クレジットカードのCVVやCVCって何？目的とセキュリティの穴

カード決済の安全性を高めるCVV

オンラインショッピングでカード決済をする場合、「CVV番号の入力」を求められるケースがあります。カード番号やパスワードとは異なり、カード券面に3～4桁で記載されているのが一般的です。CVVには、どんな目的や役割があるのでしょうか？

CVVとは？

CVV（Card Verification Value）は本人を確認するためのコードの一種で、第三者による不正利用を未然に防ぐ役割があります。

カードの磁気ストライプには、カード番号や氏名などの「個人情報」が転写されています。専用の「スキマー」で磁気ストライプの個人情報を抜き取り、偽造カードを複製する犯罪手口が「スキミング」です。

オンラインの決済画面ではセキュリティ上「CVVの入力」が求められますが、CVVは磁気情報に含まれないため偽造カードでは決済が行えません。「CVV=クレジットカードの現物を持っていることの証」ともいえるのです。

CVCやセキュリティコードとも呼ばれる

CVVは1991年、VisaやMastercardが偽造カードをチェックするために導入されたのが始まりです。日本では「セキュリティコード」と呼ばれるのが一般的ですが、発行元によって、名称が異なることも覚えておきましょう。

Visaでは「CVV2（Card Verification Value）」、Mastercardでは「CVC2（Card Validation Code）」と呼ばれています。末尾に「2」が付くのは、CVV1やCVC1などの別のコードと区別するためです。

・CVC1・CVV1：磁気ストライプに記録された暗号、主に対面取引で利用
・CVC2・CVV2：架空のカード利用を防止する番号、ネット・メール・電話・FAXを介する決済で利用

「セキュリティコード」といえば、CVC2・CVV2を指すのが一般的です。

どこに記載されているの？

CVVはカード券面に記載されていますが、国際ブランドごとに記載位置や桁数が異なります。

国際ブランドがVISA・Mastercard・JCB・Diners Club・Discoverの場合、「カード裏面の署名欄」にある「3桁の番号」がCVVです。「カード番号+CVV」や「カード番号下4桁+CVV」の形で記載されるケースもあります。

≪CVVが887の場合の記載例≫

・カード番号+CVV：1234-5678-9123-4567 887
・カード番号の下4桁+CVV：4567 887
・CVVのみ：887

一方、アメリカン・エキスプレス・カード（アメックス）のセキュリティコードはCID（Card Identification Number）と呼ばれます。コードは「4桁」で、「カード表面のカード番号の右上」に記載されています。

一部例外もあり、三井住友カードの「ナンバーレスカード」は、券面にカード情報の一切が記載されていません。番号を確認する際は、カード会員専用の「Vpassアプリ」を利用する必要があります。

CVVと使う場面

CVVには、「カードを所有していない第三者」による利用を防止する役割があります。実店舗で入力を求められることはなく、ほとんどは「ネットショッピング」で使用するものと考えましょう。

オンラインショッピングで使用する

カードを使った「インターネット取引」では、「カード番号」「有効期限」「カード名義」に加え、「CVV」の入力が求められます。「支払い方法」にカード情報を事前に登録している場合でも、CVV情報は保存されていないため毎回入力が必要です。

カード会社やカード加盟店では、カード利用のたびにコードを照合し、「カード利用者がカード会員本人かどうか」を確認しています。

同時に、スキミングで偽造されたカードではないことをチェックしているのです。カード会社によっては、「カードの再発行」や「更新」でCVVが変更されるケースがあります。

VISA・Mastercard・JCBの場合、「有効期限の更新」や「紛失・盗難による再発行」などでカード情報を一部変更すると、CVVも更新されるのが通常です。「カード番号は引き継がれるが、CVVは変更される」というカード会社も多いため、更新や再発行のたびに確認を行いましょう。

入力なしで購入できるサイトは安全？

CVVの目的は、本人確認によって不正利用からカード利用者を守ることです。何度も誤入力をすると「本人ではない可能性あり」と判断され、ロックされてしまうケースもあります。

一方で、「入力が不要なオンラインサイト」も存在します。「カードを確認するのが面倒くさい」「誤入力でカードがロックされた」という事態になれば顧客が離れてしまうため、店側があえて入力を省いているのです。

「CVV入力項目がない=危険なサイト」というわけではありません。しかし、入力が不要なサイトはセキュリティ対策が甘い傾向があるため、決済時は「情報漏洩のリスク」も考慮した方がよいでしょう。

セキュリティが強固な大手通販サイトを利用したり、事前チャージが必要なプリペイドカードを使ったりするのも有効です。

カード会社の不正検知システムとは

クレジットカードには、CVV以外にもさまざまなセキュリティ機能が搭載されています。多くのカード会社が導入しているのが、カード利用の状況を24時間・365日体制で監視する「カード不正検知システム」です。

不審な利用があると、カード利用が一時的に停止され、「電話」や「セキュリティコードの確認・入力」による本人確認が求められます。

・過去の不正利用と類似した利用がある場合
・高額なカード利用が連続する場合
・同店舗でカードの利用が連続する場合
・海外にて高額の利用があった場合
・利用時間と場所から推測し、同一人物が決済したとは考えにくい場合

