カードセキュリティコード

カードセキュリティコード( CSC 、 CVC、CVV、またはその他の名前でも呼ばれる) は、銀行カード番号に加えて、クレジットカードまたはデビットカードに印刷されている (エンボス加工されていない)一連の数字です。CSC は、カード所有者が (販売時点情報管理やカードを提示する取引の場合のように)暗証番号(PIN) を手動で入力できない、カードを提示しない取引のセキュリティ機能として使用されます。これは、クレジットカード詐欺の発生を減らすために導入されました。カード番号とは異なり、CSC は意図的にエンボス加工されていないため、エンボス加工された数字しか読み取れない機械式のクレジットカードインプリンタを使用しても読み取られません。

これらのコードは、カード発行会社によって記載場所が若干異なります。Visa、Mastercard 、 DiscoverのクレジットカードのCSCは、カード裏面の署名欄の右側にある3桁の番号です。American ExpressのCSCは、カード表面の口座番号の上に記載されている4桁の番号です。例については、右の図をご覧ください。

CSCは、1995年に英国でEquifaxの従業員マイケル・ストーン氏によって11桁の英数字コードとして開発されました。リトルウッズ・ホームショッピング・グループとナットウエスト銀行でテストされた後、このコンセプトは英国決済決済サービス協会（APACS）に採用され、現在知られている3桁のコードに簡素化されました。Mastercardは1997年にCVC2番号の発行を開始し、米国のVisaは2001年までに発行しました。American Expressは、インターネット取引の増加と、カードのセキュリティが疑われることで利用が中断されるというカード会員からの苦情を受けて、1999年にCSCの使用を開始しました。

非接触型カードやICチップカードは、iCVVや動的CVV などの独自のコードを電子的に生成することができる。366

ネーミング

コードにはさまざまな名前があります。

「CSC」または「カードセキュリティコード」：デビットカード、アメリカン・エキスプレス（カード裏面の3桁の数字、3CSCとも呼ばれる）^{[ 1 ]}
「CVC」または「カード検証コード」：Mastercard
「CVV」または「カード検証値」：Visa
「CAV」または「カード認証値」：JCB
「CID」：「カードID」、「カード識別番号」、または「カード識別コード」：Discover、American Express（カード表面の4桁の数字）。American Expressは通常、カード表面の4桁のコード（カード識別コード（CID））を使用しますが、カード裏面の3桁のコード（カードセキュリティコード（CSC））も使用します。American Expressは「ユニークカードコード」と呼ぶこともあります。^{[ 2 ]}
「CVD」または「カード検証データ」：Discover
「CVE」または「Elo検証コード」：ブラジルのElo
「CVN」または「カード検証番号」、または「カード確認番号」：中国銀聯、Google広告^{[ 3 ]}
「SPC」または「署名パネルコード」^{[ 4 ]}
「CCV」または「カードコード検証」：カナダで一般的に使用されている

種類

セキュリティコードと PVV にはいくつかの種類があります (すべてPAN、有効期限、サービスコードを使用してHSMモジュール内の銀行のDESキーから生成されます)。

最初のコード（3桁の数字）はCVC1またはCVV1と呼ばれ、カードの磁気ストライプのトラック1と2にエンコードされ、署名付きのカード提示による取引に使用されます（2番目のトラックにはPIN検証値PVVも含まれますが、現在では通常すべてゼロに設定され、サービスコードが含まれます）。このコードの目的は、決済カードが実際に販売者の手元にあることを確認することです（したがって、CVV2とは異なる必要があります）。このコードは、カードの磁気ストライプがPOS （カード提示）デバイスで読み取られ（スワイプされ）、発行者によって検証されると、自動的に取得されます。制限として、カード全体が複製され、磁気ストライプがコピーされた場合でも、通常はカード所有者の署名が必要になりますが、コードは依然として有効です。
2番目で最も多く使用されるコードはCVV2またはCVC2です。このコードは、オンラインショッピングなど、カードを提示しない取引で加盟店が頻繁に使用します。西ヨーロッパの一部の国では、カード所有者が店舗にいない場合、カード発行会社は加盟店にコードを取得することを義務付けています。サービスコードは000です。
非接触型および/またはICチップ搭載のEMVカードは、iCVVと呼ばれる独自の電子生成コードを提供します。サービスコード999を使用します。これはEMVCoの公開規格に記載されています。
消費者デバイスカード所有者検証方法（略称CDCVM）は、ユーザーのモバイルデバイス（スマートフォンなど）を用いてユーザーの本人確認を行う本人確認の一種です。例えば、デバイスの生体認証機能（Touch IDやFace IDなど）や、デバイスに設定されたパスコードなどを使用できます。Apple Pay ^{[ 5 ]} 、Google Pay ^{[ 6 ]}、Samsung Pay ^[⁷^]など、多くの決済システムでサポートされています。

