EMV

EMVクレジットカード
EMVクレジットカード

EMVは、スマート決済カードおよびそれらに対応する決済端末ATMの技術標準に基づいた決済方法です。EMVは、この標準を策定した3社「 EuropayMastercardVisa 」の頭文字をとったものです。 [ 1 ]

EMVカードはスマートカード(チップカード、集積回路カード(ICC)、ICカードとも呼ばれる)で、磁気ストライプに加えて、下位互換性のために集積回路チップにデータを保存します。これには、リーダーに物理的に挿入(ディップ)する必要があるカードと、近距離無線通信技術を使用して短距離で読み取ることができる非接触カードが含まれます。EMV規格に準拠した決済カードは、個人識別番号(PIN)や電子署名など、カード発行者が採用している認証方法に応じて、チップアンドPINカードまたはチップアンド署名カードと呼ばれることがよくあります。接触型カードについてはISO/IEC 7816に基づく規格が、非接触型カード(Mastercard Contactless、Visa PayWave、American Express ExpressPay )についてはISO/IEC 14443に基づく規格が存在します。[ 2 ]

歴史

EMVおよび関連規格を管理するコンソーシアムEMVCoのワードマーク

ICチップ&PINが導入されるまで、対面でのクレジットカードデビットカードの取引では、磁気ストライプまたは機械的インプリントを使用してアカウントデータを読み取り・記録し、本人確認のために署名を行っていました。顧客は販売時点でレジ係にカードを渡し、レジ係はカードを磁気リーダーに通すか、カードの浮き彫りになった文字からインプリントを行います。前者の場合、システムによってアカウントの詳細が検証され、顧客が署名するための伝票が印刷されます。機械的インプリントの場合、取引の詳細が入力され、盗難番号のリストが参照され、顧客がインプリントされた伝票に署名します。どちらの場合も、レジ係は取引を認証するために、顧客の署名がカード裏面の署名と一致していることを確認する必要があります。

カードの署名を認証方法として使用することには、いくつかのセキュリティ上の欠陥があります。最も顕著なのは、正当な所有者が署名する前にカードが紛失してしまう可能性が比較的高いことです。また、正当な署名の消去と書き換え、そして正しい署名の 偽造といった問題もあります。

1959年のシリコン集積回路チップの発明は、1960年代後半に2人のドイツ人エンジニア、ヘルムート・グロットルップユルゲン・デスロフによってプラスチック製のスマートカードに組み込むというアイデアにつながりました。[ 3 ]最も初期のスマートカードは1970年代にテレホンカードとして導入され、後に決済カードとして使用できるようになりました。[ 4 ] [ 5 ]それ以来、スマートカードにはMOS集積回路チップが使用され、フラッシュメモリEEPROM(電気的に消去可能なプログラマブル読み出し専用メモリ)などのMOSメモリ技術も使用されています。[ 6 ]

スマート決済カードの最初の規格は、1986年にフランスで導入されたBull-CP8のCarte Bancaire B0M4で、その後1989年に導入されたB4B0'(M4と互換性あり)が続きました。ドイツのGeldkarteもEMVより古い規格です。EMVは、カードと端末がこれらの規格と下位互換性を持つように設計されました。フランスはその後、すべてのカードと端末のインフラをEMVに移行しました。

EMVは、この規格を策定した3社、Europay、Mastercard、Visaの頭文字をとったものです。現在、この規格はEMVCoによって管理されています。EMVCoは、Visa、Mastercard、JCBAmerican ExpressChina UnionPayDiscoverの5社が均等に管理権を握るコンソーシアムです。[ 7 ] EMVCoは、規格案やプロセスに関するパブリックコメントを受け付けていますが、より深い協働のために、他の組織が「アソシエイト」や「サブスクライバー」になることも認めています。[ 8 ] JCBは2009年2月に、China UnionPayは2013年5月に、 [ 9 ] Discoverは2013年9月にコンソーシアムに加盟しました。 [ 10 ]

EMVカードとチップの主要ベンダーは、ABnote(American Bank Corp)、CPI Card Group、IDEMIA ( 2017年にOberthur TechnologiesとSafran Identity & Security(Morpho)が合併)、 Gemalto (2019年にThales Groupが買収) 、 Giesecke & Devrient、Versatile Card Technologyである。[ 11 ]

違いと利点

スマートカードベースのクレジットカード決済システムへの移行には、2つの大きなメリットがあります。1つはセキュリティの向上(それに伴う不正利用の減少)であり、もう1つは「オフライン」でのクレジットカード取引承認をより細かく管理できることです。EMVの当初の目標の一つは、1枚のカードに複数のアプリケーション(クレジットカードとデビットカードのアプリケーション、あるいは電子財布)を搭載することでした。2013年以降、米国で新規発行されるデビットカードには、カード協会(Visa、Mastercardなど)のアプリケーションと共通デビットアプリケーションの2つのアプリケーションが搭載されています。[ 12 ]

EMV ICカード取引は、所有者の署名とホログラムなどの特徴を確認するためのカードの目視検査に依存する磁気ストライプカード取引と比較して、詐欺に対するセキュリティが向上します。 PINとTriple DESRSASHAなどの暗号化アルゴリズムを使用すると、処理端末とカード発行者のホストシステムに対してカードの認証が提供されます。 処理時間はオンライン取引と同程度で、オンライン取引では通信の遅延が大部分を占め、端末での暗号化操作には比較的時間がかかりません。 詐欺に対する保護が強化されたとされることにより、銀行とクレジットカード発行会社は「責任の転換」を確立することができ、EMV対応ではないシステムでの取引から生じる詐欺については、加盟店が責任を負うことになりました(EU地域では2005年1月1日現在、米国では2015年10月1日現在)。[ 1 ] [ 13 ] [ 14 ] EMVカードおよび端末の実装の大部分は、カード所有者の本人確認として、紙のレシートに署名するのではなく、個人識別番号(PIN)の入力を求めます(非接触型決済でカードが使用されている場合を除く)。PIN認証が行われるかどうかは、端末の機能とカードのプログラミングによって異なります。

クレジットカードが初めて導入された当時、商店は磁気式ではなく、カーボン紙に印刷する機械式の携帯型カードインプリンタを使用していました。カード発行会社との電子的な通信は行われず、カードは常に顧客の目の前にありました。一定額以上の取引については、商店はカード発行会社に電話で確認する必要がありました。1970年代のアメリカでは、多くの商店が盗難カードや無効なクレジットカード番号の定期的に更新されるリストに加入していました。このリストは、薄い電話帳のように番号順に新聞紙に冊子状に印刷されていましたが、無効な番号のリスト以外には何も記載されていませんでした。レジ係は、クレジットカードが提示されるたびに、取引を承認する前にこの冊子に目を通さなければならず、承認には多少の遅延が発生していました。[ 15 ]

その後、加盟店の端末機器がカード発行会社に電子的に連絡し、磁気ストライプの情報を使用してカードを検証し、取引を承認するようになりました。 この方法は処理速度が大幅に向上しましたが、取引を固定の場所で行わなければなりませんでした。 そのため、取引が端末の近くで行われない場合 (レストランなど)、店員またはウェイターは顧客からカードを取り上げてカード読み取り機に持っていかなければなりませんでした。 不正な従業員が安価な機械にカードをこっそり通して、カードとストライプの情報を即座に記録することは簡単に可能でした。 実際、端末であっても、泥棒が顧客の前でかがみ込み、隠されたリーダーにカードを通すことができました。 これにより、カードの不正な複製が比較的容易になり、以前よりも頻繁に発生しました。

決済カードのICチップとPINの導入以来、ICチップの複製は不可能となり、磁気ストライプのみを複製することが可能になりました。複製されたカードは、PIN入力を必要とする端末では単体では使用できなくなりました。ICチップとPINの導入は、無線データ伝送技術が安価になり普及した時期と重なりました。携帯電話ベースの磁気リーダーに加え、現在では加盟店の担当者が無線PINパッドを顧客に持参することで、カードがカード所有者の目から常に離れることはありません。このように、ICチップとPIN、そして無線技術の両方を活用することで、不正なスワイプやカード複製のリスクを軽減することができます。[ 16 ]

チップとPINとチップと署名

チップ&PINは、EMV対応カードが採用できる2つの認証方法のうちの1つです。[ 15 ]ユーザーは、本人確認のためにレシートに物理的に署名する代わりに、通常4桁から6桁の個人識別番号(PIN)を入力します。この番号は、ホスト側のチップまたはPINに保存されている情報と一致している必要があります。チップ&PIN技術により、詐欺師が拾ったカードを使用することははるかに困難になります。なぜなら、たとえ誰かがカードを盗んだとしても、PINを知らない限り不正な購入を行うことができないからです。

一方、チップと署名は、署名によって消費者の身元を確認する点で、チップとPINとは異なります。[ 17 ]

