近年、オンラインショッピングを狙った、なりすまし等の不正利用被害が増加しており、数字で見ると、2017年のクレジットカード不正使用被害額は約236.4億円(カード偽造含む)にもなります。そのため、被害の防止が喫緊の課題となっています。
2018年3月1日に発行された、クレジット取引セキュリティ対策協議会が策定する「実行計画2018」では、オンラインショッピングを始めとする、インターネット等を介して行われる取引(実行計画内では、”非対面取引”と記載)における不正利用対策強化の具体的な方策のひとつとして、本人認証手法である「3Dセキュア」が挙げられています。
キャッシュレス決済、普及の鍵は「セキュリティ」|利便性と安全性の両立
国内最初の3DS Assessor認定企業であるNRIセキュアテクノロジーズのコンサルタントが、本人認証手法「3Dセキュア」、および関連するセキュリティ基準「PCI 3DS」について解説します。
国際ペイメントブランドも推奨する「3Dセキュア」とは
「3Dセキュア」は、オンラインショッピングにおけるクレジットカードを用いた決済時に、不正取引を防止する本人認証手法です。通常、クレジットカード決済時には、クレジットカード番号や有効期限等のクレジットカード情報の入力が要求されます。3Dセキュアでは、これに加え、事前にカード発行会社(イシュア)に登録した、本人のみ把握しているパスワード等の情報を入力し、追加の認証を行います。これにより、不正取引のリスクを格段に下げることが可能となります。
現在ではセキュリティレベルの向上のため、追加の認証情報として、クレジットカードの裏面に記載されている”セキュリティコード”の入力を求めることが増えてきています。3Dセキュアは、セキュリティコードよりも、不正取引防止に優れた仕組みとなっています。
なぜならば、セキュリティコードは、クレジットカードに直に記載のある情報のため、クレジットカードを物理的に紛失した場合は、第三者に容易に知られてしまいます。さらに、3桁または4桁の数字であることが一般的に知られているため、推測される可能性があります。
一方で、3Dセキュアについては、本人のみ把握しているパスワードの情報やワンタイムパスワード、生体情報等を使用するため、第三者が窃取するのは困難となります。
3Dセキュアは、ペイメントブランドのVISAが世界で最初に提唱した仕組みと言われています。現在は、VISA、MasterCard、JCBを始めとする国際ペイメントブランドが、カード発行会社やEC加盟店(クレジットカードが利用できるオンラインショップ)に向けて積極的に導入を推奨しています。
「3Dセキュア」の仕組み
3Dセキュアには、現状、Ver.1.0とVer.2.0の2つの仕様が存在します。Ver.1.0は従来仕様であり、Ver.2.0は2016年10月に公開された次期仕様となります。
3Dセキュア Ver.1.0
Ver.1.0では、クレジットカード情報を入力後、追加で3Dセキュアによる本人確認が要求されます。これにより、セキュリティ強化の観点では一定の効果が期待できましたが、一方で、本人による決済要求であっても、パスワード忘れや、本人確認の煩雑さによって利用者が購入をあきらめてしまう離脱(いわゆる、”かご落ち”)率が高くなる、といった問題がありました。
3Dセキュア Ver.2.0
Ver.2.0では、Ver.1.0に加え、新たに「リスクベース認証」を導入することが必須となるため、上記の懸念が軽減される可能性があります。これは、過去の取引履歴等に基づくリスク分析を行い、リスクが低い利用者に対しては3Dセキュアによる追加の本人確認が不要となる機能です。また、スマートフォン等においても同様に利用可能となります。
それぞれのサービスイメージを下図に示します。
図. 3Dセキュア サービスイメージ
3Dセキュアにおける認証情報の保護
3Dセキュアの仕組みのポイントは、本人のみ把握しているパスワード等の認証情報を利用することです。従って、この認証情報を安全に管理することが非常に重要となります。
そのため、ペイメントブランドから、3Dセキュアのサービスを提供する事業者(プロバイダ)へセキュリティの担保が要求されます。具体的に要求されるセキュリティ基準は、各ブランドで個別に定義されており、プロバイダは従来から年次での対応が課せられてきました。
3DセキュアVer.2.0が公開され、利便性および安全性向上のため、取り扱う認証情報が機微になったことや、一部構成に変更が発生していることから、プロバイダは、セキュリティの担保について従来以上に考慮する必要が出てきました。
セキュリティ基準「PCI 3DS」
このような背景を踏まえ、各ブランドで定義されていたセキュリティ基準の統一化が図られています。セキュリティ基準の定義については、ブランドから、PCI SSCという団体に移管され、2017年末に、PCI SSCは「PCI 3DS」というセキュリティ基準を公開しました。2018年からはプロバイダはそれに従い対応を進めていくように求められるようになっています。
この「PCI 3DS」という基準の概要と、3Dセキュアの環境との対応関係などについては、以下のレポートにまとめています。無料でダウンロードできますので、ご興味のある方はご一読ください!
おわりに
3DセキュアVer.1.0が普及しなかった背景としては、やはりかご落ち率です。海外では、セキュリティコードを含むクレジットカード情報に加え、3Dセキュア等を用いた追加認証が要求されるケースが多々あります。
一方で、日本では、クレジットカード情報のみで購入できるケースがほとんどで、かつ、それに慣れてしまっているように思えます。そのため、3Dセキュア等の追加認証が発生した場合、煩雑さ故に購入を断念し、追加認証のない他のサイトで購入されてしまうケースも考えられます。
3DセキュアVer.2.0は、リスクベース認証を取り入れているため、従来のかご落ちリスクが減ると思われます。そのため、提供基盤側の整備が整い次第、加盟店は今後、積極的に取り入れるべきだと考えます。
さらに、加盟店が3Dセキュアを導入していたとしても、利用者が事前にパスワードを登録していなければ、せっかくの追加認証がスキップされてしまいます。まだあまり一般的に周知されている仕組みとは言えないため、3Dセキュアの恩恵を受けるためにも、利用者への周知も積極的に行う必要があります。
そもそも、日本ならびに世界の不正取引の大半は、本項で取り上げている”非対面取引”です。3Dセキュアはそれを防ぐためのキラーコンテンツになりえます。
