みなさんこんにちは!
4月になって、SIに多くの新入社員が加わり、本社がよりにぎやかになりました!
先日、家電量販店のオンラインショップで買い物した際、クレジットカードの認証がなかなか通らないハプニングがありました。他のサイトだと普通に決済出来て、利用枠も全然余裕があったにも関わらず。
カード会社さんから「本当にあなたの取引ですか?」という確認があり、回答をしてようやく購入できました。
今回は、そんなECサイトでよく使われる、クレジットカードの本人認証システム「3Dセキュア」についてご紹介したいと思います!
3Dセキュアってなにもの?
ほとんどの人が、クレジットカードを使って、オンラインで買い物をしたことがあるかと思います。
なにかのECサイトで、ウィンドウショッピングのつもりが楽しくなって、いろいろポチってカートに入れてしまって、お届け先情報やクレカの番号、有効年月をなど入力し、「よろしくお願いしまぁぁす!」(サ〇ーウォーズ風)と注文確定ボタンを押したら、突然こんな画面に飛んだ経験はないでしょうか。
慣れている方であれば「あーはいはい、パスワードね」という感じで入力し送信して、晴れて注文完了めでたしめでたし…と特に意識することなく通過しますよね。このパスワードを入力するような認証が「3Dセキュア」です。
3Dセキュアの意味
3Dセキュアがないと、カード番号とセキュリティコード(クレジットカードの裏に書かれている3~4桁の番号)があれば、買い物が出来てしまいます。クレジットカード本体を盗まれてしまったら、簡単に不正利用される危険性があるのです。
3Dセキュアがあれば、カードに書いていない情報であるパスワードが聞かれるので、より安全に利用することが出来ます。デジタルネイティブの世代であれば、聞かれて当然だと感じますよね。
3Dセキュアの中身
画像の画面イメージのように、使ったお店と金額、日付がまず書いてあり、その下に一部伏字になっているカード番号もあります。これらの情報が正しいかどうか、まずは確認できます。
その下に、パーソナルメッセージがありますが、ここはカードの会員登録時におそらく設定しているはずです。パーソナルメッセージを自分にしか分からない文言、例えば座右の銘、好きな偉人の言葉、推しや初恋の相手の名前などを書いておけば、この3Dセキュアの画面は確かに自分のアカウントの確認のために聞いているということがよーく分かりますよね。
悪意を持った人が、カードの情報は盗めても、このパーソナルメッセージは盗むことが困難です。
パスワードについては、事前にカード会社に登録するのですが、クレジットカードに書かれていない情報のため、別箇で入力することでより安全にECサイトで買い物ができる、という仕組みとなっています。パーソナルメッセージが自分の設定したものであることを確認して、パスワードを入力しましょう。
3Dセキュアのデメリット
ここまで聞いて、いい仕組みじゃん、と思った方も多いと思います。しかし、デメリットは存在しています。
まず、「カゴ落ち」のリスクがあることが挙げられます。上で見たような3Dセキュアの画面が出てくるということは、注文完了までの画面数、操作しなければいけない数が増えてしまいます。そのため、パスワードを入力するなどを面倒に思い、買い物をやめてしまう人がいるようです。これをカゴ落ちというのですが、より安全に利用できるとはいえ、お店にとっては売上が下がってしまい、悩みの種になりますね。
また、悪意をもった人がパスワードを盗むことも出来てしまうため、100%安全で、不正利用は絶対されないという訳でもありません(フィッシング詐欺などにより)。
さらに、ブラウザで使用することが前提となっており、スマホのアプリなどでは非推奨の機能となっていました。こうした理由から、3Dセキュアの普及率はあまり高くありませんでした。
3Dセキュアが進化した「3Dセキュア2.0」
そんな3Dセキュアのデメリットを解消したのが、「3Dセキュア2.0」です!
(ここまで紹介した3Dセキュアは、3Dセキュア1.0と呼称され対比されています)
まず、「リスクベース認証」という機能が、3Dセキュア2.0で導入されました!これは、不正利用が疑われる場合にのみ、認証を行うということなのですが、裏を返せば「安全と判断されれば認証は発生しない」ことになります。そうです、カゴ落ちのリスクが大幅に軽減されたのです!
リスクベース認証で不正利用の疑いがあるかを判断しているのですが、それがどのような基準で行われているかについては、正確には情報開示されていません。お届け先住所やカードの利用履歴、利用している端末やIPアドレスなどの情報を基に、総合的に判断している模様です(3Dセキュア1.0の時よりも、扱う情報が増えているため、ECサイトを構築する上で追加する必要があるのと、個人情報に当たるため、お店側もお客さんが個人情報の利用に同意しているかどうかについて留意しなければいけないですね)。
リスクベース認証でリスクありと判断されると、3Dセキュア1.0と同じように認証が必要となります。この時、従来のパスワード認証だけでなく、より安全な認証方法である、携帯のSMSやアプリを使ったワンタイムパスワードや、指紋や顔の生体認証等が使えるようになりました。
「生体認証」のワードが出てきて、察した方もいるかもしれませんね。そうです、3Dセキュア1.0の時とは違い、スマホアプリでも安心して利用できるようになりました!最近スマホのウォレット機能にクレジットカードを登録することが流行っていると思いますが、3Dセキュア2.0の機能を活用していたりします。
なお、万が一リスクベース認証を通過してしまい、不正利用された場合については、3Dセキュア2.0を使っている場合きちんと補償されるとのことなので、クレカユーザーもお店側も安心ですね。
ちなみに、SIのECサイト構築パッケージ、 SI Web Shoppingも、最新バージョンにて3Dセキュア2.0に標準対応しております!(気になる方は是非リンク先をご覧ください)
おわりに
今回は3Dセキュアについて、簡単にですがご紹介してみました!
皆さんも引き続き、安全安心なネットショッピングを楽しみましょう!(買いすぎ注意です)