2015年現在、ICチップとPINカードは、ほとんどのヨーロッパ諸国(例:英国、アイルランド、フランス、ポルトガル、フィンランド、オランダ)に加え、パキスタン、イラン、ブラジル、コロンビア、ベネズエラ、インド、スリランカ、カナダ、オーストラリア、ニュージーランドでも普及しています。ICチップと署名カードは、米国、メキシコ、南米の一部(アルゼンチンやペルーなど)、一部のアジア諸国(台湾、香港、タイ、韓国、シンガポール、インドネシアなど)でより一般的です。[ 18 ] [ 19 ]

オンライン、電話、郵便注文の取引

EMV技術は販売時点における犯罪の減少に役立っていますが、不正取引はより脆弱な電話インターネットメールオーダー取引(業界ではカード非提示取引またはCNP取引として知られています)に移行しています。[ 20 ] CNP取引は、すべてのクレジットカード詐欺の少なくとも50%を占めています。[ 21 ]物理的な距離のため、これらのケースでは販売者が顧客にキーパッドを提示することは不可能であるため、次のような代替手段が考案されています。

どちらが速いかという点については、ニューヨークタイムズは認識の問題だと説明している。チップ方式では、取引と承認プロセスが完了するまでチップを機械の中に入れておく必要があるが、スマホスワイプ方式ではバックグラウンドで承認が行われ、レシートがすぐに出てくる。[ 23 ]

コマンド

ISO/IEC 7816-3は、ICカードとリーダー間の伝送プロトコルを定義しています。このプロトコルでは、データはアプリケーション・プロトコル・データ・ユニット(APDU)で交換されます。これは、カードへのコマンドの送信、カードによるコマンドの処理、そしてレスポンスの送信という一連の流れで構成されます。EMVでは以下のコマンドが使用されます。

  • アプリケーションブロック
  • アプリケーションのブロック解除
  • カードブロック
  • 外部認証(7816-4)
  • アプリケーション暗号を生成する
  • データを取得 (7816-4)
  • 処理オプションを取得する
  • 内部認証(7816-4)
  • PINの変更/ブロック解除
  • 読み取り記録 (7816-4)
  • 選択(7816-4)
  • 確認する(7816-4)。

「7816-4」が続くコマンドは ISO/IEC 7816-4 で定義されており、 GSM SIMカードなどの多くのチップ カード アプリケーションで使用される業界共通コマンドです。

取引フロー

EMV取引には以下のステップがある: [ 24 ]

  1. アプリケーションの選択
  2. 申請処理を開始する
  3. アプリケーションデータを読み取る
  4. 処理制限
  5. オフラインデータ認証
  6. 証明書
  7. カード所有者の確認
  8. ターミナルリスク管理
  9. ターミナルアクション分析
  10. 最初のカードアクション分析
  11. オンライン取引承認(前の手順の結果によって必要な場合にのみ実行。ATMでは必須)
  12. 2枚目のカードアクション分析
  13. 発行者スクリプトの処理

アプリケーションの選択

ISO/IEC 7816は、アプリケーション選択のプロセスを定義しています。アプリケーション選択の目的は、カードにGSMとEMVといった全く異なるアプリケーションを搭載できるようにすることでした。しかし、EMV開発者は、アプリケーション選択を製品の種類を識別する方法として実装したため、すべての製品発行者(Visa、Mastercardなど)は独自のアプリケーションを持たざるを得なくなりました。EMVにおけるアプリケーション選択の規定方法は、カードと端末間の相互運用性に関する問題を引き起こす原因としてしばしば挙げられます。EMV規格のBook 1 [ 25 ]では、アプリケーション選択プロセスの説明に15ページが割かれています。

アプリケーション識別子(AID)は、カード内、またはカードなしで提供される場合はホストカードエミュレーション(HCE)内のアプリケーションを識別するために使用されます。AIDは、ISO/IEC 7816-5登録機関によって発行される5バイトの登録アプリケーションプロバイダ識別子(RID)で構成されます。これに続く独自のアプリケーション識別子拡張(PIX)により、アプリケーションプロバイダは提供される様々なアプリケーションを区別することができます。AIDはすべてのEMVカード会員のレシートに印刷されます。カード発行会社は、カードネットワーク名からアプリケーション名を変更できます。

アプリケーションのリスト:

カードスキーム/決済ネットワーク 取り除く 製品 ピックス 援助
FBF-1886(デンマーク)[ 26 ]A000000001 ポイントカード 0001 A0000000010001
ダンモント(デンマーク)A000000001キャッシュカード1010A0000000011010
ビザA000000003Visaクレジットまたはデビット1010A0000000031010
ビザエレクトロン2010A0000000032010
Vペイ2020A0000000032020
プラス8010A0000000038010
マスターカードA000000004マスターカードのクレジットまたはデビット1010A0000000041010
マスターカード[ 27 ]9999A0000000049999
マエストロ3060A0000000043060
Cirrus ATMカードのみ6000A0000000046000
チップ認証プログラムセキュアコード8002A0000000048002
A000000005Maestro UK (旧Switch0001A0000000050001
A000000010 Mastercard(中国、デビットカードとクレジットカード)[注1 ]8888 A0000000108888
アメリカン・エキスプレスA000000025アメリカン・エキスプレス01A00000002501
A000000790AMEX CHINA(デビットカードとクレジットカード)[注2 ]01A00000079001
米国デビット(すべての銀行間ネットワーク)(米国) A000000098 Visaブランドカード 0840 A0000000980840
A000000004 マスターカードブランドのカード 2203 A0000000042203
A000000152 Discoverブランドカード 4010 A0000001524010
メナーズクレジットカード(ストアカード)(米国) A000000817 ストアカード 002001 A000000817002001
LINK ATMネットワーク(英国)A000000029ATMカード1010A0000000291010
CB(フランス)A000000042CB(クレジットカードまたはデビットカード)1010A0000000421010
CB(デビットカードのみ)2010A0000000422010
JCB(日本)A000000065日本信用調査会社1010A0000000651010
ダンコルト(デンマーク)A000000121ダンコルト1010A0000001211010
VisaDankort 4711 A0000001214711
ダンコルト(J/スピーディー)4712A0000001214712
マスターカード ダンコート4713A0000001214713
コンソルツィオ・バンコマート(イタリア)A000000141バンコマット/パゴバンコマット0001A0000001410001
ダイナースクラブ/ディスカバーA000000152ダイナースクラブ/ディスカバー3010A0000001523010
バンリスル(ブラジル)A000000154バンリコンプラス・デビット4442A0000001544442
SPAN2(サウジアラビア)A000000228スパン1010A0000002281010
インタラック(カナダ)A000000277デビットカード1010A0000002771010
ディスカバー(米国)A000000324ジップ1010A0000003241010
銀聯(中国)A000000333デビット010101A000000333010101
クレジット010102A000000333010102
準クレジット010103A000000333010103
電子現金010106A000000333010106
DK(ドイツ)A000000359ジロカード1010028001A0000003591010028001
EAPSバンコマート(イタリア)A000000359バンコマット10100380A00000035910100380
ヴァーヴ(ナイジェリア)A000000371ヴァーヴ0001A0000003710001
Exchange Network ATM ネットワーク (カナダ/米国)A000000439ATMカード1010A0000004391010
RuPay(インド)A000000524ルペイ1010A0000005241010
ディヌーベ(スペイン) A000000630 ディヌーベ支払い開始(PSD2) 0101 A0000006300101
ミール(ロシア)A000000658MIRデビット2010A0000006582010
MIRクレジット1010A0000006581010
エデンレッド(ベルギー)A000000436チケットレストラン0100A0000004360100
eftpos(オーストラリア) A000000384 貯蓄(デビットカード) 10 A00000038410
小切手(デビットカード) 20 A00000038420
ギム・ウエモア

(西アフリカ8か国:ベナン、ブルキナファソ、コートジボワール、ギニアビサウ、マリ、ニジェール、セネガル、トーゴ)

A000000337 撤退 01 000001 A000000337301000
標準 01 000002 A000000337101000
クラシック 01 000003 A000000337102000
オンライン前払い 01 000004 A000000337101001
オフラインでの前払い可能 01 000005 A000000337102001
ポルト・モネ・エレクトロニク 01 000006 A000000337601001
ミーザ(エジプト)A000000732ミーザカード100123A000000732100123
マーキュリー(UAE)A000000529マーキュリーカード1010A0000005291010
中国T-UnionA000000632 MOT電子財布 010105 A000000632010105
MOT電子キャッシュ 010106 A000000632010106

申請処理を開始する

端末はカードに処理オプション取得コマンドを送信します。このコマンドを発行すると、端末はカードから要求されたデータ要素を処理オプションデータオブジェクトリスト(PDOL)に含めてカードに提供します。PDOL(データ要素のタグと長さのリスト)は、アプリケーション選択時にカードから端末にオプションで提供されます。カードは、トランザクション処理で実行する機能のリストであるアプリケーション交換プロファイル(AIP)で応答します。また、カードは、端末がカードから読み取る必要があるファイルとレコードのリストであるアプリケーションファイルロケータ(AFL)も提供します。

