PayPayも導入した「3Dセキュア」って何? クレジットカード本人認証のハナシ:今さら聞けない「認証」のハナシ(4/4 ページ)
認証まわりの話題について分かりやすく解説する連載。今回はクレジットカードの本人認証サービス「3Dセキュア」などについて解説します。
3Dセキュア2.0ではサービス事業者側でインタフェースの改変が可能で、ブラウザだけでなくアプリでも利用できます。上記で紹介したリスクベース認証にも対応し、以前に実施したものとは異なる環境からの接続など、リスクが高い取引の場合のみパスワード入力を求めることができるようになりました。
この2つの改善により、利用者側から見て自然な流れで取引できるようになり、サービス側も取引中断リスクの削減が期待できます。また、スマートフォンに搭載された生体認証機能や、毎回入力するパスワードが変化する「ワンタイムパスワード認証」にも標準対応するようです(※2)。
3Dセキュア2.0の登場でクレジットカード利用における本人認証が進み、より安全な利用環境の整備が進むことでしょう。これを機に3Dセキュアの利用登録をしてみてはいかがでしょうか。
※2:このワンタイムパスワード認証が、スマホアプリなどにワンタイムパスワードが表示される形式なのか、メールアドレスや電話番号(SMS)に使い捨てパスワードが送られてくる形式なのか、両方ともOKなのかは未確認です
使い回しはNG! フィッシングには要注意
3Dセキュアは基本的にパスワード認証です。3Dセキュア2.0が登場し、リスクベース認証が導入されたとしても、本人認証は必須です。その際に選択される本人認証方式は、当面は分かりやすさと導入のしやすさから、生体認証やワンタイムパスワードではなくパスワード認証が主流になるのではないでしょうか。
その場合に利用者側であらためて気を付けるべきことは、パスワードの使い回しとフィッシングです。当然、「単純で、推測しやすいパスワード」もNGです!
3Dセキュアを導入していても、別のサービスでパスワード情報が漏えいしてしまい、それと同じパスワードを3Dセキュア用に使用していたら元も子もありません。クレジットカードが重要な資産であることは言うまでもありません。独自性と複雑性を兼ね備えたパスワードを使用するようにしましょう。
フィッシングにも要注意です。特にクレジットカード会社やクレジットカードブランド会社、サービス事業者を名乗るメールには注意しましょう。これらの会社からパスワードを尋ねるようなメールは絶対に来ません。そのようなメールが来て、どうしても心配な場合は、その会社のWebサイトをブラウザのブックマークや検索サイト経由で確認してみてください(そのメールからのURLリンクは踏まないように!)。
3Dセキュア2.0の存在が周知されてきたころに「3Dセキュア2.0に更新しましょう」などというタイトルでパスワード更新を促すようなフィッシングメールが発生するかもしれません。絶対に引っ掛からないようにしましょう。
「暗証番号」はオンラインでは使えないの?
クレジットカード作成時に暗証番号を設定して、実店舗での使用時にその暗証番号を入力することがあります。この暗証番号をオンライン決済時にも使えばよいのでは? と思う方もいらっしゃるかと思います。
結論から書くと、使えないのです。暗証番号はあくまでも実店舗での利用時の本人認証に限られているのです。
暗証番号の情報は、利用者の脳内とクレジットカードのICカードの中にしかありません(※3)。クレジットカードを端末に挿して暗証番号を入力すると、その暗証番号情報は端末を通じてICカード内の暗証番号と照会されます。暗証番号がネットワークを通じてサーバ上で照合されるわけではないので、専用端末を使わないオンライン決済では使用できないのです。
この暗証番号の仕組みについては、次回の「パスワード以外の知識認証」で詳しく扱いたいと思います。
※3:実際にはクレジットカード会社のカード発行担当部署がICカードへの暗証番号登録時に知ることはあるかもしれませんが、そこは厳重なセキュリティと、それこそ信用(クレジット)の世界です。そのクレジットカード会社を信じましょう。信じられなければ使うのをやめるしかないでしょう
関連記事
- ガンダム、パトレイバー、コードギアス――リアルロボットの“認証技術”を考察する
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第8回のテーマはサンライズ作品のリアルロボットの認証について。 - PayPayの不正利用、どう防ぐ? 狙われるのは“ポイント付与”の1月か
認証セキュリティ企業の担当者が、PayPayの不正利用問題やユーザーができる自衛策などを解説。還元額がポイントで付与される1月に不正利用が本格化するか。 - 強力なパスワードを作る法則とは? 意外と知らない「パスワード」のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは知識認証の代表格である「パスワード」のハナシ。 - 「認証の回数が多いほど安全」は間違い? 二要素認証のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは「二要素認証」。 - 本当に安全? 「二段階認証」のハナシ
私たちにとって身近になってきた「認証」の話。今更聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。 - 「鉄人28号」が抱える脆弱性とは? ロボット悪用を防ぐ”認証”を考える
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第7回のテーマは「鉄人28号」の認証について。 - 映画「ミッション:インポッシブル」5作品の“セキュリティ突破方法”を考察してみた
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第6回のテーマは映画「ミッション:インポッシブル」に登場する認証技術。 - 「新世紀エヴァンゲリオン」の使徒がネルフ本部に仕掛けた“ハッキングの手口”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第5回のテーマは「パスワードハッキング」。 - 「新世紀エヴァンゲリオン」で初号機はシンジをどう“認証”しているのか
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第4回のテーマは「血筋認証」。 - 「メタルギアソリッド」と「東のエデン」で注目したい“生体認証”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第3回のテーマは「生体認証」。 - 「ゼルダの伝説 ブレス オブ ザ ワイルド」で学ぶ”所有物認証”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第2回のテーマは「所有物認証」。 - 「のばら」には脆弱性がある? 「ファイナルファンタジー」で学ぶ知識認証
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第1回のテーマは「合言葉」。
Copyright © ITmedia, Inc. All Rights Reserved.