[The Daily Star]バングラデシュではデジタル決済が拡大するにつれ、オンライン詐欺や取引のセキュリティに対する懸念が高まっています。ビザのバングラデシュ、ネパール、ブータン担当カントリーマネージャー、サビール・アハメド氏によると、システムの安全性を維持するには、銀行、決済サービスプロバイダー、そしてユーザーの間で責任を共有することが不可欠です。
デイリー・スター紙とのインタビューで、アハメド氏はデジタル決済がどのように変化したか、顧客を保護するために必要な対策、国民の意識の高まりの重要性について語った。
バングラデシュでは、デジタル取引が増加し、デジタルに対する意識も高まっています。デジタル取引の増加に伴い、デジタルセキュリティに関する懸念も高まっています。オンライン詐欺や取引詐欺の事件も発生しています。
「したがって、デジタル取引エコシステムのすべての参加者は、それぞれの役割を果たす必要があります。それぞれがそれぞれ異なる方法で役割を果たしており、十分な集中力と注意が必要です」とアハメド氏は述べた。
ビザのカントリーマネージャーは、デジタル詐欺のリスクを従来の銀行業務が直面するリスクと比較した。
「従来の銀行業務では、小切手を発行していました。小切手には署名があり、銀行の窓口に行ってお金を引き出していました。銀行は小切手が銀行発行のものか偽造品かを確認し、署名と銀行の記録を照合して取引を認証していました」とアハメド氏は述べた。
デジタル化以前から、偽造や詐欺は存在していたと彼は述べた。「他人の小切手を入手し、署名を偽造して現金を引き出そうとする者もいた。支払命令書や小切手は、銀行独自の様式を模倣して作成されることもあった」
アハメド氏によると、従来の銀行業務は二要素認証に依存している。小切手自体が第一段階であり、署名が第二段階であり、支払いが承認される前に銀行によって検証される。
「デジタル取引では、依然として2つの要素が存在します」と彼は述べた。「例えば、あなたがデビットカードまたはクレジットカードの所有者だとしましょう。カードを持っているとします。そのカードが1つ目の要素です。カードにはセキュリティツールが含まれています。例えば、16桁のカード番号、有効期限、そして裏面にある3桁のCVVコードなどです。」
「これらの詳細はあなただけが知るべきです。他の誰にも知られてはいけません。これが第一の要素です。」
彼によると、2つ目の要素はワンタイムパスワード(OTP)です。「顧客がオンラインまたはPOS端末で取引をする際に、OTPが登録済みの携帯電話番号に送信されます。顧客はこのOTPまたはPINを入力する必要があります。これが認証の2つ目の要素です。」
アハメド氏は、手動取引とデジタル取引の背後にあるロジックは同じだが、形式は変わっていると述べた。「現在、デジタル取引では、カード情報とワンタイムパスワード(OTP)または暗証番号という2つの要素が、介入を試みる脅威アクターの標的となっています。」
彼は、顧客を騙すために使われる一般的な詐欺について説明した。「最近、我が国では、銀行員を装った人物から電話がかかってくる顧客がいます。彼らはカードをブロックすると言い、ワンタイムパスワードを要求します。」
顧客は、意識不足のため、白紙に署名するのと同じように、OTPを共有してしまうことがあります。OTPの共有は、本質的に同じリスクを伴います。
彼は顧客に対し、より慎重になるよう促した。「お客様はカードを決して他人に渡さないでください。レストランやお店で支払いをする際は、カード決済機を頼み、目の前で支払いをすることで、カード情報の安全を確保してください。これがその一つです。」
同氏は、銀行はフィッシングやマルウェアの脅威に常に警戒する必要があると付け加えた。「多くの詐欺メッセージは、従業員にリンクをクリックするよう求め、攻撃者がデバイスにアクセスできるようにします。」
今日では、携帯電話のメール明細書に膨大な金融情報が含まれている可能性があります。マルウェアは、インターネットバンキングの認証情報を含め、あらゆる情報を取得する可能性があります。
アハメド氏は、ユーザーは支払いをする前に必ずウェブサイトが安全であることを確認するべきだと述べた。
彼はこれを、小切手保護の古い習慣に例えました。「小切手帳や署名を保護する方法は誰もが知っています。カードデータとワンタイムパスワードの保護にも、同様の注意を払う必要があります。」
彼はさらに、銀行は研修と継続的な警戒に投資すべきだと付け加えた。「銀行側もセキュリティに重点を置き、サイバーリスクに関する研修を提供する必要があります。最近、私たちは銀行パートナー向けの研修を実施し、世界的なインシデントや最新の詐欺の傾向を共有しました。新たな詐欺事件の報告があれば、直ちに銀行パートナーに伝えられます。」
彼はビザのコンプライアンス体制の概要を説明しました。「ビザは、カードを利用するすべての顧客に要件を定めています。不正行為が発生した場合、銀行はビザに報告しなければなりません。これらの報告は、私たちが傾向を把握するのに役立ちます。」
アハメド氏は、カードデータを保管するあらゆる組織は、大手クレジットカード会社の一連の国際要件であるペイメントカード業界データセキュリティ基準(PCI DSS)の認定を受ける必要があると述べた。
認定加盟店のみがカード情報を保存できます。これは必須です。例えば、顧客がbカッシュまたはダラズで支払いをする場合、PCI DSS認定加盟店のみがカード情報を保存できます。これにより、セキュリティが確保され、顧客が保護されます。
彼はトークン化をもう一つの安全策として強調した。「トークン化はセキュリティを強化するためのもう一つのステップです。以前は、加盟店はカード情報をすべて保存していました。今では、カードがトークン化されると、その情報は固有のトークンに置き換えられます。その後の取引では、カード情報ではなくトークンが移動します。たとえ誰かが介入しようとしたとしても、カード情報にアクセスすることはできません。これにより、取引の安全性が大幅に向上します。」
彼は実際の仕組みを説明した。「シティバンクのような銀行を通してグーグルウォレットにカードを保存すると、カードはトークン化されます。加盟店での支払いにはこのトークンが使われます。取引は数秒以内に承認されます。カード情報は決して漏洩しないため、システムの安全性は高まります。」
Bangladesh News/The Daily Star 20251012
https://www.thedailystar.net/business/economy/interview/news/shared-responsibility-key-safe-digital-transactions-4007596
関連
