サイト内の現在位置

クレジットカード決済の認証サービス「3-Dセキュア」の思わぬ落とし穴

NECセキュリティブログ

2024年4月26日

こんにちは。NEC サイバーセキュリティ戦略統括部 セキュリティ技術センターの杉本です。本稿では、クレジットカード決済の認証技術である3-Dセキュアについてお話します。

3-Dセキュアとは

3-Dセキュアとは、インターネットショッピングでクレジットカード決済を利用する際にセキュリティコード(カード裏面などに記載されている3~4桁の番号)だけではなく、追加の認証を実施することで不正利用を防止する技術です。インターネットショッピングで決済しようとした際に、クレジットカード会社のWebサイトに遷移してパスワードの入力を追加で求められたことのある読者もいるのではないでしょうか。

3-Dセキュアは、クレジットカードの不正利用を防止する目的で様々なショッピングサイトに導入されており、インターネットショッピングの普及によりクレジットカードの不正利用被害が増加している昨今、その重要性は一層増しています。一般社団法人 日本クレジットカード協会によって2024年3月に発行された「クレジットカード・セキュリティガイドライン 5.0版」では、2025年3月末までに原則全てのEC加盟店が3-Dセキュアを導入することが求められています。

3-Dセキュア1.0とEMV 3-Dセキュア(3-Dセキュア2.0)

3-Dセキュアには「3-Dセキュア1.0」と「EMV 3-Dセキュア(3-Dセキュア2.0)」の2種類があります。「3-Dセキュア1.0」は従来使用されていた方式で、クレジットカード決済時にセキュリティコードに加えて、予め登録しておいたパスワードを使用して認証を行ないます。一般的に、「知識」「所持」「生体」の認証要素を2つ以上組み合わせた多要素認証は強固な認証であると言われており、3-Dセキュア1.0はクレジットカード所持者のみが知るセキュリティコード(所持)とパスワード(知識)を組み合わせているので強固な多要素認証方式になっていると言えるでしょう。しかし、

  • 追加のパスワード入力が煩雑
  • 予め登録したパスワードを忘れてしまった

などの理由で購入を断念する利用者が発生してしまうという課題がありました。「EMV 3-Dセキュア導入ガイド」によると“「3-Dセキュア1.0」は2022年10月で取扱終了になったPDF[1]”と記載されており、現在は後述のEMV 3-Dセキュアだけが使われているようです。

EMV 3-Dセキュアは3-Dセキュア1.0からバージョンアップされた方式で、以下の特徴を持ちます。

  • リスクベース認証の導入により、過去の利用履歴やIPアドレス、配送先住所などの情報からリスクが低い取引だと判定された場合は追加認証が不要に
  • リスクが高い場合の追加認証もSMSやメール等でのワンタイムパスワードに対応し、パスワードの記憶が不要に

これにより1.0の課題であった「追加認証により利用者が購入を断念してしまうことがある」という課題を解決しています。

EMV 3-Dセキュアの落とし穴

元々強固な認証方式を備えていた3-Dセキュア1.0の利便性を向上させたEMV 3-Dセキュアは、一見クレジットカード決済の多要素認証として完璧に見えます。しかし、EMV 3-Dセキュア方式だからこそ気をつけなければならない点もあると私は考えます。
様々なクレジットカード会社のWebページを調査し、EMV 3-Dセキュアで利用されている追加認証方式を確認したところ、

  • スマートフォンのSMSにワンタイムパスワードを送付
  • スマートフォンの専用アプリにワンタイムパスワードを送付
  • 登録メールアドレスにワンタイムパスワードを送付

のいずれかを採用している会社が大多数でした。ワンタイムパスワードは新たにパスワードを覚える必要がないため利便性は向上していますが、特にSMSやアプリを利用する場合はスマートフォン所持者であれば認証を突破出来てしまうという点に注意が必要です。この場合のワンタイムパスワードは、通常のパスワードのように「知識」認証ではなく「所持」認証の側面が強く、セキュリティコード(所持)+ワンタイムパスワード(所持)という多要素認証の要件を満たさない認証方式となっています。つまり、「追加認証方式によっては、EMV 3-Dセキュアは3-Dセキュア1.0よりも認証強度が弱まってしまう」ということになります。

ここまでの話を読んで、「所持認証が2つだったとしても、2つの秘密情報を使って認証しているのだから十分セキュアじゃないの?」と思われるかもしれません。では、どこかに出かけた時にバッグを紛失してしまい、その中に財布とスマートフォンが両方入っていたという現実的に起こり得るケースを考えてみましょう。そのバッグを拾った人は、財布からクレジットカードを抜き取って不正利用しようとします。当然3-Dセキュアを要求されますが、バッグに入っているスマートフォンでSMSやアプリを確認すれば簡単に突破できてしまいます。このように「知識」「所持」「生体」の認証要素が被っていると、一度の侵害で全ての認証が突破されてしまいやすくなってしまいます。

しかしEMV-3DセキュアのSMSやアプリを利用した形式は、実際にはそこまでリスクは大きくないと思われます。なぜならば、おそらくほとんどのスマートフォンユーザはEMV 3-Dセキュアで実施される認証に加えて、スマートフォンそのものにパターン認証(知識)や生体認証(生体)を設定しているからです。これにより、全体として「知識」「所持」「生体」の2種類以上を組み合わせた強固な認証を達成できています。先述したバッグ紛失の例でも、スマートフォンのロックを突破できなければ3-Dセキュアを突破されず、不正利用を防ぐことが出来ます。もしスマートフォン自体にはロックを掛けていないという読者がいらっしゃいましたら、この機会に設定することを強くおすすめします。

まとめ

今回はクレジットカード決済の認証サービス「3-Dセキュア」についてお話しました。利便性が向上したEMV 3-Dセキュアは、スマートフォン自体にロックを設定していなければ、追加認証の方式次第では1.0よりもセキュリティが弱まってしまう可能性があるということを知っておいていただければと思います。

参考

引用

執筆者プロフィール

杉本 元輝(すぎもと げんき)
セキュリティ技術センター 実装技術レギュレーションチーム

社内SEへのセキュア開発推進・技術支援やセキュリティ研修の講師に従事。
堅牢化コンテスト「Hardening 2020 Business Objectives」グランプリ受賞。
「Hardening 2023 Business Generatives」MVV受賞。
CISSP、情報処理安全確保支援士を所持。

執筆者の他の記事を読む

アクセスランキング