2014年6月4日8:00

カード決済システムセキュリティの最新トレンド
3-Dセキュアのワンタイムパスワード化、P2PE処理

日本セーフネット

1983年設立のSafeNetは、情報セキュリティ業界における世界的な企業で、暗号化および暗号鍵管理ソリューションで数多くの実績と信頼を得ています。また、PCIDSSやEMVなど、クレジットカードのデータ保護に対応したソリューションでも国内外で実績を有しています。今回は、普及率に悩む「3-Dセキュア」の簡単な手法として、複雑なパスワードを簡易な携帯電話を使用したワンタイムパスワードに変更する事例と、PCI DSS取得済みにも関わらず事故が発生したケースからの教訓としてのP2PE処理について紹介します。

3-Dセキュアのワンタイムパスワード化を携帯電話で実現
SMSによりパスワードを送信

3-Dセキュアは、Visa、MaterCard、American Expressの国際ブランドが推奨するサービスです。サービス自体は意味のあるものですが、クレジットカードのサービスはレベニューシェアで売り上げが成り立っています。3-Dセキュアは、特定の領域は売り上げが下がってしまいます。特に物販サイトの加盟店では、売上が落ちる傾向があります。

3-Dセキュアはパスワードの設定が厳しいという課題があります。以前はもっと簡単に設定できましたが、大文字・小文字、数字、記号、過去の番号の使い回しを禁止しており、8~10文字以上となっています。そのため、パスワードを記憶している人が少なく、消費者への普及がなかなか進んでいません。

Visaでは、その解決策として、「ワンタイムパスワード型3-Dセキュア」を展開しています。ユーザーがECサイトで買い物をして「CVV2」を入力して次の画面に進んだとき、ユーザーの携帯に、イシュアのサーバから生成されたパスワードがリアルタイムにSMSメッセージが届きます。ユーザーは、3-Dセキュアのパスワードを入力する代わりに携帯に届いたパスワードを入力するのがワンタイム型の3-Dセキュアのフローになります。

携帯電話モード
携帯電話モード

クレジットカード会社は、クレジットカードのユーザー情報と紐づいて電話番号の情報を保持しています。この仕組みはSMSを利用してパスワードを送信しています。

3-Dセキュアの認証方式として、Visaでは「Verified By Visa(VbV)」を規定しています。その仕様書としては、「イシュアは複数の登録方法をカード保有者に提供することができます。カード保有者は、決済時にWebサイトにおいてVbVで登録されたパスワードを登録した認証も可能ですし、自分のアイデンティティ情報を証明する認証を行うこともできます」と記載されています。

つまり、パスワードもしくはユーザーのアイデンティティ情報を証明できればパスワードでなくても構いません。その中で実現性が高いのが携帯に送るワンタイムパスワードです。例えば、技術が進歩して、チップの単価が安くなれば、消費者のクレジットカードに指紋認証を付けて、PCにそれを読み取る機能が搭載されれば別の手法も考えられますが、現時点ではワンタイムパスワードがベストです。

国内でもSMSの利用率アップなど普及に向けた環境が整う
大日本印刷がワンタイムパスワード対応の3-Dセキュアを展開

現在、銀行のオンラインバンキングで利用されているワンタイムパスワードトークンですが、その仕組みは一人一人に違う暗号情報が書き込まれています。サーバ側ではどのユーザーがどの暗号情報を格納したトークンを持っているのかを管理しています。それが第一ステップです。その暗号情報を業界では「シード」と呼んでいますが、それに「何か」を掛け合わせて数学的パスワードを生成します。

例えば時間を掛け合わせるのが時刻同期型(TOPT)、ハードウェアのボタンを工場で製造してから、パスワードを生成した回数を算出し、一致した場合のみ認証するのがイベント同期型(HOPT)です。日本では時刻同期型(TOPT)が多く用いられています。イベント同期型は、次回ログオンするまで半永久的に有効ですが、日本の時刻同期型のほとんどは一律で1分間に設定されています。そのため、攻撃者はパスワードが生成された1分間に対応しなければならないので有効性は高いです。

ただ、課題として、海外で展開されているVbVは携帯電話でしたが、その理由としてハードウェアのコストがかかるからです。ハードウェアは数百円のコストがかかり、郵送費などが別に必要となります。また、時刻同期型は携帯電話モードが仕様書の中で定義されています。

日本で携帯電話を利用した時刻同期型が普及しない理由としては、2011年7月までキャリア間のSMSが使えないなど、携帯が独自の発達を遂げていることが挙げられます。また、イシュアがこの仕組みを導入しようとした際、キャリアを把握しておく必要がありました。ナンバーポータビリティ制度を考えると、その仕組みは使い勝手が悪かったです。ただ、相互運用が開始されてからは状況も変わり、日本でも利用が増えています。3-Dセキュアは、不正利用時にブランドとイシュアが損失を補てんしてくれるメリットがあるため、将来的にはこういった事例が出てくると思います。

仮にユーザーのアクティベーション率が100%であれば、これほど力強いソリューションはありません。なぜ、SMSではなくメールアドレスでは駄目かというと、イシュアが電話番号の方が安全だと思っているだけです。携帯の契約の際は、必ず住民票やパスポート、免許書などの情報が必要です。一般的には携帯番号の方がメールアドレスよりも安全だと考えられます。

なお、国内でも大日本印刷が提供する本人認証サービス「SIGN3D(サインド)」では、ワンタイムパスワードをサポートしており、イシュアに提供可能です。

また、AmericanExpressではSafeKeyというワンタイムパスワード型 3Dセキュアサービスをすでに展開しております。

※本記事は2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム2014」の日本セーフネット サービスプロバイダ営業部 部長 亀田治伸氏の講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
safenet日本セーフネット株式会社
〒105-0004
東京都港区新橋6丁目17番17号
御成門センタービル 8F
URL: http://www.safenet-inc.jp/
jp-info@safenet-inc.com
TEL:03-5776-2751(代表)
FAX:03-3436-2236

zipage
tokysyu

関連記事

ペイメントニュース最新情報

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP