1 mins read

詐欺被害を防ぐ新たな対策について

Omise

Protecting merchants against fraud

この度、当社はセキュリティ上の新たな措置を追加することになりました。具体的には、加盟店とクレジットカード保有者を詐欺行為から保護するため、Token APIレスポンスの「security_code_check」フィールドが今後表示されなくなります。この措置は、2020年4月1日から有効になります。

決済時にトークンが作成されると、APIはトークン化されたクレジットカード情報をレスポンスで返します。この情報には、「security_code_check」フィールドが含まれます。現在このフィールドは、クレジットカードの事前承認が行われた結果が表示されています。改定後は、利用するクレジットカードの事前承認に問題がなかった場合は「true」とマークされ、それ以外の場合は「false」とマークされます。今後、トークンの作成時に無効なセキュリティコード(CVVなど)が提供される等、様々な理由でクレジットカードの事前承認に失敗した場合でも、課金が作成される前にこのデータが提供されることがなくなります。

変更の理由

詐欺行為を防止するための変更です。加盟店アカウントのパブリックキーは、課金用の新しいトークンを作成するため、APIコールで利用されています。不正行為者が不正にクレジットカード番号を取得すると、ハッキングツールを利用してお客様のパブリックキーを利用することができるようになります。結果、Token APIの応答をモニタリングすることで、クレジットカードのセキュリティコードを不正に収集されてしまう可能性があります。

この詐欺行為を防ぐため、クレジットカードが実際に事前承認にパスしたかどうかに関係なく、トークンAPIによって返される「security_code_check」フィールドを、常に「true」としてマークしてください。課金のリクエストがどのように返されるか、以下の図をご覧ください。

Security code check value

加盟店の皆様へ、ご確認のご依頼

今後は、トークン化されたクレジットカードの有効性を判断するために、セキュリティコードのチェック値を利用する必要はありません。トークンを利用して課金を作成すると、結果は応答に表示されます。クレジットカード情報を保存するときも同じ手順で行うことが可能です。

これは、過去のバージョンと互換性のない変更となります。security_code_checkフィールドの値に依存するシステムがある場合、2020年4月1日以降の動作は保証されませんので、ご注意ください。

詳細はこちらから

メールを登録しOmiseからの更新情報を受け取る
購読してくれてありがとう

メールにサインアップしていただきありがとうございます

Omiseは、お客様のウェブサイト全般における利便性を向上するためにクッキーを利用し、お客様のアクセス、閲覧履歴に関する情報を収集します。 当社のウェブサイトを閲覧し続けることにより、お客様は当社のプライバシーポリシーに同意することとします。 詳細はこちら