PayPayも導入した「3Dセキュア」って何？ クレジットカード本人認証のハナシ：今さら聞けない「認証」のハナシ（4/4 ページ）

[パスロジ，ITmedia]

　3Dセキュア2.0ではサービス事業者側でインタフェースの改変が可能で、ブラウザだけでなくアプリでも利用できます。上記で紹介したリスクベース認証にも対応し、以前に実施したものとは異なる環境からの接続など、リスクが高い取引の場合のみパスワード入力を求めることができるようになりました。

　この2つの改善により、利用者側から見て自然な流れで取引できるようになり、サービス側も取引中断リスクの削減が期待できます。また、スマートフォンに搭載された生体認証機能や、毎回入力するパスワードが変化する「ワンタイムパスワード認証」にも標準対応するようです（※2）。

　3Dセキュア2.0の登場でクレジットカード利用における本人認証が進み、より安全な利用環境の整備が進むことでしょう。これを機に3Dセキュアの利用登録をしてみてはいかがでしょうか。

※2：このワンタイムパスワード認証が、スマホアプリなどにワンタイムパスワードが表示される形式なのか、メールアドレスや電話番号（SMS）に使い捨てパスワードが送られてくる形式なのか、両方ともOKなのかは未確認です

使い回しはNG！　フィッシングには要注意

　3Dセキュアは基本的にパスワード認証です。3Dセキュア2.0が登場し、リスクベース認証が導入されたとしても、本人認証は必須です。その際に選択される本人認証方式は、当面は分かりやすさと導入のしやすさから、生体認証やワンタイムパスワードではなくパスワード認証が主流になるのではないでしょうか。

　その場合に利用者側であらためて気を付けるべきことは、パスワードの使い回しとフィッシングです。当然、「単純で、推測しやすいパスワード」もNGです！

　3Dセキュアを導入していても、別のサービスでパスワード情報が漏えいしてしまい、それと同じパスワードを3Dセキュア用に使用していたら元も子もありません。クレジットカードが重要な資産であることは言うまでもありません。独自性と複雑性を兼ね備えたパスワードを使用するようにしましょう。

　フィッシングにも要注意です。特にクレジットカード会社やクレジットカードブランド会社、サービス事業者を名乗るメールには注意しましょう。これらの会社からパスワードを尋ねるようなメールは絶対に来ません。そのようなメールが来て、どうしても心配な場合は、その会社のWebサイトをブラウザのブックマークや検索サイト経由で確認してみてください（そのメールからのURLリンクは踏まないように！）。

　3Dセキュア2.0の存在が周知されてきたころに「3Dセキュア2.0に更新しましょう」などというタイトルでパスワード更新を促すようなフィッシングメールが発生するかもしれません。絶対に引っ掛からないようにしましょう。

「暗証番号」はオンラインでは使えないの？

　クレジットカード作成時に暗証番号を設定して、実店舗での使用時にその暗証番号を入力することがあります。この暗証番号をオンライン決済時にも使えばよいのでは？　と思う方もいらっしゃるかと思います。

　結論から書くと、使えないのです。暗証番号はあくまでも実店舗での利用時の本人認証に限られているのです。

　暗証番号の情報は、利用者の脳内とクレジットカードのICカードの中にしかありません（※3）。クレジットカードを端末に挿して暗証番号を入力すると、その暗証番号情報は端末を通じてICカード内の暗証番号と照会されます。暗証番号がネットワークを通じてサーバ上で照合されるわけではないので、専用端末を使わないオンライン決済では使用できないのです。

　この暗証番号の仕組みについては、次回の「パスワード以外の知識認証」で詳しく扱いたいと思います。

※3：実際にはクレジットカード会社のカード発行担当部署がICカードへの暗証番号登録時に知ることはあるかもしれませんが、そこは厳重なセキュリティと、それこそ信用（クレジット）の世界です。そのクレジットカード会社を信じましょう。信じられなければ使うのをやめるしかないでしょう