アプリケーションデータを読み取る

スマートカードはデータをファイルに保存します。AFLにはEMVデータを含むファイルが含まれています。これらのファイルはすべて、読み取りレコードコマンドを使用して読み取る必要があります。EMVではデータがどのファイルに保存されているかは指定されていないため、すべてのファイルを読み取る必要があります。これらのファイル内のデータはBER TLV形式で保存されます。EMVは、カード処理で使用されるすべてのデータのタグ値を定義します。[ 28 ]

処理制限

処理制限の目的は、カードの使用が適切かどうかを確認することです。前のステップで読み取った3つのデータ要素、すなわちアプリケーションのバージョン番号、アプリケーションの使用制御(カードが国内専用かどうかなど)、アプリケーションの有効期限の確認がチェックされます。

これらのチェックのいずれかが失敗した場合でも、必ずしもカードが拒否されるわけではありません。端末は端末検証結果(TVR)の適切なビットを設定します。TVRの構成要素は、取引フローの後半で承認/拒否の判断の基準となります。この機能により、例えばカード発行会社は、カード所有者が有効期限切れのカードを引き続き使用できるようにしつつ、有効期限切れのカードを使ったすべての取引をオンラインで実行することを可能にします。

オフラインデータ認証(ODA)

オフラインデータ認証は、公開鍵暗号を用いてカードを検証する暗号チェックです。カードの種類に応じて、以下の3つの異なるプロセスが実行されます。

  • 静的データ認証(SDA)は、カードから読み取られたデータがカード発行者によって署名されていることを確認します。これによりデータの改ざんは防止されますが、複製は防止できません。
  • 動的データ認証(DDA) は、データの変更や複製に対する保護を提供します。
  • DDAとアプリケーション暗号(CDA)生成を組み合わせた方式は、 DDAとカードのアプリケーション暗号の生成を組み合わせ、カードの有効性を保証します。このプロセスは特定の市場で実装されているため、デバイスでのCDAのサポートが必要になる場合があります。このプロセスは端末では必須ではなく、カードと端末の両方がCDAをサポートしている場合にのみ実行できます。

EMV証明書

決済カードの真正性を検証するために、EMV証明書が使用されます。EMV認証局[ 29 ]は、決済カード発行会社にデジタル証明書を発行します。要求に応じて、決済カードチップはカード発行会社の公開鍵証明書と署名付き静的アプリケーションデータ(SSAD)[ 30 ]を端末に提供します。端末はローカルストレージからCAの公開鍵を取得し、それを使用してCAの信頼を確認します。信頼できる場合は、カード発行会社の公開鍵がCAによって署名されていることを確認します。カード発行会社の公開鍵が有効であれば、端末はカード発行会社の公開鍵を使用して、カードのSSADがカード発行会社によって署名されていることを確認します。[ 31 ]

カード所有者の確認

カード所有者認証は、カードを提示した人が正当なカード所有者であるかどうかを確認するために使用されます。EMVでは、多くのカード所有者認証方法(CVM)がサポートされています。

  • サイン
  • オフラインのプレーンテキストPIN
  • オフライン暗号化PIN
  • オフラインのプレーンテキストPINと署名
  • オフラインで暗号化されたPINと署名
  • オンラインPIN
  • CVMは不要
  • コンシューマーデバイスCVM
  • CVM処理に失敗

端末はカードから読み取ったCVMリストを使用して、実行する認証の種類を決定します。CVMリストは、端末の機能に応じて使用するCVMの優先順位を決定します。端末によってサポートされるCVMは異なります。ATMは一般的にオンラインPINをサポートしていますが、POS端末は種類と国によってCVMのサポートが異なります。

オフライン暗号化PIN方式の場合、端末は平文のPINブロックをカードの公開鍵で暗号化し、検証コマンドでカードに送信します。オンラインPIN方式の場合、平文のPINブロックは端末のポイントツーポイント暗号化鍵で暗号化され、承認要求メッセージでアクワイアラープロセッサに送信されます。

すべてのオフライン方式は中間者攻撃に対して脆弱です。2017年、EMVCoはEMV仕様バージョン4.3に生体認証方式のサポートを追加しました。[ 32 ]

ターミナルリスク管理

端末リスク管理は、取引をオンラインで承認するかオフラインで承認するかを決定しなければならないデバイスでのみ実行されます。取引が常にオンラインで行われる場合(ATMなど)、または常にオフラインで行われる場合、このステップは省略できます。端末リスク管理では、取引金額がオフライン上限額(この金額を超える取引はオンラインで処理されるべき)と照合されます。また、オンラインカウンタに1を設定し、ホットカードリスト(オフライン取引にのみ必要)と照合することも可能です。これらのテストのいずれかの結果が肯定的であれば、端末は端末検証結果(TVR)の適切なビットを設定します。[ 33 ]

ターミナルアクション分析

以前の処理手順の結果に基づいて、取引をオフラインで承認するか、承認のためにオンラインで送信するか、オフラインで拒否するかが決定されます。これは、端末に保持される端末アクションコード(TAC)と呼ばれるデータオブジェクトと、カードから読み取られる発行者アクションコード(IAC)の組み合わせを用いて行われます。TACとIACの論理和は、取引アクワイアラーが取引結果をある程度制御できるようにするために用いられます。どちらのアクションコードも、拒否、オンライン、デフォルトの値を取ります。各アクションコードには、端末検証結果(TVR)のビットに対応する一連のビットが含まれており、端末が決済取引を承認、拒否、またはオンラインに移行するかを決定する際に使用されます。TACはカードアクワイアラーによって設定されます。実際には、カード発行会社は、特定の端末の種類に応じて、その機能に応じて使用すべきTAC設定を推奨しています。IACはカード発行会社によって設定されます。一部のカード発行会社は、拒否IACの適切なビットを設定することで、有効期限切れのカードを拒否することを決定する場合があります。他の発行者は、取引をオンラインで進めることを望んでいる場合があり、場合によってはこれらの取引の実行を許可することができます。[ 34 ]

オンライン専用デバイスがIACオンラインおよびTACオンライン処理を実行する場合、関連するTVRビットは「取引額がフロアリミットを超えています」のみです。フロアリミットはゼロに設定されているため、取引は常にオンラインになり、TACオンラインまたはIACオンラインのその他の値はすべて無関係になります。オンライン専用デバイスはIACデフォルト処理を実行する必要はありません。ATMなどのオンライン専用デバイスは、IAC拒否設定によってオフラインで拒否されない限り、常に承認要求とともにオンライン接続を試みます。IAC拒否およびTAC拒否処理中、オンライン専用デバイスでは、関連する端末検証結果ビットは「サービス不許可」のみです。[ 35 ]

最初のカードアクション分析

アプリケーションデータ読み取りステージでカードから読み取られるデータオブジェクトの1つに、CDOL1(カードデータオブジェクトリスト)があります。このオブジェクトは、カードが取引の承認または拒否を決定するために送信を希望するタグのリストです(取引金額だけでなく、その他の多くのデータオブジェクトも含まれます)。端末はこのデータを送信し、「アプリケーション暗号文生成」コマンドを使用して暗号文を要求します。端末の決定(オフライン、オンライン、拒否)に応じて、端末はカードに対して以下のいずれかの暗号文を要求します。

  • 取引証明書(TC) - オフライン承認
  • 承認要求暗号(ARQC)—オンライン承認
  • アプリケーション認証暗号(AAC)—オフライン拒否

このステップにより、カードは端末のアクション分析を受け入れるか、取引を拒否するか、オンラインで取引を強制するかを選択できます。ARQCが要求された場合、カードはTCを返すことはできませんが、TCが要求された場合はARQCを返すことができます。[ 35 ]

オンライン取引承認

ARQCが要求されると、取引はオンラインになります。ARQCは承認メッセージで送信されます。カードはARQCを生成します。そのフォーマットはカードアプリケーションによって異なります。EMVはARQCの内容を指定しません。カードアプリケーションによって作成されるARQCは、取引内容のデジタル署名であり、カード発行者はリアルタイムで確認することができます。これにより、カードが真正であることを強力に暗号的に確認することができます。発行者は、承認要求に対して、レスポンスコード(取引の承認または拒否)、承認応答暗号文(ARPC)、そしてオプションで発行者スクリプト(カードに送信される一連のコマンド)で応答します。[ 35 ]

ARPC処理は、EMVのVisa Quick Chip [ 36 ]およびMastercard M/Chip Fast [ 37 ]で処理される接触型取引や、複数のスキームにまたがる非接触型取引では実行されません。これは、ARQCが生成された後、カードがリーダーから取り外されるためです。

