2014年6月4日8:00

カード決済システムセキュリティの最新トレンド
3-Dセキュアのワンタイムパスワード化、P2PE処理

日本セーフネット

1983年設立のSafeNetは、情報セキュリティ業界における世界的な企業で、暗号化および暗号鍵管理ソリューションで数多くの実績と信頼を得ています。また、PCIDSSやEMVなど、クレジットカードのデータ保護に対応したソリューションでも国内外で実績を有しています。今回は、普及率に悩む「3-Dセキュア」の簡単な手法として、複雑なパスワードを簡易な携帯電話を使用したワンタイムパスワードに変更する事例と、PCI DSS取得済みにも関わらず事故が発生したケースからの教訓としてのP2PE処理について紹介します。

3-Dセキュアのワンタイムパスワード化を携帯電話で実現
SMSによりパスワードを送信

3-Dセキュアは、Visa、MaterCard、American Expressの国際ブランドが推奨するサービスです。サービス自体は意味のあるものですが、クレジットカードのサービスはレベニューシェアで売り上げが成り立っています。3-Dセキュアは、特定の領域は売り上げが下がってしまいます。特に物販サイトの加盟店では、売上が落ちる傾向があります。

3-Dセキュアはパスワードの設定が厳しいという課題があります。以前はもっと簡単に設定できましたが、大文字・小文字、数字、記号、過去の番号の使い回しを禁止しており、8~10文字以上となっています。そのため、パスワードを記憶している人が少なく、消費者への普及がなかなか進んでいません。

Visaでは、その解決策として、「ワンタイムパスワード型3-Dセキュア」を展開しています。ユーザーがECサイトで買い物をして「CVV2」を入力して次の画面に進んだとき、ユーザーの携帯に、イシュアのサーバから生成されたパスワードがリアルタイムにSMSメッセージが届きます。ユーザーは、3-Dセキュアのパスワードを入力する代わりに携帯に届いたパスワードを入力するのがワンタイム型の3-Dセキュアのフローになります。

携帯電話モード
携帯電話モード

クレジットカード会社は、クレジットカードのユーザー情報と紐づいて電話番号の情報を保持しています。この仕組みはSMSを利用してパスワードを送信しています。

3-Dセキュアの認証方式として、Visaでは「Verified By Visa(VbV)」を規定しています。その仕様書としては、「イシュアは複数の登録方法をカード保有者に提供することができます。カード保有者は、決済時にWebサイトにおいてVbVで登録されたパスワードを登録した認証も可能ですし、自分のアイデンティティ情報を証明する認証を行うこともできます」と記載されています。

つまり、パスワードもしくはユーザーのアイデンティティ情報を証明できればパスワードでなくても構いません。その中で実現性が高いのが携帯に送るワンタイムパスワードです。例えば、技術が進歩して、チップの単価が安くなれば、消費者のクレジットカードに指紋認証を付けて、PCにそれを読み取る機能が搭載されれば別の手法も考えられますが、現時点ではワンタイムパスワードがベストです。

国内でもSMSの利用率アップなど普及に向けた環境が整う
大日本印刷がワンタイムパスワード対応の3-Dセキュアを展開

現在、銀行のオンラインバンキングで利用されているワンタイムパスワードトークンですが、その仕組みは一人一人に違う暗号情報が書き込まれています。サーバ側ではどのユーザーがどの暗号情報を格納したトークンを持っているのかを管理しています。それが第一ステップです。その暗号情報を業界では「シード」と呼んでいますが、それに「何か」を掛け合わせて数学的パスワードを生成します。

例えば時間を掛け合わせるのが時刻同期型(TOPT)、ハードウェアのボタンを工場で製造してから、パスワードを生成した回数を算出し、一致した場合のみ認証するのがイベント同期型(HOPT)です。日本では時刻同期型(TOPT)が多く用いられています。イベント同期型は、次回ログオンするまで半永久的に有効ですが、日本の時刻同期型のほとんどは一律で1分間に設定されています。そのため、攻撃者はパスワードが生成された1分間に対応しなければならないので有効性は高いです。

ただ、課題として、海外で展開されているVbVは携帯電話でしたが、その理由としてハードウェアのコストがかかるからです。ハードウェアは数百円のコストがかかり、郵送費などが別に必要となります。また、時刻同期型は携帯電話モードが仕様書の中で定義されています。

日本で携帯電話を利用した時刻同期型が普及しない理由としては、2011年7月までキャリア間のSMSが使えないなど、携帯が独自の発達を遂げていることが挙げられます。また、イシュアがこの仕組みを導入しようとした際、キャリアを把握しておく必要がありました。ナンバーポータビリティ制度を考えると、その仕組みは使い勝手が悪かったです。ただ、相互運用が開始されてからは状況も変わり、日本でも利用が増えています。3-Dセキュアは、不正利用時にブランドとイシュアが損失を補てんしてくれるメリットがあるため、将来的にはこういった事例が出てくると思います。

仮にユーザーのアクティベーション率が100%であれば、これほど力強いソリューションはありません。なぜ、SMSではなくメールアドレスでは駄目かというと、イシュアが電話番号の方が安全だと思っているだけです。携帯の契約の際は、必ず住民票やパスポート、免許書などの情報が必要です。一般的には携帯番号の方がメールアドレスよりも安全だと考えられます。

なお、国内でも大日本印刷が提供する本人認証サービス「SIGN3D(サインド)」では、ワンタイムパスワードをサポートしており、イシュアに提供可能です。

また、AmericanExpressではSafeKeyというワンタイムパスワード型 3Dセキュアサービスをすでに展開しております。

※本記事は2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム2014」の日本セーフネット サービスプロバイダ営業部 部長 亀田治伸氏の講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
safenet日本セーフネット株式会社
〒105-0004
東京都港区新橋6丁目17番17号
御成門センタービル 8F
URL: http://www.safenet-inc.jp/
jp-info@safenet-inc.com
TEL:03-5776-2751(代表)
FAX:03-3436-2236

zipage
tokysyu

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP