Focus記事, カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報

カード決済システムセキュリティの最新トレンド（上）

2014年6月4日8:00

カード決済システムセキュリティの最新トレンド
3-Dセキュアのワンタイムパスワード化、P2PE処理

日本セーフネット

1983年設立のSafeNetは、情報セキュリティ業界における世界的な企業で、暗号化および暗号鍵管理ソリューションで数多くの実績と信頼を得ています。また、PCIDSSやEMVなど、クレジットカードのデータ保護に対応したソリューションでも国内外で実績を有しています。今回は、普及率に悩む「3-Dセキュア」の簡単な手法として、複雑なパスワードを簡易な携帯電話を使用したワンタイムパスワードに変更する事例と、PCI DSS取得済みにも関わらず事故が発生したケースからの教訓としてのP2PE処理について紹介します。

3-Dセキュアのワンタイムパスワード化を携帯電話で実現
SMSによりパスワードを送信

3-Dセキュアは、Visa、MaterCard、American Expressの国際ブランドが推奨するサービスです。サービス自体は意味のあるものですが、クレジットカードのサービスはレベニューシェアで売り上げが成り立っています。3-Dセキュアは、特定の領域は売り上げが下がってしまいます。特に物販サイトの加盟店では、売上が落ちる傾向があります。

3-Dセキュアはパスワードの設定が厳しいという課題があります。以前はもっと簡単に設定できましたが、大文字・小文字、数字、記号、過去の番号の使い回しを禁止しており、8～10文字以上となっています。そのため、パスワードを記憶している人が少なく、消費者への普及がなかなか進んでいません。

Visaでは、その解決策として、「ワンタイムパスワード型3-Dセキュア」を展開しています。ユーザーがECサイトで買い物をして「CVV2」を入力して次の画面に進んだとき、ユーザーの携帯に、イシュアのサーバから生成されたパスワードがリアルタイムにSMSメッセージが届きます。ユーザーは、3-Dセキュアのパスワードを入力する代わりに携帯に届いたパスワードを入力するのがワンタイム型の3-Dセキュアのフローになります。

クレジットカード会社は、クレジットカードのユーザー情報と紐づいて電話番号の情報を保持しています。この仕組みはSMSを利用してパスワードを送信しています。

3-Dセキュアの認証方式として、Visaでは「Verified By Visa（VbV）」を規定しています。その仕様書としては、「イシュアは複数の登録方法をカード保有者に提供することができます。カード保有者は、決済時にWebサイトにおいてVbVで登録されたパスワードを登録した認証も可能ですし、自分のアイデンティティ情報を証明する認証を行うこともできます」と記載されています。

つまり、パスワードもしくはユーザーのアイデンティティ情報を証明できればパスワードでなくても構いません。その中で実現性が高いのが携帯に送るワンタイムパスワードです。例えば、技術が進歩して、チップの単価が安くなれば、消費者のクレジットカードに指紋認証を付けて、PCにそれを読み取る機能が搭載されれば別の手法も考えられますが、現時点ではワンタイムパスワードがベストです。

国内でもSMSの利用率アップなど普及に向けた環境が整う
大日本印刷がワンタイムパスワード対応の3-Dセキュアを展開

現在、銀行のオンラインバンキングで利用されているワンタイムパスワードトークンですが、その仕組みは一人一人に違う暗号情報が書き込まれています。サーバ側ではどのユーザーがどの暗号情報を格納したトークンを持っているのかを管理しています。それが第一ステップです。その暗号情報を業界では「シード」と呼んでいますが、それに「何か」を掛け合わせて数学的パスワードを生成します。

例えば時間を掛け合わせるのが時刻同期型（TOPT）、ハードウェアのボタンを工場で製造してから、パスワードを生成した回数を算出し、一致した場合のみ認証するのがイベント同期型（HOPT）です。日本では時刻同期型（TOPT）が多く用いられています。イベント同期型は、次回ログオンするまで半永久的に有効ですが、日本の時刻同期型のほとんどは一律で1分間に設定されています。そのため、攻撃者はパスワードが生成された1分間に対応しなければならないので有効性は高いです。

ただ、課題として、海外で展開されているVbVは携帯電話でしたが、その理由としてハードウェアのコストがかかるからです。ハードウェアは数百円のコストがかかり、郵送費などが別に必要となります。また、時刻同期型は携帯電話モードが仕様書の中で定義されています。

日本で携帯電話を利用した時刻同期型が普及しない理由としては、2011年7月までキャリア間のSMSが使えないなど、携帯が独自の発達を遂げていることが挙げられます。また、イシュアがこの仕組みを導入しようとした際、キャリアを把握しておく必要がありました。ナンバーポータビリティ制度を考えると、その仕組みは使い勝手が悪かったです。ただ、相互運用が開始されてからは状況も変わり、日本でも利用が増えています。3-Dセキュアは、不正利用時にブランドとイシュアが損失を補てんしてくれるメリットがあるため、将来的にはこういった事例が出てくると思います。

仮にユーザーのアクティベーション率が100％であれば、これほど力強いソリューションはありません。なぜ、SMSではなくメールアドレスでは駄目かというと、イシュアが電話番号の方が安全だと思っているだけです。携帯の契約の際は、必ず住民票やパスポート、免許書などの情報が必要です。一般的には携帯番号の方がメールアドレスよりも安全だと考えられます。

なお、国内でも大日本印刷が提供する本人認証サービス「SIGN3D（サインド）」では、ワンタイムパスワードをサポートしており、イシュアに提供可能です。

また、AmericanExpressではSafeKeyというワンタイムパスワード型　3Dセキュアサービスをすでに展開しております。

※本記事は2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム2014」の日本セーフネット　サービスプロバイダ営業部　部長　亀田治伸氏の講演をベースに加筆を加え、紹介しています。

■お問い合わせ先