2枚目のカードアクション分析

CDOL2(カードデータオブジェクトリスト)には、オンライン取引承認後にカードが送信を希望するタグ(レスポンスコード、ARPCなど)のリストが含まれています。端末が何らかの理由でオンラインに接続できなかった場合(通信障害など)、端末は承認暗号文生成コマンドを使用して、このデータをカードに再送信する必要があります。これにより、カードは発行者からの応答を認識できます。その後、カードアプリケーションはオフライン利用制限をリセットできます。

発行者スクリプトの処理

カード発行会社が発行後にカードを更新したい場合、発行者スクリプト処理を使用してカードにコマンドを送信できます。発行者スクリプトは端末にとって無意味であり、カードと発行者間で暗号化することでセキュリティを強化することができます。発行者スクリプトは、カードをブロックしたり、カードのパラメータを変更したりするために使用できます。[ 38 ]

発行者スクリプト処理は、EMVのVisa Quick Chip [ 36 ]およびMastercard M/Chip Fast [ 37 ]で処理される接触型取引、および複数のスキームにまたがる非接触型取引では利用できません。

EMVチップ仕様

クレジットカードの表面にある電気インターフェース用の接触パッド

EMV規格の最初のバージョンは1995年に公開されました。現在、この規格は民間企業であるEMVCo LLCによって定義・管理されています。EMVCoの現在のメンバー[ 39 ]は、 American ExpressDiscover FinancialJCB InternationalMastercardChina UnionPayVisa Inc.です。これらの組織はそれぞれEMVCoの株式を均等に保有しており、EMVCo組織およびEMVCoワーキンググループに代表者を派遣しています。

EMV 標準への準拠の認定 (デバイス認証) は、認定されたテスト機関によって実行されたテストの結果の提出後に EMVCo によって発行されます。

EMV コンプライアンス テストには、物理​​、電気、トランスポート レベルのインターフェイスをカバーする EMV レベル 1 と、支払いアプリケーションの選択とクレジット金融取引処理をカバーする EMV レベル 2 の 2 つのレベルがあります。

共通の EMVCo テストに合格した後、ソフトウェアは、Visa VSDC、American Express AEIPS、Mastercard MChip、JCB JSmart などの独自の EMV 実装、または英国の LINK やカナダの Interac などの非 EMVCo メンバーの EMV 準拠実装に準拠していることを決済ブランドによって認定される必要があります。

EMV文書と標準のリスト

2011 年現在、バージョン 4.0 以降、EMV 決済システムのすべてのコンポーネントを定義する公式 EMV 標準ドキュメントが、4 冊の「書籍」といくつかの追加ドキュメントとして公開されています。

  • 第1巻:アプリケーションに依存しないICCから端末へのインターフェース要件[ 25 ]
  • 第2巻:セキュリティと鍵管理[ 40 ]
  • 第3巻 アプリケーション仕様[ 41 ]
  • 第4巻:カード所有者、係員、およびアクワイアラーのインターフェース要件[ 42 ]
  • 共通決済アプリケーション仕様[ 43 ]
  • EMVカードパーソナライゼーション仕様[ 44 ]

バージョン

最初のEMV規格は1995年にEMV 2.0として登場しました。これは1996年にEMV 3.0(EMV '96と呼ばれることもあります)にアップグレードされ、1998年にはEMV 3.1.1への改訂が行われました。これはさらに2000年12月にバージョン4.0(EMV 2000と呼ばれることもあります)に改訂されました。バージョン4.0は2004年6月に発効しました。バージョン4.1は2007年6月に発効しました。バージョン4.2は2008年6月から発効しています。バージョン4.3は2011年11月から発効しています。[ 45 ]

脆弱性

PINを収集し、磁気ストライプを複製する機会

EMVカードには通常、磁気ストライプ上のトラック2データに加えて、チップ上に同一のデータがエンコードされており、通常のEMV取引プロセスの一環として読み取られます。EMVリーダーが侵害され、カードと端末間の通信が傍受された場合、攻撃者はトラック2データとPINの両方を復元できる可能性があり、磁気ストライプカードの作成が可能になります。このカードは、チップとPINに対応した端末では使用できませんが、例えば、チップカードを持たない外国人顧客や不良カードのために磁気ストライプ処理へのフォールバックを許可する端末機器では使用できます。この攻撃は、(a) オフラインPINがPIN入力デバイスによってカードに平文で提示され、(b) カード発行会社が磁気ストライプ処理へのフォールバックを許可し、(c) カード発行会社が地理的および行動的チェックを実行できない場合にのみ可能です。

英国の決済業界を代表するAPACSは、プロトコルに指定された変更(磁気ストライプとチップ(iCVV)のカード検証値が異なる)によりこの攻撃は無効になり、そのような対策は2008年1月から実施されると主張した。[ 46 ] 2008年2月に行われたカードのテストでは、これが遅れている可能性があることが示された。[ 47 ]

成功した攻撃

会話キャプチャは、2006年5月にシェルの端末に対して行われたと報告された攻撃の一種であり、顧客から100万ポンド以上が盗まれた後、シェルはガソリンスタンドのすべてのEMV認証を無効にすることを余儀なくされました。[ 48 ]

2008年10月、英国、アイルランド、オランダ、デンマーク、ベルギー向けに使用される予定だった数百台のEMVカードリーダーが、製造中または製造直後に中国で改ざんされていたことが報じられました。9ヶ月間にわたり、クレジットカードとデビットカードの詳細情報と暗証番号が携帯電話ネットワークを介してパキスタンのラホールの犯罪者に送信されました。米国国家防諜長官のジョエル・ブレナー氏は、「以前は、このような作戦を実行できるのは国家の諜報機関だけだった。恐ろしい」と述べています。盗まれたデータは通常、カード取引から数ヶ月後に使用され、捜査官が脆弱性を特定するのを困難にしていました。この不正行為が発覚した後、追加された回路によって端末の重量が約100グラム増加したことで、改ざんされた端末を特定できることが判明しました。数千万ポンドが盗まれたと推定されています。[ 49 ]この脆弱性により、POSデバイスのライフサイクル全体にわたってより優れた管理を実装する取り組みが促進され、これはセキュアPOSベンダーアライアンス(SPVA)によって開発されているような電子決済セキュリティ標準によって支持されている実践である。[ 50 ]

PIN収集とストライプの複製

2008年2月のBBCニュースナイト番組で、ケンブリッジ大学の研究者スティーブン・マードックとサール・ドリマーは、チップとPINは、詐欺を証明する責任を銀行から顧客に転嫁するほど安全ではないことを示す攻撃例を実演しました。[ 51 ] [ 52 ]ケンブリッジ大学の脆弱性により、実験者は磁気ストライプを作成するためのカードデータとPINの両方を取得することができました。

英国の決済協会であるAPACSは、報告書の大部分に反対し、「この報告書で詳述されているPIN入力デバイスへの攻撃の種類は実行が難しく、詐欺師が実行するのは現時点では経済的に実行可能ではない」と述べた。[ 53 ]また、プロトコルの変更(チップと磁気ストライプ間で異なるカード検証値(iCVV)を指定する)により、この攻撃は2008年1月から無効になると述べた。

2016 年 8 月、NCR 社のセキュリティ研究者は、クレジットカード窃盗犯が磁気ストライプのコードを書き換えてチップなしカードのように見せかけ、偽造を可能にする方法を示しました。

2010年: 隠されたハードウェアが盗難カードのPINチェックを無効化

Wikinewsには関連ニュースがあります:

2010年2月11日、ケンブリッジ大学のマードックとドリマーのチームは、「チップとPINに非常に深刻な欠陥があり、システム全体の書き換えが必要だと考えている」と発表しました。しかも、その欠陥は「あまりにも単純なため、彼らは衝撃を受けた」とのことです。盗難カードは電子回路と偽造カードに接続され、偽造カードは端末に挿入されます(「中間者攻撃」)。任意の4桁の数字を入力すると、有効なPINとして受け入れられます。[ 54 ] [ 55 ]

BBCのニュースナイト番組のチームは、ケンブリッジ大学のカフェテリア(許可を得て)にこのシステムを設置して訪問し、偽造カードを挿入し、暗証番号として「0000」を入力することで、回路に接続された自身のカード(窃盗犯は盗難カードを使用する)で支払いを行うことができた。取引は通常通り記録され、銀行のセキュリティシステムには検知されなかった。研究チームのメンバーは、「小規模な犯罪システムでさえ、我々よりも優れた機器を備えている。この攻撃を実行するために必要な技術的洗練度は、実際には非常に低い」と述べた。この脆弱性に関する発表では、「必要な専門知識はそれほど高くない(学部レベルの電子工学)。銀行業界が、犯罪者は十分に洗練されていないと主張することに異議を唱える。なぜなら、彼らは既に、小型の暗証番号入力装置スキマーにおいて、この攻撃に必要なレベルをはるかに上回る技術力を発揮しているからだ」と述べられている。この脆弱性が悪用されたかどうかは不明だが、未解決の詐欺事件の原因となる可能性がある。[ 55 ]

