ネット決済、VISAが本人認証サービスの利用を呼び掛け：非対面取引の被害が増加

VISAは、インターネット上のクレジットカード決済における被害が増加しているとして、本人認証サービスの利用を呼び掛けた。

[國谷武史，ITmedia]

　ビザ・ワールドワイド・ジャパン（VISA）は5月19日、インターネット上のクレジットカード決済における本人認証サービス「VISA認証サービス」に関する記者説明を行い、カード利用者へのサービス利用を呼び掛けた。

　VISAでのクレジットカードの不正被害について、カントリーリスクディレクターの井原亮二氏は、「発生率は2003年以降横ばい状態が続いているが、金額ベースでは非対面取引が基本となるインターネット取引やカード偽造が増加している」と説明。特にインターネットショッピングの普及により、今後は非対面取引での被害がさらに増加すると予測している。

VISA全体における不正被害の状況。CNP（Card Not Present）は非対面取引の略称で、折れ線は被害発生率。金額は公表していない

　VISAでは、インターネットでのクレジットカード所有者認証技術「3-Dセキュア」を独自に開発し、VISA認証サービスの名称でカード加盟店や所有者への普及を図っている。2004年からは国内でJCBやMasterCardにも技術供与を行い、JCBは「J/Secure」、MasterCardは「SecureCode」の名称でサービスを提供している。

　3-Dセキュアでは、加盟店のサイトに「Merchant server Plug-In（MPI）」と呼ばれるソフトウェアモジュールを組み込む（もしくは加盟店が委託する決済代行企業のサイトが提供）。カード所有者は、MPIの認証画面に独自に設定したパスワードを入力すると、MPIからVISAのデータセンターサーバ（通称：ディレクトリサーバ）を経由してカード発行会社の認証サーバ（同：ACS=Access Control Server）にSSL通信で転送され、所有者の確認を行う。

　MPIを利用した認証情報は、加盟店のシステムを介在することなく、所有者の契約情報を持つVISA本体や発行会社のシステム上で処理されるため、所有者の本人確認を安全に行える。MPIを加盟店が導入する場合は、カード契約会社から提供されるのが一般的だ。カード所有者のPCに表示するMPIの認証画面では、本人がサービス登録時に設定したオリジナルメッセージが併せて表示されるため、認証サービスが正規のものであるかを確認できる。

3-Dセキュアによる認証フロー。認証を「アクワイヤラ（契約会社）ドメイン」「インターオペラビリティドメイン（VISA）」「イシュア（発行会社）ドメイン」の3つで行う

　Visa認証サービスは現在、世界61カ国で導入され、ECサイトでの99％に採用されている。国内では13社のカード発行会社がサービスに参加しており、大手のオンラインサービスで導入しているところも多い。3-Dセキュアを担当する新技術促進部の鈴木章五氏は、「今年1月には日本オンラインゲーム協会と包括的に提携するなど普及が進んでいるが、楽天やヤフーなどのオンライン商取引に参加する企業での利用が今後の課題」と現状を説明した。

　なお、アジア太平洋地域では昨年3月現在で71社のカード発行会社が参加し、参加加盟店は約8万3000社。3-Dセキュアに対応したカードは6650万枚となるが、サービス利用のあるカードは約1700万枚となっている。

　VISAではWebサイトやカード利用者への郵便物などを利用して啓発を行っているほか、加盟店にもサービス導入や決済代行企業の紹介を行って普及を進めてきた。「韓国では国策に近い活動によってほぼ100％導入されており、今後はより広範な啓発活動を展開したい」（鈴木氏）

　井原氏によれば、VISAでは2012年までに非対面決済でも不正取引を減少させる5カ年計画を展開する。不正利用の未然防止とカード情報の強固な保護、不正利用された場合の迅速な対応と被害の最小化という3つの点で、複数の対策を講じているという。

過去のセキュリティニュース一覧はこちら