キャッシュレス決済における不正利用が報道され、その安全性が疑問視されている。そのような状況から「3Dセキュア」が注目を集めている。オンライン決済での本人認証を強固にし、カード利用者・カード発行者・加盟店それぞれに安全性を高める効果が期待されている。本記事では、クレジットカードのセキュリティ上の課題を整理した上で、3Dセキュアの概念とキャッシュレス決済における3Dセキュア以外の認証方法について解説する。
不正利用やフィッシング詐欺などの被害が増加傾向
2019年はキャッシュレス決済「元年」とも言うべき年となった。2018年度末から開始された複数のQR決済サービス提供企業による還元キャンペーンを通じ、「キャッシュレス決済」という概念が一気に世間へ広まることとなった。合わせてスマートフォン(以下、スマホ)決済、クレジットカード、デビットカード、電子マネーまで、QR決済以外の方法についても還元率などがしばしばメディア上でも話題となった。
しかし、キャッシュレス決済の急速な認知が広がる一方で、いくつかのサービスにおける不正利用なども発生し、セキュリティ上の問題を懸念するユーザーも少なくないだろう。キャッシュレス決済の代表格であるクレジットカードは、特に不正利用の被害が多い。日本クレジット協会の調査では、2018年のクレジットカード不正利用被害額は235.4億円に上る。また、そのうち約8割は番号盗用が占めていた。
クレジットカードの番号盗用は直接的な盗難だけでなく、カードの磁気ストライプ情報を抜き出してカードを偽造する「スキミング」の手口によっても起こり得る。また、インターネット経由では、偽のWebサイトに誘導し個人情報を入力させて情報を盗む「フィッシング詐欺」やコンピューターのキーボード入力を記録する「キーロガー」等の手口が代表的だ。加えて、クレジットカード情報(あるいは決済情報)を保有するEC事業者に攻撃を仕掛けて情報を盗み出す手口も多数発生している。
番号盗用では、不正に入手した番号を使い、第三者が消費者本人になりすましてクレジットカードが利用されてしまう。その不正利用を防ぐために生み出された手法が「3Dセキュア」だ。3Dセキュアとは、本人認証を厳格に行う技術で、オンライン決済における不正利用を予防する仕組みだ。
事前登録のパスワードで強固な本人認証を実現
3Dセキュアは3つの構成要素が相互に連携し合って本人認証を実現する。「3D」はその3つの領域を表す「ドメイン(Domain)」を意味する。各ドメインは以下のように定義される。
- 加盟店(アクワイアラ):カード決済を導入したオンラインショップや店舗等の「加盟店」のこと
- カード発行会社(イシュア):銀行系・信販系・流通系といったカード発行元
- 3Dセキュア提供元(VISA、MASTERCARD、AMEX、JCBの4ブランド):カードの決済システムを提供する国際的ブランド
3Dセキュアは、上記3者間で適切な認証を行い、安全性を確保する仕組みとなっている。カード利用者としては、国際ブランドが運用する3Dセキュア提供元に対して認証を行う。加盟店に不要な認証情報を提供しないよう、加盟店および加盟店管理会社を3Dセキュアの認証に介在させないのが特徴だ。
カード利用者が3Dセキュアの利用を開始するには、事前に3Dセキュア提供元にパスワードを登録する必要がある。仮にクレジットカードが盗難された場合でも、本人が設定したパスワードが要求されるため、不正利用のリスクは大きく低減する。
3Dセキュアとセキュリティコードの違い
クレジットカードをインターネット上で利用する場合、一般的にカードの裏面(一部のカードでは表面)に記載されたセキュリティコードを入力することで、認証が完了することがほとんどだろう。しかし、カードが盗まれてしまった場合、手元にあるカードを見ればセキュリティコードがわかってしまうため、不正利用を予防する手立ては、カードを停止する以外に方法がなかった。