位置

カードセキュリティコードは通常、カード番号のようにエンボス加工されておらず、カード裏面の署名欄に印刷されている最後の3桁または4桁の数字です。ただし、アメリカン・エキスプレスカードの場合は、カード表面の右側にエンボス加工ではなく、印刷されている4桁の数字です。カードセキュリティコードは磁気ストライプにエンコードされているのではなく、平面的に印刷されています。

American Express カードには、カード表面の番号の上に 4 桁のコードが印刷されています。
ダイナースクラブ、ディスカバー、JCB、マスターカード、Visaのクレジットカードとデビットカードには、3桁のセキュリティコードがあります。このコードは、カード裏面の署名欄に記載されている最後の数字です。
新しい北米のマスターカードとビザカードでは、署名欄の右側の別のパネルにコードが記載されています。^{[ 8 ]}これは、カードに署名することで番号が上書きされるのを防ぐためです。

世代

各カードのCSC（フォーム1および2）は、カード発行時にカード発行会社によって生成されます。CSCは、カード発行会社のみが知る暗号鍵を用いて銀行カード番号と有効期限（カードに印刷された2つのフィールド）を暗号化し、その結果を10進数化することで計算されます（ハッシュ関数と同様の手法）。^{[ 9 ]}^{[ 10 ]}^{[ 11 ]}

利点と限界

セキュリティ対策として、カード非提示取引でCVV2を要求する加盟店は、カード発行会社から、個々の取引が承認された後はCVV2を保存しないことが義務付けられています。^{[ 12 ]}これにより、取引データベースが侵害された場合でもCVV2は保存されず、盗まれたカード番号の有用性は低くなります。仮想端末や決済ゲートウェイはCVV2コードを保存しません。そのため、これらのWebベースの決済インターフェースにアクセスできる従業員やカスタマーサービス担当者は、カード番号、有効期限、その他の情報にアクセスできるにもかかわらず、CVV2コードを入手できません。

ペイメントカード業界データセキュリティ基準（PCI DSS）では、取引承認後のCSC（およびその他の機密承認データ）の保管も禁止しています。これは、カード所有者データを保存、処理、または送信するすべての人に世界中で適用されます。^{[ 13 ]} CSCはカードの磁気ストライプに保存されていないため、カードを加盟店で直接使用する場合、通常は取引に含まれません。ただし、北米の一部の加盟店（シアーズやステープルズなど）では、このコードが必要です。アメリカン・エキスプレス・カードの場合、これは2005年初頭からアイルランドや英国などの欧州連合（EU）諸国で不変の慣行となっています（カード非提示取引の場合）。これにより、銀行/カード所有者は一定レベルの保護を受けることができ、悪意のある加盟店または従業員がカードの磁気ストライプの詳細を簡単にキャプチャして、後で電話、通信販売、インターネットによるカード非提示取引に使用することはできません。これを実行するには、販売店またはその従業員が CVV2 を視覚的に確認して記録する必要があり、カード所有者の疑いを引き起こす可能性が高くなります。

取引においてCSCコードを提示することは、顧客がカードを所持していることを確認するためのものです。コードを知っているということは、顧客がカードを見た、あるいはカードを見た誰かが作成した記録を見たということを証明します。

制限事項は次のとおりです:

CSCの使用は、カード所有者が偽のウェブサイトを通じて他のカード情報とともにCSCを入力させられるフィッシング詐欺から保護することはできません。フィッシングの増加により、CSCの不正防止手段としての実世界における有効性は低下しています。また、フィッシャーが（おそらく加盟店データベースのハッキングや不適切なレシートから）カードのアカウント番号を既に入手し、被害者にその情報を提供して（被害者を偽りの安心感に陥れ）からCSC（フィッシャーが必要とする情報であり、そもそも詐欺の目的である）を要求するという詐欺も存在します。^{[ 14 ]}
CSCは、加盟店が（CSCが引用され、その後承認された最初の取引の後）一定期間保存できないため^{[ 12 ]}、定期的なサブスクリプション料金をカードに定期的に請求する必要がある加盟店は、最初の取引後にコードを提供することができません。しかし、決済ゲートウェイは、承認プロセスの一部として「定期請求」機能を追加することでこの課題に対応しています。
一部のカード発行会社はCSCを使用していません。しかし、CSCを使用しない取引は加盟店のカード処理コストが高くなる可能性があり、CSCを使用しない不正取引はカード会員に有利な形で解決される可能性が高くなります。
加盟店が取引を行う際にセキュリティコードの入力を求めることは必須ではないため、たとえカード番号しか知られていない場合でも、フィッシング詐欺の被害に遭う可能性があります。例えば、Amazonでは取引を完了するためにカード番号と有効期限のみを要求しています。
詐欺師は分散攻撃を利用してCSCを推測することが可能です。^{[ 15 ]}