EMVCoはこれに反対し、回答を発表し、そのような攻撃は理論的には可能かもしれないが、成功させるのは非常に困難で費用もかかるため、現在の代替管理策で不正行為を検出または制限できる可能性が高いこと、攻撃による金銭的利益は最小限である一方で、取引の拒否や不正行為者の摘発のリスクは大きいことを述べた。[ 56 ]ケンブリッジ大学のチームはこれに反対する。彼らは銀行に気づかれることなく、既製の機器にいくつかの単純な追加機能を加えただけで攻撃を実行した。より小型のバージョンは簡単に作れる。攻撃用にそのような機器を製造する者は、自らを危険にさらす必要はなく、インターネットを通じて誰にでも販売できる。[ 55 ]

コメントを求めたところ、複数の銀行(コーオペラティブ・バンク、バークレイズ、HSBC)はいずれも、これは業界全体の問題であると述べ、ニュースナイトの取材班に銀行業界団体へのさらなるコメントを求めた。[ 57 ]消費者協会のフィル・ジョーンズ氏によると、ICチップと暗証番号はカード犯罪の減少に役立っているものの、多くのケースは未解明のままだという。「我々が知っているのは、個人から非常に説得力のあるケースが持ち込まれているということです。」

この攻撃は、認証方法が認証されていないという事実を悪用し、中間者攻撃を可能にします。端末はPINを要求し、それを取得し、カードに取引を承認させます。カードはカードと署名による取引を行っていると認識し、これはオフラインでも成功する可能性があります。また、おそらく十分な確認が行われていないため、オンラインでも攻撃は可能です。[ 58 ]

当初、銀行の顧客は補償を受ける前に暗証番号の使用に過失がなかったことを証明する必要がありましたが、2009年11月1日に施行された英国の規制により、いかなる紛争においても顧客の過失を証明する責任は銀行に課され、顧客には13ヶ月以内に請求を行うよう命じられました。[ 59 ]マードック氏は、「[銀行は]顧客が暗証番号が使用されていないと主張しているにもかかわらず、銀行の記録には使用されていたことが示されている過去の取引を遡って確認し、これらの顧客がこの種の詐欺の被害者である可能性があるため、返金を検討すべきだ」と述べました。[ 55 ]

2011年: CVMのダウングレードにより任意のPIN収集が可能に

2011年3月に開催されたCanSecWestカンファレンスで、アンドレア・バリサーニとダニエレ・ビアンコは、カード所有者認証の設定にかかわらず、サポートされているCVMデータが署名されている場合でも、任意のPIN収集を可能にするEMVの脆弱性を発見した研究を発表しました。[ 60 ]

PINの収集はチップスキマーを用いて行うことができます。つまり、CVMをオフラインPINにダウングレードするように改変されたCVMリストは、署名が無効であるにもかかわらず、POS端末で引き続き有効となります。[ 61 ]

PINバイパス

2020年に、 ETHチューリッヒの研究者David Basin、Ralf Sasse、Jorge Toroは、 Visaコンタクトレスカードに影響を与えるセキュリティ問題を報告しました[ 62 ] [ 63 ]。それは、EMV取引中にカードから端末に送信される重要なデータの暗号保護の欠如です。問題のデータは、取引に使用されるカード所有者の確認方法(PIN確認など)を決定します。研究チームは、カード所有者がデバイス(スマートフォンなど)を使用して確認されているため、PINは不要であると端末に信じ込ませるためにこのデータを変更することが可能であることを実証しました。研究者は、物理的なVisaカードをモバイル決済アプリ(Apple PayGoogle Payなど)に効果的に変換し、PINなしで高額購入を実行する概念実証Androidアプリを開発しました。攻撃は、2台のNFC対応スマートフォンを使用して実行されます。1台は物理的なカードの近くに、もう1台は決済端末の近くに保持されます。この攻撃は、Discoverや中国のUnionPayのカードに影響を与える可能性がありますが、Visaカードとは異なり、これは実際には実証されていません。

2021年初頭、同じチームはMastercardカードもPINバイパス攻撃に対して脆弱であることを明らかにしました。犯罪者は端末を騙してMastercardの非接触型カードがVisaカードであると信じ込ませ、取引を実行させることができることを示しました。このカードブランドの混同は、VisaのPINバイパスと組み合わせることでMastercardカードのPINもバイパスできるため、重大な結果をもたらします。[ 63 ]

実装

EMVチップの半導体パッケージの接触パッドの反対側
チップのダイショットの図

EMVは、この規格を策定した3社( EuropayMastercardVisa )の頭文字をとったものです。現在、この規格は金融企業のコンソーシアムであるEMVCoによって管理されています。 [ 1 ] EMV規格で広く知られているその他のチップは以下のとおりです。

  • AEIPS: アメリカン・エキスプレス
  • UICS: 中国銀聯
  • Jスマート:JCB
  • D-PAS: ディスカバー/ダイナースクラブ インターナショナル
  • ルペイ:NPCI
  • ヴァーヴ

VisaとMastercardは、電話やインターネットを介したカード非提示取引(CNP)をサポートするデバイスでEMVカードを使用するための標準規格も策定しています。Mastercardは、安全なeコマースのためのチップ認証プログラム(CAP)を提供しています。その実装はEMV-CAPとして知られ、複数のモードをサポートしています。Visaは、異なるデフォルト値を使用してCAPを実装したダイナミックパスコード認証(DPA)スキームを提供しています。

世界の多くの国では、デビットカードやクレジットカード決済ネットワークにおいて、責任の移転(ライアビリティ・シフト)が実施されています。通常、不正取引の責任はカード発行会社が負います。しかし、責任の移転後も、ATMまたは加盟店のPOS端末がEMVに対応していない場合、ATM所有者または加盟店が不正取引の責任を負うことになります。

チップとPINシステムは、チップとPINカードを発行していない国からの旅行者にとって問題を引き起こす可能性があります。なぜなら、一部の小売店がチップレスカードの受け取りを拒否する可能性があるからです。[ 64 ]ほとんどの端末は依然として磁気ストライプカードを受け入れており、主要なクレジットカードブランドは販売店に磁気ストライプカードの受け入れを義務付けていますが、[ 65 ]一部のスタッフは、カードがPINを認証できない場合に不正行為の責任を負うと考え、カードの受け取りを拒否することがあります。また、チップとPIN非対応のカードは、駅構内の無人販売機やスーパーマーケットのセルフレジなどでは使用できない場合があります。[ 66 ]

アフリカ

  • マスターカードによるこの地域の国々への責任移転は2006年1月1日に行われました。[ 67 ] 2010年10月1日までに、すべての販売時点取引について責任移転が行われました。[ 68 ]
  • Visaの販売時点管理に関する責任移転は2006年1月1日に行われました。ATMについては、責任移転は2008年1月1日に行われました。[ 69 ]

南アフリカ

  • マスターカードの責任移転は2005年1月1日に行われた。[ 67 ]

アジア太平洋諸国

  • マスターカードによるこの地域の国々への責任移転は2006年1月1日に行われました。[ 67 ] 2010年10月1日までに、中国と日本の国内取引を除くすべての販売時点取引で責任移転が発生しました。[ 68 ]
  • Visaの販売時点管理に関する責任移転は2010年10月1日に実施された。[ 69 ] ATMについては、中国、インド、日本、タイを除き、2015年10月1日に責任移転が実施され、中国、インド、日本、タイでは2017年10月1日に責任移転が実施された。[ 70 ]中国国内のATM取引は現在、責任移転期限の対象ではない。

オーストラリア

  • マスターカードは、2013年4月までにすべてのPOS端末がEMV対応になることを要求しました。ATMについては、責任の移転は2012年4月に行われました。ATMは2015年末までにEMVに準拠する必要があります。[ 71 ]
  • VisaのATMに関する責任移転は2013年4月1日に行われました。[ 69 ]

マレーシア

  • マレーシアは、2005年にEMV準拠のスマートカードを導入してから2年後に、EMV準拠のスマートカードに完全に移行した世界初の国です。[ 72 ] [ 73 ]

ニュージーランド

  • マスターカードは、2011年7月1日までにすべてのPOS端末をEMV準拠にすることを義務付けました。ATMについては、責任の移転は2012年4月に行われました。ATMは2015年末までにEMV準拠にする必要があります。[ 71 ]
  • VisaのATMに関する責任移転は2013年4月1日であった。[ 69 ]

ヨーロッパ

  • マスターカードの責任移転は2005年1月1日に行われた。[ 67 ]
  • Visaの販売時点管理に関する責任移転は2006年1月1日に行われました。ATMについては、責任移転は2008年1月1日に行われました。[ 69 ]
  • フランスでは、1992 年の導入以来、カード詐欺が 80% 以上削減されました ( Carte Bleue を参照)。