カードが盗まれた場合だけではなく、最近ではECサイトへの不正アクセスなどで窃取されたクレジットカード情報が悪意のある攻撃者の手元に渡っている。セキュリティコードの入力は法的に義務付けられているわけではないため、詐取された情報だけで不正利用できてしまうECサイトも多数存在しているのが実状だ。加えて、セキュリティコードは3桁のことがほとんどのため、999通り試行できれば必ず正解にたどり着く。セキュリティコード入力について多くのシステムでは3回エラーした段階でロックがかかる。しかし、サービス開始時点で、試行回数が無制限に設定されていたことで危険を招いたサービスもあった。
認証の考えた方として、認証要素は大きく3つに分類される。パスワード等による「知識要素」、携帯電話やICカードなどを介して認証を行う「所有要素」、そして、指紋や虹彩といった本人自身を表す生物学的な要素を用いる「生体要素」だ。認証の考え方については以下の記事で解説しているので参考にしてほしい。
クレジットカードに記載されたセキュリティコードは「所有要素」のみに依存する。一方で、3Dセキュアを導入した場合、カードの「所有要素」に加え、3Dセキュア用のパスワードという「知識要素」を組み合わせることで多要素認証となるため、セキュリティが強固となるということだ。
3Dセキュアの認証画面では、事前に登録したパーソナルメッセージが表示される。事前に登録したメッセージが表示されない場合、偽サイトであると判断できるため、フィッシング詐欺を防げるという利点もある。また、加盟店にとっても、なりすましによる不正利用で販売された売上は取り消されてしまうので、3Dセキュアを導入して不正利用を防ぐ動機付けとなる。
「3Dセキュア2.0」など進化するセキュリティ対策
3Dセキュアはパスワード入力が必要な分だけ安全性は高まる一方、決済手続きの途中に認証画面が追加されるため、ユーザーの利便性は当然ながら悪化する。ECサイトなどでカートに商品を入れたものの、入力の手間を嫌って決済を中断し、サイトから離脱する「カゴ落ち」の増加が問題となっていた。3Dセキュアのパスワードを忘れたため、購入を中止する、といった具合だ。せっかく購入意思を固めたにもかかわらず、購入プロセスの煩雑さが決済を中止させてしまうことは、EC事業にとって大きなダメージとなる。
そこで提案されたのが「3Dセキュア2.0」だ。安全性と利便性の妥協点を見いだした機能として導入が進んでいる。具体的には、SMSによるワンタイムパスコード入力、モバイルアプリとの統合、不正の疑いが高い場合のみ認証を要求する動的リスク判定が、新バージョンの利点となる。
他にも、3Dセキュア以外の本人確認の手段として、スマホを使った生体認証が用いられるケースがある。多要素認証における「生体要素」によりセキュリティを強固にするのが狙いだ。指紋、音声、静脈、顔認証などが利用可能であり、複製が難しいため、比較的、信頼度が高い認証手段とされている。
不正検知エンジンによって、不正利用の早期発見を目指す取り組みもある。入力された決済情報とカード会社側が保管しているデータを照合して本人確認を行う、という仕組みが開発されている。
基本的なセキュリティ対策をベースに、時代に合わせた対応を
本人認証を強固にする3Dセキュアを使ったとしても、クレジットカード自体の管理を適切に行なわなければ、どんな仕組みも意味をなさない。パスワードの使い回しをしない、あるいはパスワード設定時は複雑な組み合わせにする、といった基本的ではあるが有効な対策となる。
スマホでキャッシュレス決済を設定した場合、スマホ自体が紛失・盗難されるリスクも考慮する必要がある。スマホに対する生体認証や、キャッシュレス決済側での二段階認証、上限金額の設定といった対応も欠かせないだろう。
デジタルテクノロジーが身近になればなるほど、攻撃者にとって成功の果実は大きなものとなる。要するに、今後も攻撃者の手法が高度化・悪質化していくのは間違いない。だからこそ、ユーザーとしてもサービス提供企業が切磋琢磨して導入を図っている安全策を積極的に活用するなど、安全性を高めるための対策を講じることが求められる。今後も続けられる、利便性と安全性をともに高めていく対策を適切に見極めながら、キャッシュレス決済がもたらす利便性を最大限享受してほしい。