気データ内に存在しないセキュリティコードを使うことでセキュリティを確保できることを話したが、最近はネットショッピング等でセキュリティコードを要求されれば軽率に入力できる、つまりスキミングせずともカード番号も名義人も有効期限も、そしてセキュリティコードも入手でき不正利用される・・・本末転倒なことが起きている。

これによって「セキュリティコードって意味なくね！？」って考え方が増加しているらしい。ネットショッピングに情報を入力するときは、磁気データにうんぬん・・・カードのクローンがうんぬん・・・ではなく、カード番号もセキュリティコードもただの数字に過ぎない。同じ扱いにされるだろう。

そりゃ無意味だろうね。

ついでに、普通の企業がサイバー攻撃によってマルウェアを仕掛けてバックドアから情報を盗むことで顧客の入力したカード番号どころかセキュリティコードも盗まれることがあるらしい。企業は企業でちゃんとセキュリティコードを保存せず流出防止をしているが決済処理でデータを送信するときに盗まれることがあるらしい。

バックドアについては本当に存在が分からないので、まあ

と、この時綴っているように存在自体に気づかないパターンってのもある。企業でユーザー情報が数十万件流出した！！！！に対して「もっと早く対策できなかったのか！！」は無理ゲーだという事。

そんなわけで結局情報が流出して不正利用されるリスクはセキュリティコードがあってもこのご時世では普通にある。