イギリス

黒い四角の中に 4 つの白いアスタリスクが並んだ緑の長方形。手の輪郭が 2 番目のアスタリスクを指し示し、隠しています。
チップとPIN UKロゴ

チップ&PINは2003年5月からイギリスのノーサンプトンで試験的に導入され[ 74 ]、その結果、2006年2月14日にイギリス全土で導入されました[ 75 ]。新聞やテレビの全国放送では「Safety in Numbers(安全は数で決まる)」というスローガンを掲げた広告が放映されました。導入初期段階では、磁気スワイプカードによる不正取引が行われたと判断された場合、チップ&PIN導入前と同様に、発行銀行から小売業者に返金されていました。2005年1月1日には、こうした取引の責任が小売業者に移管されました。これは小売業者にとってPOS(販売時点情報管理)システムのアップグレードを促すインセンティブとなり、大手チェーン店のほとんどがEMV導入期限に間に合うようにアップグレードしました。多くの中小企業は、全く新しいPOSシステムへの多額の投資が必要となるため、当初は機器のアップグレードに消極的でした。

磁気ストライプとICチップの両方を搭載した新しいカードが、現在、すべての主要銀行で発行されています。ICチップとPINが採用される前のカードの切り替えは大きな問題でした。銀行は、消費者が新しいカードを受け取るのは「古いカードの有効期限が切れた時」とだけ述べていたからです。しかし、多くの人が2007年という期限切れのカードを持っていたにもかかわらずです。カード発行会社のSwitchは、銀行の希望する時期に新しいカードを発行する準備が整っていなかったため、 HBOSとの主要契約をVisaに奪われました。

ICチップと暗証番号の導入は、銀行が署名の一致を証明するのではなく、顧客が暗証番号とカードを保護するために「相当の注意を払って」行動したことを証明することを求めることで、カード詐欺の申し立てがあった場合に銀行の責任を軽減するように設計されていると批判されました。ICチップと暗証番号が導入される前は、顧客の署名が偽造された場合、銀行は法的責任を負い、顧客に払い戻しをしなければなりませんでした。2009年11月1日まで、ICチップと暗証番号による取引の不正使用から消費者を保護するそのような法律はなく、自主的な銀行コードがあるだけでした。大規模な攻撃が成功した事例がいくつか記録されているにもかかわらず、銀行が、報告された状況下ではシステムがダウンするはずがないと主張し、不正カード使用の被害者への払い戻しを拒否したという報告が多数ありました。

2009年11月1日に施行された2009年決済サービス規制[ 76 ]により、カード所有者に過失があると想定するのではなく、それを証明することが銀行の責任となった。[ 59 ]金融サービス機構(FSA)は、責任を否定する前に「銀行、住宅金融組合、またはクレジットカード会社は、取引が利用者自身によって行われ、手続き上の不具合や技術的な問題がなかったことを証明する責任がある」と述べた。

ラテンアメリカとカリブ海地域

  • マスターカードのこの地域内の国々への責任移転は2005年1月1日に行われた。[ 67 ]
  • Visaの販売時点管理(POS)に関する責任移転は、この地域でまだ責任移転を実施していない国については2012年10月1日に実施されました。ATMに関する責任移転は、この地域でまだ責任移転を実施していない国については2014年10月1日に実施されました。[ 69 ]

ブラジル

  • マスターカードの責任移転は2008年3月1日に行われた。[ 67 ]
  • Visaの販売時点管理に関する責任移転は2011年4月1日に行われました。ATMについては、責任移転は2012年10月1日に行われました。[ 69 ]

コロンビア

  • マスターカードの責任移転は2008年10月1日に行われた。[ 67 ]

メキシコ

  • ディスカバーは2015年10月1日に責任移転を実施した。ガソリンスタンドのポンプでの支払いについては、責任移転は2017年10月1日に行われた。[ 77 ]
  • Visaの販売時点管理に関する責任移転は2011年4月1日に行われました。ATMについては、責任移転は2012年10月1日に行われました。[ 69 ]

ベネズエラ

  • マスターカードの責任移転は2009年7月1日に行われた。[ 67 ]

中東

  • マスターカードによるこの地域の国々への責任移転は2006年1月1日に行われました。[ 67 ] 2010年10月1日までに、すべての販売時点取引について責任移転が行われました。[ 68 ]
  • Visaの販売時点管理に関する責任移転は2006年1月1日に行われました。ATMについては、責任移転は2008年1月1日に行われました。[ 69 ]

北米

カナダ

  • アメリカン・エキスプレスは2012年10月31日に責任移転を実施した。[ 1 ] [ 78 ]
  • ディスカバーは、2015年10月1日にガソリンスタンドでのペイ・アット・ザ・ポンプを除くすべての取引について責任移転を実施し、これらの取引は2017年10月1日に移行しました。[ 77 ]
  • カナダのデビットカードネットワークであるインタラックは、2012年12月31日にATMでの非EMV取引の処理を停止し、2016年9月30日にPOS端末でのEMV取引を義務付け、2015年12月31日に責任移転が行われた。[ 79 ]
  • マスターカードは、国内取引の責任移転を2011年3月31日に実施し、国際取引の責任移転は2011年4月15日に実施しました。ガソリンスタンドのポンプでの支払いについては、責任移転は2012年12月31日に実施されました。[ 78 ]
  • Visaは、国内取引の責任移転を2011年3月31日に、国際取引の責任移転を2010年10月31日に実施しました。ガソリンスタンドのポンプでの支払いについては、責任移転は2012年12月31日に実施されました。[ 78 ]
  • EMV移行後5年間で、カナダ国内におけるカード提示型不正取引は大幅に減少しました。Helcimの報告によると、カード提示型国内デビットカード詐欺は89.49%、クレジットカード詐欺は68.37%減少しました。[ 1 ] [ 80 ]

アメリカ合衆国

ターゲットホームデポ、その他大手小売店のPOS端末のセキュリティが脆弱だったために個人情報の盗難が広まったことを受けて、Visa、Mastercard、Discover [ 81 ]は2012年3月に、American Express [ 82 ]は2012年6月に、米国でEMV移行計画を発表しました。[ 83 ]発表以来、American Express、Bank of America、Citibank、 Wells Fargo[ 84 ] JP Morgan Chase、US Bank、およびいくつかの信用組合を含む複数の銀行とカード発行会社がEMVチップと署名技術を搭載したカードを発表しました。

2010 年には、多くの企業が IC カードと PIN を組み込んだプリペイド デビット カードの発行を開始し、アメリカ人はユーロ英ポンドで現金をチャージできるようになりました。[ 85 ] [ 1 ]国連連邦信用組合は、 IC カードと PIN のクレジットカードを提供する最初の米国発行会社です。[ 86 ] 2010 年 5 月、ジェムアルト(世界的な EMV カード製造会社)のプレスリリースによると、ニューヨークの国連連邦信用組合は米国初の EMV カード発行会社となり、顧客に EMV Visa クレジットカードを提供するとのことです。[ 87 ] JP モルガンは、2012 年半ばにEMV 技術を搭載したカード、すなわちパラジウム カードを導入した最初の大手銀行でした。 [ 88 ]

2016年4月時点で、米国の消費者の70%がEMVカードを所有しており、2016年12月時点で約50%の加盟店がEMVに準拠していました。[ 89 ] [ 90 ]しかし、導入は遅く、ベンダー間で一貫性がありません。EMVハードウェアを備えた加盟店であっても、ソフトウェアまたはコンプライアンスの欠陥により、ICチップ取引を処理できない場合があります。[ 91 ]ブルームバーグはまた、 Verifone端末の音声プロンプトの変更など、ソフトウェアのリリースと展開に数ヶ月かかる可能性のあるソフトウェア展開の問題も挙げています。 しかし、業界の専門家は、米国でソフトウェアの展開と標準の標準化が進むと予想しています。VisaMastercardはどちらも、ICチップ取引を高速化するための標準を実装しており、時間を3秒未満に短縮することを目標としています。これらのシステムは、Visa Quick ChipとMastercard M/Chip Fastと呼ばれています。[ 92 ]

  • アメリカン・エキスプレスは、2015年10月1日にPOS端末の責任移転を実施した。[ 93 ]ガソリンスタンドのポンプでの支払いについては、責任移転は2021年4月16日であった。これは、 COVID-19パンデミックのため、2020年10月1日から延長された。[ 94 ]
  • ディスカバーは2015年10月1日に責任移転を実施した。ガソリンスタンドの給油機での支払いについては、責任移転は2020年10月1日であった。[ 77 ]
  • マエストロは、2013年4月19日に米国で使用される国際カードに対して責任移転を実施しました。[ 95 ]
  • マスターカードは、2015年10月1日にPOS端末の責任移転を実施した。[ 93 ]ガソリンスタンドのポンプでの支払いについては、責任移転は正式には2020年10月1日であった。[ 96 ] ATMについては、責任移転日は2016年10月1日であった。[ 97 ] [ 98 ]
  • Visaは2015年10月1日にPOS端末の責任移転を実施した。ガソリンスタンドの給油機での支払いについては、正式には2020年10月1日に責任移転された。[ 96 ] [ 99 ] ATMについては、責任移転日は2017年10月1日であった。[ 70 ] [ 1 ]

