ITmedia NEWS > セキュリティ >
ニュース
» 2019年02月07日 07時00分 公開

PayPayも導入した「3Dセキュア」って何? クレジットカード本人認証のハナシ今さら聞けない「認証」のハナシ(3/4 ページ)

[パスロジ,ITmedia]

番号盗用対策のいまとこれから

 だからといって、セキュリティコードがもはや完全にNGというわけでもありません。

 番号盗用の標的となるのは、ある程度高価な商品やプレミア化する公演チケットなど転売で利益が見込める商品を扱う売買サイトや、特典ポイントを実店舗で使える電子マネー(Suicaなど)に変換できるポイント交換サイトです。

 逆に転売が不可能な、購入者本人がサービスを受ける旅行やフィットネスジム、通信教育などは証拠が残りやすく標的になりにくいので、セキュリティコードのみでも十分だと考えられています。

 ショッピングサイトやポイント交換サイトでは他にも対策が講じられています。例えば、利用者のアクセス環境を確認し、普段とは違う場所や端末からのアクセスや不自然・不可能なアクセスだった場合は、取引をいったん中止したり、メールで確認したりします。配送先が過去に犯罪に利用されたことがあるものだった場合は、商品の配送を中止することもあります。

 これらの対策は以前の記事で紹介した「認証の3要素」を使っていないので、本人認証には当てはまりません。場所や行動様式を利用した、利便性を上げるために用いられる補助的な認証方法「リスクベース認証」の考え方を用いた対策です。リスクベース認証については、今後の記事にて取り上げたいと思います。

認証 認証の3要素

 サービス事業者は、こうした対策を行う義務が課せられています。16年に割賦販売法が改正され、サービス事業者もクレジットカード不正利用対策の実施対象になりました。クレジット取引セキュリティ対策協議会がこの法律に対応した実行計画を設定し、対応を進めています。

 対応しなかったサービス事業者はクレジットカード払いが利用出来なくなるという事実上のペナルティーが課せられることもあり、対応は粛々と進んでいる模様です。先に紹介した「平成30年12月28日 クレジットカード不正利用被害の集計結果」で18年7月〜9月の被害額が減少したのも、この実行計画の効果かもしれません。

 この実行計画では、番号盗用への対策として以下が挙げられています。

  1. 3Dセキュアなどによる「本人認証」
  2. セキュリティコードによる「券面認証」
  3. 過去の接続情報や取引履歴による「属性・行動分析」
  4. 「配送先情報」データベースによる確認
  5. 新たな技術による対策が出現した際には有用性を確認して適用

 サービスを利用するにあたって、利用者側では項目3、4、5の適用を確認することは困難ですが、項目1、2については確認可能です。

 この実行計画は、20年の東京五輪・パラリンピックの開催までに整備することが目標であり、現在は最終段階に入りつつある状況です。利用者側としても、セキュリティを意識して「それがどのようなサービスか」と「3Dセキュアが適用されているか、もしくはセキュリティコードしかないのか」を確認し、そのサービスがどこまでセキュリティを意識しているのかを評価する時期になってきているといえます。

「3Dセキュア2.0」が登場

 3Dセキュアをより使いやすく、導入しやすくするために「3Dセキュア2.0」がリリースされています。

 これまでの3Dセキュアはパスワード入力画面をWebブラウザでしか開けず、カードブランド側で用意した固定のインタフェースとデザインになっていました。利用者からみると、利用していたサイトから突然デザインテイストが異なる3Dセキュアの画面に遷移したり、ポップアップが表示されたりするので、なじみがないと使いにくいという難点がありました。

Copyright © ITmedia, Inc. All Rights Reserved.