3Dセキュア
3Dセキュア(英語: 3-D Secure)は、インターネットショッピングで決済する際に利用される本人認証サービスである。
概要
3Dセキュアの「D」とは、Domain(ドメイン)を意味し、3つのドメイン、すなわち、イシュアドメインが発行元を、アクワイアラドメインが加盟店を認証し、相互運用ドメインが取引を仲介する[1]。
オンラインショッピングの決済にクレジットカードを利用する場合、クレジットカードの番号や有効期限・セキュリティコード、氏名などをもとにして、利用しようとするクレジットカードが有効なものであるかどうかを識別している。しかし、この方法ではその決済をしようとする人物が、そのクレジットカードの会員本人であるかを識別することはできない。
これに対し、3Dセキュアに対応している加盟店では、決済時にクレジットカード会社での認証を経由することで、本人確認を行う。具体的には、オンラインショッピングのサイトにてクレジットカード番号などを入力した際、そのクレジットカードが3Dセキュアに対応しているかが識別される。対応している場合は、3Dセキュアのサイトが表示され、予めカード会員が設定した(もしくはクレジットカード会社より送信された)パスワード入力が要求される。このパスワードをもとに本人認証が行われる。この際、パスワードの入力が行われなかったり、入力されたパスワードが誤っていたりした場合は決済は行われない。これによって、加盟店やクレジットカード会社・カード会員は、カード番号などの盗用による不正使用被害の抑止が期待できる。
3Dセキュアのサービスによっては、パスワード入力時に「パーソナルメッセージ」という、会員がパスワードと共にあらかじめ登録しておいたメッセージを表示させることができる。利用者は、この内容が正しければ正規のクレジットカード会社からの認証であると判断できる。これが表示されなかったり違うものの場合はフィッシングのために作られた別サイトに誘導されている可能性が高いと判断することができる。
日本においては、クレジットカード・セキュリティガイドラインにおいて、原則、全てのEC加盟店は、2025年3月末までにEMV3-Dセキュアの導入すること、クレジットカード会社は、2025年3月末までに本人認証方法として従来の「静的(固定)パスワード」から「動的(ワンタイム)パスワード」に移行するよう取組むことを求めている。
利用方法
3Dセキュアを利用するには、対応しているクレジットカード・デビットカード・プリペイドカードの会員となる必要がある。
あらかじめパスワードを設定する必要があり、発行元のインターネットサービスで設定することができる(例えばジェーシービー〈JCB〉の場合は「MyJCB」、三井住友カードの場合は「Vpass」など)。各社のインターネットサービスのログインに利用するパスワードと同じものを3Dセキュアのパスワードとしている発行元が多い。
近年では、パスワードクラック対策からワンタイムパスワードを導入するカードもあり、スマートフォンにインストールしたアプリケーションソフトウェアから生成されたワンタイムパスワードや、電子メールやショートメッセージサービス(SMS)で送信されたワンタイムパスワードを予め設定したパスワードの代わりに入力する。
なお、会員家族や、不正にカードを取得した者(他人が申請した場合や、本人以外が受け取ったりするなど)などが、そのカードの会員本人に成り済ましてインターネットサービスのIDを取得した場合などは、3Dセキュアを悪用することができる。このような場合、店頭で偽造カードや盗難カードを用いられた時と同様に、警察に被害届を提出の上、不正使用を補償する制度を設けている発行元もある。一方、3Dセキュアのパスワードがカードの会員本人の名前や誕生日など容易に推測することができるものであった場合は、発行元によっては補償が適用されないことがある。
また、SMSでの認証の場合、SMSが届かない国外でのECサイトの利用ができなくなる場合がある。この場合、あらかじめ国内でスマホアプリや電子メールでの認証に設定しておくことにより回避できる可能性がある。
EMV 3-D Secure
EMVCoは2016年にEMV 3-D Secureの仕様を公開した。これは、従来の3Dセキュア(3-D Secure 1.0)の次期版であり、3Dセキュア 2.0(3-D Secure 2.0)とも呼称される。
従来の3Dセキュアでのかご落ち率(離脱率)の高さを反省し、EMV 3-D Secureでは「リスクベース認証」を導入し、利用者の取引履歴やデバイス情報から不正使用リスク高と判定された場合のみ、パスワードの入力が求められるよう改善される[2]。
日本では、三井住友トラストクラブが初めて導入した[3]。
2024年3月12日、JCBは新たな認証方式としてOOB(Out of Band)認証方式を導入した。ワンタイムパスワード入力の代わりに、クレジットカード会社のスマートフォン用アプリから、取引認証ボタンを押すだけとなり、ユーザーの利便性向上やフィッシング詐欺が防げるとしている[4]。
従来の3Dセキュアは、2022年10月をもってサポート終了している[5]。
主なサービス
- J/Secure - ジェーシービー(JCB)
- ProtectBuy - Diners Club(Diners Club)
- American Express SafeKey - American Express(American Express)
- Visa Secure - Visa(Visa)
- Mastercard ID Check - Mastercard(Mastercard)
- NICOS認証サービス - 三菱UFJニコス(NICOS)[注 1]
脚注
注釈
- ^ 日本国内専用に提供される。
出典
- ^ “3Dセキュア対応MPIシステム Active Merchant”. 沖コンサルティングソリューションズ株式会社. 2023年3月30日閲覧。
- ^ “NTTデータ、「3-D Secure本人認証サービス」にリスクベース認証機能を導入”. インプレスWatch (2017年11月14日). 2023年3月30日閲覧。
- ^ 『三井住友トラストクラブによる 3D セキュア(Ver.2)サービス提供開始について』(PDF)(プレスリリース)三井住友トラストクラブ株式会社、2018年9月14日。2023年3月30日閲覧。
- ^ “オンライン決済の利便性を向上させる新たな3Dセキュア認証方式を提供開始”. 大日本印刷 (2024年3月12日). 2024年8月17日閲覧。
- ^ “3Dセキュア2.0とは?ECサイトのセキュリティ強化のためのアップデートされたクレジットカードの本人認証”. ecbeing (2022年11月8日). 2023年3月30日閲覧。
関連項目
外部リンク
- EMV® 3-D Secure
- J/SecureTM - ジェーシービー
- ProtectBuy - 三井住友トラストクラブ
- American Express SafeKey - American Express International
- Visa Secure - Visa
- Mastercard ID CheckTM - Mastercard
- 本人認証サービスのページへのリンク
