2011年10月7日10:45
3-Dセキュアの普及率95%を達成し、不正利用を大幅に抑制
スマートフォンや携帯電話を利用した本人認証システムの浸透を図る
一般社団法人日本オンラインゲーム協会(JOGA)は、正会員22社、準会員16社、賛助会員3社が加盟している(2011年9月30日現在)。JOGAの会員企業のオンラインゲームサイトにおける3‐Dセキュアの普及率は95%に達しており、インターネット決済が行われるサービスの中でも屈指の高さとなっている。また、2010年3月には、スマートフォンや携帯電話を利用した「ワンタイムパスワード」を採用した本人認証システムを独自開発し、会員企業に導入していくことを発表している。
2009年から協会内で本格的に推進
残りの5%も独自のセキュリティ対策を行う
JOGAには、NHN Japan、ガマニアデジタルエンターテインメント、ガンホーオンラインエンターテインメント、ゲームオン、ゲームポット、ネクソン、ジークレストなどが加盟している。オンラインゲームにおいても第三者による不正アクセスやゲーム内の金銭やアイテムを取引する「RMT(リアルマネートレード)」などの問題が顕著となっており、同協会内にもセキュリティに関する取り組みを行う「不正アクセス分科会」を設けている。
JOGAでは、2007年に、ビザ・ワールドワイド(Visa)から、オンラインゲームにおいて不正利用の被害が拡大しており、その対策として3-Dセキュア(VISA認証サービス)が有効であるとの説明を受けた。
まずは、会員企業1社で試験的に3-Dセキュアを導入。対応当初は、売り上げの減少がみられたが、翌月以降は回復し、不正利用の発生も抑制することに成功したという。3-Dセキュアが不正利用の被害減少に有効な対策であることが確認できたため、2009年1月からは、協会内で本格的な推進を開始。その時点で60%のサイトが3-Dセキュアに対応していた。
現在、3-Dセキュアの対応サイトは約95%。残りの5%においても、「決して対策を怠っているわけではなく、『セキュリティコード』など、別のセキュリティ対策を実施しています」と日本オンラインゲーム協会 事務局長 川口洋司氏は説明する。
具体的なクレジットカードの不正被害の発生率について川口氏は、「会員の7~8割はカード決済代行会社を経由してカード取引が行われているため、詳しい数字はつかめない」としているが、「導入企業からは、不正利用が減少したという話は聞いており、ゼロに近い数字になってきていると思います」と話す。
ただし、3-Dセキュアにおいても利用者が設定するパスワードが盗まれてしまえば、不正利用が起こる可能性は否定できない。今後は利用者が第三者に推測されにくいパスワードを周知する必要もあるとしている。
スマートフォンや携帯電話により
安価なコストで導入が可能に
JOGAでは、第三者のハッキング行為によるユーザーアカウントの不正取得、犯罪行為およびハッキングトラブル時の適切なユーザー対応を行うため、iPhone、Android搭載端末などのスマートフォンや携帯電話で個人認証ができる「ワンタイムパスワードシステム」を準会員のサードネットワークスと連携し、独自開発した。
「オンラインゲームなどのインターネット取引について、個人認証できない点が犯罪の温床になっていると警察庁からの指導がありました。独自に個人認証ができるシステムを開発することで、中小規模のオンラインゲーム事業者でも安価なコストで導入できるようにしています」(川口氏)
同システムは、本人確認が難しいインターネットサービスにおける個人認証時に、携帯電話やスマートフォンの個人の番号に紐づいて、1回限り利用可能なパスワードを発行する。これにより、パスワード盗用などによる第三者の成りすましを防止することが可能だ。利用者はアプリをダウンロードすることでワンタイムパスワードを利用できる。
「携帯電話やスマートフォンでパスワードの認証が行えるため、比較的低コストでオンラインゲーム各社が導入する敷居を抑えました」(川口氏)
すでに会員企業の複数社は導入しており、今後も会員各社に導入を働き掛ける予定だ。利用者に対しても、各社のゲームタイトルにおいて、2010年12月22日〜2011年3月31日の間、各社個別に導入促進のキャンペーンを行っている。同システムが会員各社にいきわたれば、利用者はワンタイムパスワードによる個人認証と、決済時の3-Dセキュアで二重の認証をかけることができ、強固なセキュリティ対策が可能となる。
PCI DSSにも会員の3割以上が対応
今後は認証から決済までカスタマイズしたサービスを検討へ
JOGAでは、サービスが進化する中、オンラインゲームに関するすべてのトラブルを自分たちで解決しなければいけないという意識で取り組んでいる。「警察庁からも前述のセキュリティシステムは評価をいただいている」(川口氏)。なお、PCI DSSなどのカード会員情報保護施策に関しては、「協会内の3割以上の企業がそれに準じた対応を行っている」(川口氏)という。
JOGAでは今後、個人認証から決済までカスタマイズしたシステムとして提供していくことも考えている。最近では決済代行事業者のソフトバンク・ペイメント・サービスがJOGAに加盟するなど、その下地は整ってきたという。