参照

参考文献

^ 「SafeKeyに関するよくある質問 | American Express Canada」www.americanexpress.com . 2021年5月4日閲覧。
^ 「American Express® Card security features」（PDF）www.americanexpress.com . 2020年11月27日時点のオリジナルよりアーカイブ（PDF）。 2021年5月4日閲覧。
^ 「カード確認番号（CVN）」。 2023年7月2日閲覧。
^ “CIBC MasterCard - MasterCard SecureCode” . 2014年4月24日時点のオリジナルよりアーカイブ。2012年7月12日閲覧。
^ 「英国におけるApple Payの20ポンドの上限は『時間の経過とともに変化する』」「 . Wired UK . 2015年6月24日. 2022年6月24日閲覧。
^ 「モバイル決済のブレークスルー？Google Payがドイツで開始」 Avira 、 2018年7月17日。 2022年6月24日閲覧。
^ 「Samsung PayでオーストラリアのユーザーはPINなしで高額購入が可能に」 SamMobile 、 2020年9月22日。 2022年6月24日閲覧。
^ 「カードのセキュリティ機能」(PDF)。Visa。 2012年2月16日時点のオリジナル(PDF)からのアーカイブ。
^ 「VISA PINアルゴリズム」 www.ibm.com 2012年9月18日. 2021年6月18日閲覧。
^ 「z/OS Integrated Cryptographic Service Facility Application Programmer's Guide」 IBM、2002年3月、p. 209。 2012年7月13日時点のオリジナルよりアーカイブ。
^ 「z/OS Integrated Cryptographic Service Facility Application Programmer's Guide」 IBM、2002年3月、p. 258。 2012年7月17日時点のオリジナルよりアーカイブ。
^ ^a ^b「Visa加盟店向けルール」 p. 1. 2014年2月24日時点のオリジナル(doc)からアーカイブ。2013年2月26日閲覧。
^ 「PCI DSSデータセキュリティ基準文書およびペイメントカードコンプライアンスガイドラインの公式ソース」 . Pcisecuritystandards.org . 2011年12月25日閲覧。
^ 「都市伝説参考ページ：ビザ詐欺捜査詐欺」 Snopes.com、2003年12月23日。 2011年12月25日閲覧。
^ Ducklin, Paul (2016年12月5日). 「クレジットカードのセキュリティコードを推測する方法」 . SOPHOSのnaked security . 2016年12月6日時点のオリジナルよりアーカイブ。 2016年12月8日閲覧。

[1] 「SafeKeyに関するよくある質問 | American Express Canada」www.americanexpress.com . 2021年5月4日閲覧。

[2] 「American Express® Card security features」（PDF）www.americanexpress.com . 2020年11月27日時点のオリジナルよりアーカイブ（PDF）。 2021年5月4日閲覧。

[3] 「カード確認番号（CVN）」。 2023年7月2日閲覧。

[4] “CIBC MasterCard - MasterCard SecureCode” . 2014年4月24日時点のオリジナルよりアーカイブ。2012年7月12日閲覧。

[5] 「英国におけるApple Payの20ポンドの上限は『時間の経過とともに変化する』」「 . Wired UK . 2015年6月24日. 2022年6月24日閲覧。

[6] 「モバイル決済のブレークスルー？Google Payがドイツで開始」 Avira 、 2018年7月17日。 2022年6月24日閲覧。

[7] 「Samsung PayでオーストラリアのユーザーはPINなしで高額購入が可能に」 SamMobile 、 2020年9月22日。 2022年6月24日閲覧。

[8] 「カードのセキュリティ機能」(PDF)。Visa。 2012年2月16日時点のオリジナル(PDF)からのアーカイブ。

[9] 「VISA PINアルゴリズム」 www.ibm.com 2012年9月18日. 2021年6月18日閲覧。

[10] 「z/OS Integrated Cryptographic Service Facility Application Programmer's Guide」 IBM、2002年3月、p. 209。 2012年7月13日時点のオリジナルよりアーカイブ。

[11] 「z/OS Integrated Cryptographic Service Facility Application Programmer's Guide」 IBM、2002年3月、p. 258。 2012年7月17日時点のオリジナルよりアーカイブ。

[visa-12] 「Visa加盟店向けルール」 p. 1. 2014年2月24日時点のオリジナル(doc)からアーカイブ。2013年2月26日閲覧。

[13] 「PCI DSSデータセキュリティ基準文書およびペイメントカードコンプライアンスガイドラインの公式ソース」 . Pcisecuritystandards.org . 2011年12月25日閲覧。

[snopes-14] 「都市伝説参考ページ：ビザ詐欺捜査詐欺」 Snopes.com、2003年12月23日。 2011年12月25日閲覧。

[15] Ducklin, Paul (2016年12月5日). 「クレジットカードのセキュリティコードを推測する方法」 . SOPHOSのnaked security . 2016年12月6日時点のオリジナルよりアーカイブ。 2016年12月8日閲覧。

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]