第三者による不正使用が判明した場合は、カードの再発行が行われます。不正利用が完全に防げるわけではありませんが、大きな損害は免れるでしょう。

CVVが流出する原因と不正利用対策

カード番号と違い、CVCは店舗のレシートには印字されません。通常、カード所有者以外がCVVを知ることはありませんが、近年は「CVVが流出してカードが不正利用された」というケースが相次いでいます。

過去に買い物をしたサイトで流出

昨今、クレジットカード情報が「カード加盟店のシステム」から抜き取られる事件が増えています。カードの加盟店には、顧客情報を保護・管理する義務がありますが、セキュリティが脆弱な場合、「不正アクセスによるデータの漏洩」が起こってしまうのです。

「CVVは加盟店のデータベースに保存されない」と思われがちですが、実際にカード番号・名義人・有効期限・CVVのすべてが流出している事例があります。システム自体が不正アクセスで改ざんされるおそれもあるため、油断はできません。

フィッシング詐欺

「フィッシング詐欺」とは、消費者にメールを送りつけたり、偽サイトへ接続させたりして個人のカード情報を盗み取る犯罪手口です。

一見すると、メールやサイトは偽サイトとはわからないくらいの巧妙なつくりになっています。「IDがロックされました」「アカウントが不正利用されています」「当選しました！」など、人の冷静な判断を妨げるような文言が記載されているのが特徴です。

画面上でカード情報を入力すると、そのまま窃取されてしまうため「開かない・タップしない・入力しない」を徹底しましょう。

本物との見分けがつかない場合は、送られてきたURLには触らずに公式アプリやブックマークから事業者のサイトにアクセスするのが賢明です。

また、利用明細をこまめにチェックし、身に覚えのない利用がないかを確認しておくことも大切でしょう。カード会社には、カードの紛失・盗難・不正利用を補償する「カード補償」が付帯しています。すぐに届出をして適切な手続きをすれば、損害が最小限に食い止められるはずです。

他人にセキュリティコードを見られる

CVVは、他人に知られてはいけないものです。支払い時に店員に見られるのは仕方がありませんが、誰かに教えるように言われたり、他人に覗かれていたりした場合は不正利用のリスクが高まります。心配な場合は、「カードの再発行」を検討しましょう。

ただ、他人に見られないように、情報をマジックで塗りつぶすのはNGです。シールを貼って保管し使用時に剥がすという手もありますが、剥がすのを忘れてしまうと店舗のカード決済端末に詰まり、故障を引き起こすおそれがあります。

カード情報を盗み見されるのが心配な人は、「券面にカード番号記載のないクレジットカード」を発行するのがよいでしょう。

より安全にカード決済をするには？

CVVだけでは、カードの不正利用を防ぐことはできません。情報漏洩の事例もあるように、他人に番号が知られてしまえばすぐに悪用されてしまいます。カード会社や国際ブランドではどのようなセキュリティ対策を講じているのでしょうか？

3Dセキュア等、認証サービスの活用

VisaやJCBなどの国際ブランドでは「3Dセキュア」の設定を推奨しています。オンラインカード決済を安全に行うための「本人認証サービス」の一種で、カード情報に加え、「自分が設定したパスワード」や「ワンタイムパスワード」を決済時に入力する仕組みです。

カード券面に記載されているCVVと違い、3Dセキュアのパスワードは他人に盗み見られる心配がありません。仮にクレジットカードが盗難されても、決済時はパスワードが要求されるため、不正利用のリスクはかなり低くなると考えてよいでしょう。

3Dセキュアは国際ブランドごとに名称が異なります。

・JCBブランド：J/Secure（ジェイセキュア）
・Visaブランド：Visa Secure
・Mastercardブランド：Mastercard Secure Code
・アメックスブランド：American Express SafeKey

直接カード番号を入力しない方法を使う

消費者自らができるセキュリティ対策の一つに、「サイトでカード番号を入力しないこと」が挙げられます。Amazonが提供する「Amazon Pay」は、Amazonに登録されている個人情報を使用して、Amazon以外のサイト（Amazon Pay導入店）でも支払いが行えるサービスです。

支払い画面ではカード情報や住所の入力が不要なため、「ECサイトに個人情報を渡したくない」という人にはぴったりでしょう。同様の仕組みを持つ「Apple Pay」や「Google Pay」を使うのもおすすめです。

また、エポスカードの会員は、「エポスバーチャルカード」を使うのも有用です。エポスカードに紐づけて発行できる「オンライン専用カード」で、本体のエポスカードとは別のカード番号が付与されます。

エポスバーチャルカードの情報が流出してもエポスカード本体の番号は知られることがないため、海外のサイトや信頼性が低いサイトを使うときには重宝するでしょう。

まとめ

CVVを他人に知られない限り、ネットで不正利用をされる可能性は少ないといえます。ただ、CVVだけのセキュリティ対策には限界があるため、「3Dセキュア」や「ほかの決済サービス」と併用するのが理想です。

近年は、CVVを含めたカード情報がショッピングサイトから流出する事例が相次いでいます。信頼性が定かではないサイトに対し、安易にカード情報を渡さないようにしましょう。