ネットショッピングではパスワードを入力することで、安全性を高めています。
しかし敵もさるもので、フィッシングなどの手口でパスワードを抜き取ろうとします。
今回は、ネットショッピングで活躍する「3Dセキュア」を解説しましょう。
目次
「3Dセキュア」とは
≪画像元:JCB≫
「3Dセキュア」は、インターネットショッピングなどにおけるクレジットカードの不正利用を防ぐサービスです。
インターネットショッピングでは、カード番号と名義人名、有効期限を入力するだけで決済できるサイトも少なくありません。
クレジットカード裏面に記載されていることが多い「セキュリティコード」を入力させることで、ネット上で拾ったカード情報を簡単に使わせないショッピングサイトもあります。
しかし、それではカードさえあれば拾った(盗んだ)悪意のある第三者によって、不正利用が簡単にできてしまいます。
それを防ぐのが3Dセキュアで、事前に設定した専用パスワードを最終確認画面で入力させることで、不正利用の最後の砦となるのです。
カード会社によって微妙に仕様は異なりますが、JCBの3Dセキュア「J/Secure」では、合言葉ともいえるパーソナルメッセージを事前に設定し、パスワード入力時に表示させます。
設定したパーソナルメッセージと異なるものが表示されれば、それは偽装された入力画面かもしれません。
今後の本人認証は「3Dセキュア2.0」
しかし、上述の本人確認は「3Dセキュア1.0」と呼ばれ、本人認証としては1世代前のものです。
現在は「3Dセキュア2.0」が主流になりつつあります。
2.0は1.0より何が進化したのか、比較してみましょう。
不正利用のリスクが高い決済のみ認証画面を表示
3Dセキュア1.0は、カード利用者全員に認証画面が表示されます。
「面倒くさい」「パスワードが分からない」などの理由で、購入に至らなかった人も多いのではないでしょうか。
そこで3Dセキュア2.0は、カードの利用履歴や使用端末、配送先などの情報などを分析して、不正利用のリスクが高い決済にのみ、本人認証を行います。
普通に決済をしている分には、面倒な本人認証手続きを経ることはありません。
2段階認証、または2要素認証
≪画像元:トヨタファイナンス≫
3Dセキュアは、利用者本人が設定したパスワードで認証を行っていました。
しかしこれですと、忘れてしまっては認証できませんし、かといってパスワードをメモした紙を紛失してしまったら大変です。
そこで3Dセキュア2.0では、ワンタイムパスワードを使用することがあります。
事前に設定した携帯電話などに、決済時に使い捨てのパスワードがSMSなどで送られてきて、それを入力することで決済が完了します。
≪画像元:Yubico≫
ワンタイムパスワードなどは2段階認証と呼ばれますが、ネットと生体認証(指紋、虹彩など)など異なる要素を組み合わせた認証を2要素認証と呼び、こちらを使うケースも少なくありません。
2要素認証の方がよりセキュリティが高いといえます。
ただし、生体認証を採用するかはカード会社によるところが大きいです。
スマホアプリからの決済にも対応
≪画像元:NTTドコモ≫
3Dセキュアは、スマホアプリからの決済は推奨されていませんでした。
しかし、アプリは便利だしポイントも多く貯まることから、スマホアプリで決済する人も多いでしょう。
そこで3Dセキュア2.0では、ECサイトのスマホアプリからの決済にも対応しています。
カード、サイトでは3Dセキュア2.0に対応
≪画像元:KDDI≫
最近ではカード会社、ECサイトの両方とも、3Dセキュア2.0に切り替わっています。
クレジットカードでは、Visa、Mastercard、JCB、ダイナース、アメックスの主要5社で対応済みです。
1月17日には「au PAYプリペイドカード」も3Dセキュア2.0に対応し、プリペイドカードが利用可能なECサイトならば、3Dセキュア2.0で支払えます。
≪画像元:ヨドバシカメラ≫
昨年12月23日には、「ヨドバシ.com」も3Dセキュア2.0に対応し、対応したカードで利用できます。
3Dセキュア1.0は廃止
3Dセキュア2.0が広がる一方で、3Dセキュア1.0は昨年10月にカード会社で廃止となっています。
今後主流の3Dセキュア2.0では、特にPCユーザーには注意が必要です。
PCで注文してスマホで本人認証など、複数のデバイスが活躍するからです。(執筆者:キャッシュレス研究家 角野 達仁)