注記

  1. ^ Mastercard NetsUnion(別名Mastercard NetsUnion Information Technology (Beijing) Co., Ltd.)によって承認されている。Mastercardと中国の銀行ネットワークの合弁会社である。
  2. ^アメリカン・エキスプレスの合弁会社であるエクスプレス(杭州)テクノロジーサービスカンパニーリミテッドによって承認された

参照

参考文献

  1. ^ a b c d e f gステイシー・カウリー (2015年9月23日). 「レジにまもなく登場:マイクロチップカード決済システム」 .ニューヨーク・タイムズ. 2022年7月31日閲覧
  2. ^重要なスマートカード業界標準。ISO 7816Cardwerk Technologies
  3. ^ Chen, Zhiqun (2000). 『スマートカード向けJava Cardテクノロジ:アーキテクチャとプログラマーズ・ガイドAddison-Wesley Professional . pp.  3-4 . ISBN 9780201703290
  4. ^ 「スマートカードの簡単なレビュー(2019年更新)」 Gemalto 2019年10月7日。 2019年10月27日閲覧
  5. ^ Sorensen, Emily (2019年7月26日). 「クレジットカード端末の詳細な歴史」 .モバイルトランザクション. 2019年10月27日閲覧
  6. ^ Veendrick, Harry JM (2017).ナノメートルCMOS IC:基礎からASICまで. Springer. p. 315. ISBN 9783319475974
  7. ^ "EMVCo Members" . EMVCo. 2016年2月15日時点のオリジナルよりアーカイブ2015年5月10日閲覧。
  8. ^ 「参加方法」 。 2023年1月31日閲覧
  9. ^ 「China UnionPayがEMVCoに加盟」(プレスリリース)Finextra Research、2013年5月20日。 2015年5月10日閲覧
  10. ^ 「DiscoverがEMVCoに加盟し、世界的なEMV標準の推進を支援」 Discover Network News、2013年9月3日。 2015年5月10日閲覧
  11. ^ 2016年から2020年までの世界のEMVカード市場におけるトップ7ベンダー、Technavioプレスリリース、2016年8月24日
  12. ^ 「VisaとMasterCard、米国ICチップデビットルーティングを可能にする共通ソリューションをサポート」 Mastercard. 2021年6月14日時点のオリジナルよりアーカイブ。 2020年10月7日閲覧
  13. ^ 「不正取引に対する責任の転換」英国カード協会2015年5月10日閲覧。
  14. ^ 「2015年米国詐欺責任の移行を理解する」(PDF) . www.emv-connection.com . EMV移行フォーラム. 2015年9月19日時点のオリジナル(PDF)からアーカイブ。 2015年11月15日閲覧
  15. ^ a bマーク・スコット (2014年12月2日). 「米国におけるチップ・アンド・ピン・カードの導入準備」 .ニューヨーク・タイムズ. 2022年7月31日閲覧
  16. ^ 「ICチップ付きクレジットカードを持っていても詐欺から安全ではない理由」 ABCニュース
  17. ^ Ann Carrns (2011年6月20日). 「US BankとChaseが旅行者向けEMVチップカードを追加」 . 2022年7月31日閲覧
  18. ^ Chip-and-PIN vs. Chip-and-Signature、CardHub.com(現wallethub) 、 2012年7月31日閲覧。
  19. ^ 「EMVアップデート:連邦準備制度理事会との協議」(PDF) . Visa . 2017年1月2日閲覧
  20. ^ Carlin, Patricia (2017年2月15日). 「オンライン販売を阻害することなくチャージバックを削減する方法」 . Forbes .
  21. ^BBCニュース – テクノロジー – クレジットカードコードによる詐欺対策bbc.co.uk。
  22. ^ 「Visa、PINマシン内蔵カードをテスト」 IT PRO、2008年11月11日。
  23. ^ Brian X. Chen (2016年5月4日). 「Apple PayなどのモバイルウォレットがICチップカードに勝る理由」 . The New York Times . 2022年7月31日閲覧
  24. ^ 「EMV(チップ&PIN)の仕組み - 取引フローチャート」 Creditcall Ltd. 2015年5月10日閲覧
  25. ^ a b「Book 1: アプリケーションに依存しないICCから端末へのインターフェース要件」(PDF) 4.3. EMVCo. 2011年11月30日. 2018年9月20日閲覧
  26. ^ Warming, Jan Bigum (2022年8月21日). Payments: from cowrie shells to bitcoins . Independently published. ISBN 979-8-8405-4325-2
  27. ^ 「MasterCard製品およびサービス - ドキュメント」 。 2017年4月17日閲覧
  28. ^ 「EMVチップ技術ガイド」(PDF) EMVCo、2014年11月。2021年2月16日時点のオリジナル(PDF)からアーカイブ。 2020年10月7日閲覧
  29. ^ "EMV CA" . EMV Certificate Authority Worldwide. 2010年11月20日. 2020年7月4日時点のオリジナルよりアーカイブ。 2020年3月20日閲覧
  30. ^ 「Emv-Sda」
  31. ^ 「Book 2: セキュリティとキー管理 (PDF). 4.3」(PDF) . EMVCo. 2011年11月29日. 2018年9月20日閲覧
  32. ^コンタクトチップ – 一般的なよくある質問(FAQ) 2021年6月15日アーカイブ、 Wayback Machine
  33. ^ 「Contactless決済システムの仕様」(PDF) . EMVCo. 2021年6月15日時点のオリジナル(PDF)からアーカイブ。 2020年10月7日閲覧
  34. ^ TAC定義:ターミナルアクションコード
  35. ^ a b c「Visaテクノロジーパートナー:ターミナルアクションコード(VISAミニマム)」
  36. ^ a b “Quick Chip” . 2020年11月12日時点のオリジナルよりアーカイブ2020年11月30日閲覧。
  37. ^ a b「MasterCardのM/Chip FastによりEMV取引と買い物客のチェックアウトが高速化」2020年10月28日時点のオリジナルよりアーカイブ2020年11月30日閲覧。
  38. ^ 「利用規約」(PDF) .
  39. ^ EMVCo. 「EMVCoメンバー」 . 2020年8月1日閲覧
  40. ^ 「Book 2: セキュリティとキー管理」(PDF) . 4.3. EMVCo. 2011年11月29日. 2018年9月20日閲覧.
  41. ^ 「Book 3: Application Specification」(PDF) . 4.3. EMVCo. 2011年11月28日. 2018年9月20日閲覧
  42. ^ 「Book 4: Cardholder, Attendant, and Acquirer Interface Requirements」(PDF) . 4.3. EMVCo. 2011年11月27日. 2018年9月20日閲覧
  43. ^ 「SB CPA仕様v1 Plus速報」(PDF) . EMVCo. 2008年3月1日. 2018年9月20日閲覧
  44. ^ 「EMV®カードパーソナライゼーション仕様」(PDF) . EMVCo. 2007年7月1日. 2018年9月20日閲覧
  45. ^ 「決済システム向け集積回路カード仕様」 EMVCo. 2012年4月2日時点のオリジナルよりアーカイブ。 2012年3月26日閲覧
  46. ^ 「チップとPINはどれほど安全か?」 BBC Newsnight、2008年2月26日。
  47. ^ Saar Drimer、Steven J. Murdoch、Ross Anderson. 「PIN入力デバイス(PED)の脆弱性」ケンブリッジ大学コンピュータ研究所. 2015年5月10日閲覧
  48. ^ 「ガソリン会社がチップ・アンド・ピン方式の導入を一時停止」 BBCニュース、2006年5月6日。 2015年3月13日閲覧
  49. ^ 「組織犯罪が欧州のカード読み取り装置を改ざん」 The Register、2008年10月10日。
  50. ^ 「Technical Working Groups, Secure POS Vendor Alliance」 2009年。2010年4月15日時点のオリジナルよりアーカイブ
  51. ^ 「チップとピンは本当に安全か?」 BBCニュース、2008年2月26日。 2010年5月2日閲覧
  52. ^ “Chip and pin” . 2007年2月6日. 2007年7月5日時点のオリジナルよりアーカイブ
  53. ^ジョン・レイデン (2008年2月27日). 「ペーパークリップ攻撃、チップとPINを串刺しにする」 . The Channel . 2015年5月10日閲覧
  54. ^ Steven J. Murdoch、Saar Drimer、Ross Anderson、Mike Bond。「EMV PIN認証における「ウェッジ」脆弱性」。ケンブリッジ大学コンピュータ研究所。 2010年2月12日閲覧
