日々の破片

_ セキュリティコードの謎

昨日は気にもしていなかったが、Zinniaさんから指摘されて、なぜ与信が通った後から断られたか不思議になった。

推測すると次のようなことではなかろうか。

まず、元のクレジット会社は比較的与信がゆるいというのがある。

具体的には、多くの加盟店で低額商品についてはサインレスを認めている。また、通販でも必ずしもセキュリティコードの入力を必要とはしていない（確か、アマゾンでは不要だった）。

ということは、カードネットかCAFISかわからないけれど、口座番号、名前、有効期限のみで与信を通す運用となっているのだと思う。

セキュリティコードは、加盟店での直接販売でのサインに相当すると考えてみる。

この場合、最初の時点では口座番号と有効期限とその他のカード上の磁気情報（この中にはサインやセキュリティコードは含まれない）のみで与信する。

しかし、ある特定の（それが何かは知らないが）条件においてサインが確認される。おそらくはトラブッた時だとは思うが。

昨日のやつでは、購入対象はコンピュータで約60000円に相当する。

この価格について、与信時点より後でセキュリティコードによる検証処理が行われると考える。

与信時点でフォームへ与えたすべての情報はカードネットなりCAFISなりを通してカード会社へ送られて、そこで与信処理が行われ、結果として利用限度額を利用した検証のみが行われ、与信される。どうでも良いが、信用を与えるというのはおもしろい言葉だな。クレジットが信用だし。（昔のSFでは通貨単位に使ったりするね）

それとは別口で検証作業が行われ、そこでセキュリティコードのエラーが発見される。これは人間系を利用して加盟店に対して差し止め要求が出る。加盟店はカードホルダー（つまりおれ）に対してクレームを入れる。

このような手続きであれば、加盟店はセキュリティコードを保持せずとも、当初与信時点とは別に検証できることになる。

ただ、それはそれとして、面倒くさいので（また再来年には壊れると思うので）カード情報の保持要求チェックをしてフォームを送ったので、セキュリティコードも他の情報と一緒に加盟店側が保持している可能性はある。

セキュリティコードがくだらないのは、エンボス加工しないことで転写ができないこと、磁気情報に含めないことでスキミングができないこと、を満たしているのは良いけれど、日本の多くの加盟店ではカードホルダーが直接カードリーダーを操作するのではなく、一度、販売員に渡すという点にある。どれだけ視認性を悪くしたところで、手渡されたカードを販売員がカードリーダーに食わせる間に3ケタ程度なので記憶可能なことが問題だ（磁気情報はスキミングできるし、エンボスされた情報は転写できるので、いずれにしても販売員が悪意を持てば盗み放題なわけだ）。これで、販売員に対して荷物の配送まで頼んで配送伝票に電話番号と住所名前を渡してしまえば、普通のショッピングサイトなら取り込み詐欺をするためのお膳立てができていることになる。

だから、本当に重要なことはセキュリティコードのような運用ではなく、カードを磁気リーダに読ませたりする作業は、カードホルダー自身が行えるようにすることで、その意味では、実は対面販売より通販のほうが比較的安全とさえ言えるところに問題があると思う。

対面販売で安全なのは、接触型ICカードの利用しかない。それならば暗証番号の入力はカードホルダーによるものとなり、かつ暗証番号入力機と接触型IC読み取り機は耐タンパ性があるので磁気リーダと異なり販売員がよほど頑張っても情報の取得はほぼ不可能だからだ。