斜めうえ行く「オクノ総研 WEBLOG」

ID:99799
斜めうえ行く「オクノ総研 WEBLOG」
by オクノ総研
[1220765hit]

■今一度、ＥＣサイトのクレジット決済のしくみを見直せ
インターネット犯罪と呼ばれるものの多くは、インターネット上ではなく、リアルの世界で起きている。

インターネット上でＴＣＰ／ＩＰに乗ってやってくるクラッカーから自分の身を守るための注意も必要だけれども、もっと危険なファクターはネット上に存在するのではなく、リアルの世界に存在する。
パソコン、インターネット関連の犯罪の多くは、インターネットを通じてクラッカーが犯すのではなく、リアルの世界で行われており、インターネットとは別のところで行われている。

クレジットカード番号をＥＣサイトで入力する。
ＥＣ草創期にはインターネット上でクレジットカード番号を入力するのは危険だ、と警鐘を鳴らす意見も多かった。
インターネット上で、流れるパケットをクラッカーにキャプチャーされたらどうするのだ。
そのＥＣサイトがマトモなサイトだとどこで証明できるのだ。

しかし、今ではごくごく当たり前に誰もが気軽にクレジットカード番号を入力する。
「だって、クレジットカード番号はＳＳＬで暗号化されてるんでしょ？」
「お店はベリサインの証明書を入れているんでしょ」

危険は去ってはいない。
クレジットカード番号は、ネットワーク上で盗まれるのではない。
ＥＣサイトの企業の内部の人間が漏洩するのだ。
ネット上での情報が暗号化されていても何の意味もない。
証明書はサイトが偽者ではないことを証明するものであって、犯罪サイトではないことを証明したり、信用度を証明するものではない。

ＷＥＢサイトでクレジットカード番号を入力したときの危険性は、増す事はあっても減ってはいない。
システムの問題ではなく､運用の問題だからだ。
いくらクレジットカード番号が暗号化されていようと、クレジットカード番号を受け取ったＥＣサイトの内部で犯罪が行われていたら､テクノロジーでは防げない。
社員でなくとも、協力会社、派遣の人間に犯罪者が混じっている場合がある。
大手のサイトであればあるほど、実際のサイトの運用は外部企業に委託されている。
委託された企業は更に別の会社に委託。
その会社は身許の不確かなアルバイトを雇う。

ＥＣサイトがどのように運用されているかまで、外部から窺い知ることはできない。
クレジットカード番号がどのように扱われているかまではユーザーは知る由もない。

でも、これはリアルの世界の買物でも同じ事。
リアルの世界で買物をした場合も、店員はクレジットカード番号を知りうる。
そこでももちろん犯罪の危険がある。
だが、リアルの世界の買物では物理的な店舗が存在するし、支払いの際に店員の顔を見る。
インターネットでのショッピングでは相手の確認ができない。
そのぶんだけ犯罪に巻き込まれる危険度は高い。

以前、ＳＥＴ（Ｓｅｃｕｒｅ　Ｅｌｅｃｔｒｏｎｉｃ　Ｔｒａｎｓａｃｔｉｏｎ）という規格があった。
運用が異常に面倒だったので全く普及しなかったクレジットカード決済の手段だ。
今でも存在するのかもしれないけれど、今となっては耳にする事はまずない。
クレジットカード会社は犯罪の一番の危険が店舗に存在することは当然、知っている。
クレジットカード会社としては、クレジットカード犯罪を減らすための一番の方策は、「店舗にクレジットカード番号を知らせないで済む決済手段」の開発。
そもそも買物の際に店舗の店員がクレジットカード番号を知る必要などないのだ。
クレジットカードが有効かどうかがわかれば良いだけなのである。
リアルの店舗であれば、ユーザーがクレジットカードを端末に挿してパスワードを入れるようにすれば、かなりの確率でクレジットカード犯罪は防げる。
更にカードがＩＣカードであれば犯罪発生率は激減する。

ネットの世界でも同じ事だ。
店舗にクレジットカード番号そのものが届かなければ良いのである。
ユーザーが買物をする際に、店舗には買物に関する情報が届くが、クレジットカードの決済情報に関してはクレジットカード会社から決済の承認情報だけが届けば良いのだ。

少なくとも、この方法で多くの犯罪は防ぐ事ができる。
でも、運用が面倒くさい。

[5]続きを読む

02月27日(木)

[1]過去を読む
[2]未来を読む
[3]目次へ

[4]ｴﾝﾋﾟﾂに戻る