オフライン決済
電子決済を利用したときに、その場で決済会社との通信が行われず、数時間後や数日後に反映される決済方法 設備投資が少なくて済むため通信コスト等を削減することができるが、支払い時に利用残高の確認ができない 通常、Apple Payなどのモバイルウォレットでは、カード会社側からの指令でリモートでカードを無効化することが可能だ。今回のケースでも、もちろんカード所有者から問い合わせがあった段階でリモート消去を試みただろうが、MBSの報道にもあるようにカード取引が続いている。おそらくだが、犯人側はバーチャルカードを登録したiPhoneを、インターネット接続を遮断した状態を継続し、リモート消去を防いでカード情報を維持していると推測される。このほか、「当該のカードの取引が確認できた時点で扱いを拒否する」「当該のカードを“ネガリスト”に登録して(店舗の)決済端末側で弾く」といった対策がカード会社側で可能だが、前者の仕組みを回避するのが「オフライン取引」だ。
「オフライン取引」の世界では“オーソリ”は行なわれず、取引データを蓄積し続け、月の“締め日”などのタイミングで精算(クリアリング)データをセンター側に流し、カード所有者への請求を行なう。つまり、オフライン取引が成立している間は、Apple Payを経由してクレジットカードから“iDのバーチャルカード”を発行しているカード会社(イシュア)には取引情報が把握できない。
今回ネガリストを使って犯行を止められなかった理由の1つに、“ネガリストの運用がギリギリ”だったのではないかと考えている。iDの場合、カード会社(イシュア)ごとにネガリストに登録できるiD番号の“枠”が決められており、各イシュアはこの“枠”内でネガリストの情報を定期メインテナンスしている。iDの情報を統括する「iDセンター」では1日に1回、iD加盟店の決済端末から各種集計データを吸い出すと同時にこのネガリスト全体を決済端末に対して配信している。つまり、不正利用が急増して一時的にNGとするiD番号が増えた場合、既存のネガリストの“枠”では登録が足りず、運用がギリギリとなってしまう可能性がある。
携帯電話は基地局が最低でも24時間のバッテリ駆動を実現しているため通信自体は継続利用できるケースが多いが、停電が発生すると店舗のPOSや決済端末が一切利用できなくなるため、クレジットカードや電子マネー、コード決済などの仕組みが基本的に利用できなくなる 店舗のQRコードをスキャンして支払いを行なう「MPM」方式であれば、この手の障害時には対応できると思われるが、チェーン店などを含む多くのコード決済導入店舗はPOSなどのシステムを経由する「CPM」方式が一般的であり、対応は難しい。 カード
店舗側の通信環境や機器が動作していないとオーソリゼーションが行なえないため、決済そのものに進めない可能性が高い デビットカードは必ずオーソリゼーションが発生するためネットワーク障害では利用できなくなる
オフライン決済はありうる
一定条件を満たしたICカードまたは非接触(タッチ)決済
レシートにトランザクション番号(処理通番)がないときがオフライン決済
近年ではこうしたオーソリのスキップは推奨されず、減少傾向にあるとのこと
ICカードやスマートフォンのセキュアエレメント上に残高(Value)が記録される電子マネーの場合、カードのICチップ内に残高情報が記録されていたりするため、この情報を使って「オフライン決済」が可能なケースがある
電子マネーの決済が必ずしも「ローカル」での「オフライン処理」が行なわれるとは限らない点だ。例えば、自販機や小さな売店などで交通系ICカードが対応しているケースなど、処理がローカルではなく「クラウド」上で行なわれていることが多い。
Suicaの改札処理が0.2秒で完了することは有名だが、クラウド経由のSuica処理では1秒以上の時間がかかる
タッチ決済による処理がローカルでは完結しないため
いったん暗号化されたままクラウド上のサーバへとデータをバイパスさせ、サーバ上で復号化を行なって処理を手元のICチップまで戻してる
コスト削減のため
少し前までは一部加盟店でQUICPayはオフライン決済として実装が行なわれていた
オーソリゼーションの利用が前提となるので、デビットカード対応の足枷になっていた