2014年3月10日8:02
カード決済の不正利用対策として注目を集める動的認証
非対面取引におけるカード不正対策としては、オンラインバンキングの認証にも採用され始めているEMV ICカードを用い認証を行う方法が、PC用のICカードリーダ、携帯ICカードリーダなどを用いたワンタイムパスワードによる認証として1990年代から取り組みが行われている。これらの対策は、アメリカやベルギー、日本、シンガポール、韓国などで試みられたが、セキュリティこそ強固になるものの、物理的なICカードリーダをPCに接続する手間がある。またカード大国の米国でEMV ICカードが普及していないこともあるため、広がっていない。
それに加え、今後は、クレジットカード等の番号を動的に利用することで、ペイメントカードの不正利用を防止するソリューションの増加が期待されている。
例えば、ジャパンネット銀行では、「カード番号使い切り」も可能なVisaデビットの利用を呼び掛けている。これは、ユーザーが初めてECショップを利用する場合、16ケタのカード番号の発行手続を実施。カード番号は一度利用すると同一のECサイトを除き再利用できない(制度改定で同じ番号を使うことも可能に)。
また、MasterCardでは、「リテールテックジャパン2014」において、バーチャルカードナンバーの生成が可能な「inControl(インコントロール)」技術を紹介。同技術を利用することで、1回あたりの決済額、月の利用限度額、利用国、利用回数などを事前に設定でき、カード利用を制御することができるため、安全なネットショッピングが可能になるという。
また、スペインで開催された「モバイル・ワールド・コングレス2014」では、データベースの暗号化以上にセキュアなデータ保存形式と言われるトークナイゼーションの技術を利用して、カード番号をトークンと紐づけて生成するデモを行った。
海外でも動的な認証でペイメントカードの不正利用を防止する動きが出てきている。例えば、インドでは携帯番号を登録しておくと、EC決済の際に合成音声でパスワードを通知し、利用者はその番号を聞き取ってパスワードを入力するソリューションが提供されている。
また、ディスプレイ・カードなど、インタラクティブなカードの導入も期待される。同分野を代表する企業であるnagraID Security社が2005年来開発を行っているディスプレイICカードは、二要素認証を行うためのワンタイムパスワード生成機能をクレジットカードやデビットカードなどのディスプレイ・カード対応のバンクカードに搭載し、カード上のディスプレイに“ワンタイムパスワード”を表示することが可能だ。
すでに、パリバ銀行系であるトルコのTEB、スタンダードチャータード銀行、インドの大手商業銀行であるICICI銀行、台湾の永豊銀行、ルーマニアのCarpatica銀行等にディスプレイ・カードのサービスを提供している。
世界的に見ても、ディスプレイ・カードやスマートフォンを活用したワンタイムパスワードに注目が集まっており、nagraID Securityの担当者も「すでに普及は始まっている」と回答しているように、国内でも動的認証が広がる可能性は今後十分にあるだろう(関連記事)。
3月25日開催の無料セミナー「ペイメントカード・セキュリティフォーラム2014」のTIプランニング(ペイメントナビディレクター)の池谷貴の講演では、動的認証についても触れる予定だ。
