セキュリティコード

アメリカン・エキスプレスではカード表面の浮き彫りされたカード番号の右上に印字された4つの数字である

セキュリティコードとはクレジットカード・デビットカード不正使用を防止する為の特殊コード^[1]。マスターカードではCard Verification Code (CVC)、VISAではCard Verification Value (CVVまたはCV2)とも呼ぶ。以下の種類が有る。 ●CVC1,CVV1 - カードの磁気ストライプに記録された暗号で対面取引で利用される。 ●CVC2,CVV2 - 通常セキュリティコードといえばこちらをさす。インターネットやメール、電話、FAXを介する決済で、架空のカード使用を防止するため利用されている。西欧ではカードの不正使用が増加したため、遠隔決済ではセキュリティコードの利用が義務づけられている。 ●iCVV,動的CVV - 非接触式カード︵あるいはチップ・カード︶は自ら電子的に生成したコードを利用する。セキュリティコードはカードに印刷︵あるいは刻印︶された標準のカード番号とは区別される。標準のカード番号はその番号が正当であるかどうかを判断するLuhnアルゴリズムに通される。セキュリティコードはまた、カード会社がセキュリティ確保のために導入している3Dセキュアとも別のものである。これらはカードに印刷も刻印もされないが、決済時にパスワードの入力が必要とされるものである。

CVC/CVV[編集]

後述するCVKによって計算され、カードに記録されるコードであり、磁気ストライプに格納されたデータが有効でカード会社によって発行されたものであることを証明する役目を果たす。決済後、オンライン処理により発行会社による確認が行われカードの正当性を担保する。ただしカードの磁気ストライプ情報がまるまる複製された場合︵＝スキミング︶は、不正使用を防ぎようがない。

印字位置[編集]

セキュリティコードはカードの署名欄の隅に印刷された3桁または4桁の数字で、磁気情報としては保持されていない。マスターカード、VISA、ダイナースクラブ、ディスカバーカード、JCB、中国銀聯のクレジットカード︵デビットカード︶ではCVC2, CVV2, CVV, CID と呼ばれる3桁のコードが署名欄の上に印刷されており、通常それはカード番号のように浮き彫りされていない。 ●北米での新しいマスターカードとVISAカードでは署名欄の右に分かれてCVC2欄が出来ている。これは署名によってCVC2が上書きされてしまうことを防ぐためである。 ●アメリカン・エキスプレスではCIDという名称で、カード表面のカード番号の上に4桁のコードが印刷されている。決済時、セキュリティコードは顧客が間違いなくカードそのものを所有していることを確認するために利用される。セキュリティコードはカード自体を見た本人しか知りようがない。このシステムは現在のところクラックされたことはない。

利点[編集]

セキュリティコードは磁気情報には含まれないため、対面取引においては関与しないが、北米の店舗には対面時にもセキュリティコードを要求するところがある。アメリカン・エキスプレスでは2005年以来、アイルランドや英国などEU諸国で﹁架空のカードによる取引﹂を阻止するために行われている。窃盗犯がカードの磁気情報をキャプチャーできない限り、電話やインターネットを使った通信販売で架空のカードは効力を持たず、カード会社にとっては1レベル上のセキュリティが提供される。これによりショップ側はセキュリティコードを視覚的に確認、記録しなければならなくなり、それによりカード所有者に不安を生じさせるかもしれない。米国のVISAの場合、﹁架空のカードによる取引﹂を防ぐため、顧客からコードを伝えられたショップ側は、信用照会と取引が正常に終わればセキュリティコード情報を廃棄することを義務づけられている。このようにもし取引情報のデータベースが漏洩した場合でも、そこにセキュリティコードは含まれておらず、クレジットカードの番号だけでは、さほど有用な情報とはならない。

問題点[編集]

●フィッシングサイトでは要求されるまま顧客はセキュリティコード情報を入力し、まんまと窃盗者の手に渡ってしまう。フィッシング詐欺の拡大は防犯対策としてのセキュリティコードの有用性を縮小させてしまった。^{[独自研究?]}さらにフィッシング詐欺犯がデータベースのハックやカード使用明細の不正入手によりすでにカード番号を入手している場合、それを利用してカードの所有者を油断させ、容易にセキュリティコードの情報を入力させてしまいかねない。^{[独自研究?}^] ●セキュリティコードを含むクレジットカード情報は﹁カード情報非保持化﹂あるいは﹁国際セキュリティ規格 PCI-DSS﹂によって﹁保管﹂﹁処理﹂﹁通過﹂が禁止されている。 ●ショップ側が不正にセキュリティコードを保存している場合、その情報がクラッキングやマルウェアによって外部に流出する可能性があり、実際に日本でも起こっている。 ●1997年にマスターカード、2001年にVISAが対応したが、まだセキュリティコードを採用していないカード会社もある。セキュリティコードのない取引は一層厳格なセキュリティが必要であり、カード所有者の利益のためにもセキュリティコードが採用されることが望ましいとされる^[2]。

CSCコードの生成[編集]

カードが発行されるとCVV,CVV2,CVC,CVC2のコード値が生成される。コード値は発行会社のみが知っており、カード番号、有効期限、サービスコードを暗号化キー︵CVK = Card Verification Keyという︶によって符号化、十進化した結果から算出される。

脚注[編集]

^ "セキュリティーコード". デジタル大辞泉. コトバンクより2022年2月10日閲覧。
^ クレジットカード取引のセキュリティ強化について（2016年4月4日付経済産業省）