  55. ^ a b c dスーザン・ワッツ (2010年2月11日). 「チップとPINシステムの新たな欠陥が明らかに」 . BBCニュース. 2010年2月12日閲覧
  56. ^ 「ケンブリッジ大学のチップとPINの脆弱性に関する報告書(『チップとPINは壊れている』 - 2010年2月)に対するEMVCoの回答」(PDF) EMVCo。 2010年5月8日時点のオリジナル(PDF)からアーカイブ。 2010年3月26日閲覧
  57. ^スーザン・ワッツ「チップとピンのシステムに新たな欠陥が発覚(2010年2月11日)」ニュースナイトBBC 。 2015年12月9日閲覧
  58. ^ロス・アンダーソン (2010年2月11日). 「チップとPINは破られた」この攻撃がオフラインでも機能することは、私たちや銀行員にとって驚くべきことではない[...] 本当に衝撃的なのは、オンラインでも機能するということだ。
  59. ^ a bリチャード・エヴァンス (2009年10月15日). 「カード詐欺:銀行は今やあなたの有罪を証明しなければならない」 . The Telegraph . 2009年10月21日時点のオリジナルよりアーカイブ。 2015年5月10日閲覧
  60. ^ Andrea Barisani、Daniele Bianco、Adam Laurie、Zac Franken (2011). 「Chip & PINは確実に破られている」(PDF) . Aperture Labs. 2015年10月19日時点のオリジナル(PDF)からアーカイブ。 2015年5月10日閲覧
  61. ^ Adam Laurie、Zac Franken、Andrea Barisani、Daniele Bianco。「EMV – Chip & Pin CVM Downgrade Attack」。Aperture LabsとInverse Path。2015年10月19日時点のオリジナルよりアーカイブ2015年5月10日閲覧。
  62. ^ Basin, David; Sasse, Ralf; Toro-Pozo, Jorge (2021). 「EMV規格:破壊、修正、検証」 . 2021 IEEE セキュリティとプライバシーに関するシンポジウム (SP) . pp.  1766– 1781. arXiv : 2006.08249 . doi : 10.1109/SP40001.2021.00037 . ISBN 978-1-7281-8934-5
  63. ^ a b「EMV 標準: 破壊、修正、検証」
  64. ^ 「米国のクレジットカードは時代遅れ、海外ではあまり役に立たず、『チップとPIN』カードが普及」creditcards.com
  65. ^ "Visa Australia" . visa-asia.com . 2013年9月22日時点のオリジナルよりアーカイブ2015年6月29日閲覧。
  66. ^ヒギンズ、ミシェル(2009年9月29日)「アメリカ人にとって、プラスチックは海外での購入量が少ない」ニューヨーク・タイムズ。 2017年4月17日閲覧
  67. ^ a b c d e f g h i「チャージバックガイド」(PDF) MasterCard Worldwide、2010年11月3日。 2015年5月10日閲覧
  68. ^ a b c「運用規則」(PDF) . Visa International. 2013年3月3日時点のオリジナル(PDF)からのアーカイブ。
  69. ^ a b c d e f g h i「ダイナミックデータへの旅」。Visa。 2021年6月28日時点のオリジナルよりアーカイブ。
  70. ^ a b「Visa、米国におけるEMVチップ導入ロードマップをATMと共通デビットソリューションに拡大」(プレスリリース)。カリフォルニア州フォスターシティ:Visa。2013年2月4日。 2015年5月10日閲覧
  71. ^ a b「MasterCard、オーストラリアの決済業界の様相を変える5カ年計画を発表」 Mastercard Australia. 2013年1月28日時点のオリジナルよりアーカイブ。
  72. ^ 「マレーシア、ICチップカードへの移行を完了」 The Star Online、2005年7月14日。
  73. ^ 「米国、10年後のマレーシアから学ぶ」。The Rakyat Post、2015年10月14日。2019年3月20日時点のオリジナルよりアーカイブ。 2016年12月30日閲覧
  74. ^ 「不正防止クレジットカード、試験運用中」 BBCビジネスニュース、2003年4月11日。 2015年5月27日閲覧
  75. ^英国カード協会. 「チップとPINガイド」(PDF) . 2015年5月27日閲覧
  76. ^ Foundation, Internet Memory. 「[アーカイブコンテンツ] 英国政府ウェブアーカイブ - 国立公文書館」 。 2008年11月12日時点のオリジナルよりアーカイブ。 2017年4月17日閲覧
  77. ^ a b c「Discover、2015年までにEMV責任転換を実施」(プレスリリース)。Finextra Research。2012年11月12日。 2015年5月10日閲覧
  78. ^ a b c「Chip Liability Shift」 . globalpayments. 2013年7月30日時点のオリジナルよりアーカイブ。
  79. ^ 「Interac - For Merchants」 . 2017年4月17日閲覧
  80. ^ 「EMVがカナダにおけるカード提示詐欺を削減(インフォグラフィック) - The Official Helcim™ Blog」 。 2017年4月17日閲覧
  81. ^ 「Discover、米国、カナダ、メキシコでEMV規制を導入」 。2012年5月10日時点のオリジナルよりアーカイブ
  82. ^ 「アメリカン・エキスプレス、接触型、非接触型、モバイル決済の推進に向けた米国EMVロードマップを発表」(プレスリリース)。ニューヨーク:アメリカン・エキスプレス。2012年6月29日。 2015年5月10日時点のオリジナルよりアーカイブ。 2015年5月10日閲覧
  83. ^ 「EMVの米国における不確かな運命」。Protean Payment。2013年9月29日時点のオリジナルよりアーカイブ2012年9月22日閲覧。
  84. ^ Camhi, Jonathan (2012年8月3日). 「Wells Fargo、消費者向けに新しいEMVカードを導入」 . Bank Systems & Technology. 2014年6月5日時点のオリジナルよりアーカイブ。 2015年5月10日閲覧
  85. ^ 「トラベレックス、アメリカ初のチップ&PIN対応プリペイド外貨カードを提供」 Business Wire 2010年12月1日. 2014年2月6日閲覧
  86. ^ 「UNFCU、米国で初めて高セキュリティチップ搭載クレジットカードを発行へ」 United Nations Federal Credit Union .
  87. ^ Ray Wizbowski (2010年5月13日). 「国連連邦信用組合、米国初のグローバル準拠決済カードにジェムアルトを選択」(プレスリリース)オースティン、テキサス州:ジェムアルト。 2015年5月10日閲覧
  88. ^ Paul Riegler (2013年7月25日). 「2013年版 チップ&ピンとチップ&シグネチャークレジットカード入門」 . Frequent Business Traveler . 2015年5月10日閲覧
  89. ^ Goldman, Sharon (2017年3月20日). 「EMV小売導入への険しい道はよりスムーズになっているか?」 CIOマガジン. 2017年3月27日時点のオリジナルよりアーカイブ2017年4月17日閲覧。
  90. ^ “EMVクレジットカード世論調査” . 2017年3月27日時点のオリジナルよりアーカイブ2017年3月26日閲覧。
  91. ^ 「小売業者はICカードリーダーを持っているが、なぜ使用していないのか?」2017年11月22日閲覧
  92. ^ 「ICチップ付きクレジットカードの煩わしさを軽減する計画」 Bloomberg.com 2017年7月17日。 2017年8月5日閲覧
  93. ^ a b Cathy Medich (2012年7月). 「EMV移行 - 決済ブランドのマイルストーンが牽引」 . 2015年5月10日閲覧
  94. ^ 「アメックス、ビザに続き米国ガソリンEMV移行を延期」 2020年5月5日。
  95. ^ David Heun (2012年9月10日). 「MasterCard、EMVチップカード賠償責任保険を米国ATMに導入」 SourceMedia. 2014年2月22日時点のオリジナルよりアーカイブ。 2015年5月10日閲覧
  96. ^ a b「EMVの燃料責任遅延がカード詐欺の懸念を増大させる」 Credit Union Times . 2016年12月4日閲覧
  97. ^ Beth Kitchener (2012年9月10日). 「MasterCard、米国EMV移行ロードマップをATMチャネルまで延長」(プレスリリース). Purchase, NY: Mastercard. 2015年5月8日時点のオリジナルよりアーカイブ。 2015年5月10日閲覧
  98. ^ 「EMV For US Acquirers: Seven Guiding Principles for EMV Readiness」(PDF)2016年7月5日時点のオリジナル(PDF)からアーカイブ。 2017年4月17日閲覧
  99. ^ 「Visa、世界的なPOS偽造品責任移行への米国の参加を発表」(PDF) (プレスリリース). Visa. 2011年8月9日. 2015年5月23日時点のオリジナル(PDF)からアーカイブ。 2015年5月10日閲覧
「 https://en.wikipedia.org/w/index.php?title=EMV&oldid=1328488507」から取得