ECサイトのセキュリティリスクとその対策はこちら
資料を読む
2025年までに導入が義務化される3Dセキュア2.0
ECサイトで必須級の本人認証サービスを解説
ECサイトで必須級の本人認証サービスを解説
3Dセキュアとは、ECなどにおいて非対面でクレジットカード決済を行う際の不正利用対策として、カード会社が設定している本人認証サービスです。
近年、急速に進んでいるキャッシュレス化において、PayPay・LINE Payといったコード決済や、Suica・PASMOといった電子マネーなどキャッシュレス決済の種類が増えてきています。その中でもクレジットカードは保有率が86%とキャッシュレス決済の中で最も利用率が高いです。
そんな根強いニーズがあるクレジットカードでも、日本国内における不正利用被害は2013年から増加の一途をたどっており、 2022年のクレジットカードの不正利用被害額は過去最高の436億円となりました。
この被害の内訳に目を向けてみると、全体の9割以上がカード番号などの情報だけで不正決済をされてしまう番号盗用によるものなのです。特に、この番号盗用による被害の大部分を占めているのが、ECサイト上でカードの保有者になりすまして決済を行うというパターンです。
今回は、そんなクレジットカードの不正利用を防ぐために注目されているセキュリティ対策「3Dセキュア2.0(EMV 3Dセキュア)」について紹介します。
3Dセキュアとは、ECなどにおいて非対面でクレジットカード決済を行う際の不正利用対策として、カード会社が設定している本人認証サービスです。
近年、急速に進んでいるキャッシュレス化において、PayPay・LINE Payといったコード決済や、Suica・PASMOといった電子マネーなどキャッシュレス決済の種類が増えてきています。その中でもクレジットカードは保有率が86%とキャッシュレス決済の中で最も利用率が高いです。
そんな根強いニーズがあるクレジットカードでも、日本国内における不正利用被害は2013年から増加の一途をたどっており、 2022年のクレジットカードの不正利用被害額は過去最高の436億円となりました。
この被害の内訳に目を向けてみると、全体の9割以上がカード番号などの情報だけで不正決済をされてしまう番号盗用によるものなのです。特に、この番号盗用による被害の大部分を占めているのが、ECサイト上でカードの保有者になりすまして決済を行うというパターンです。
今回は、そんなクレジットカードの不正利用を防ぐために注目されているセキュリティ対策「3Dセキュア2.0(EMV 3Dセキュア)」について紹介します。
3Dセキュアとは
3Dセキュアとは、ECでなどにおいて非対面でクレジットカード決済を行う際の不正利用対策として、カード会社が設定している本人認証サービスです。実店舗等での対面決済におけるサインや暗証番号をイメージしていただければ分かりやすいかと思います。
Visaでは「Visa Secure」、マスターカード では「Mastercard SecureCode」といったようにブランドごとでサービスの呼称は異なりますが、総称して「3Dセキュア」と呼ばれています。
「3Dセキュア」という言葉における“3D”とは
@ EC事業者などの加盟店
A カード発行会社(ex:楽天カード、イオン銀行、りそなカード)
B 3Dセキュア提供元(ex:Visa、マスターカード、アメリカン・エキスプレス、JCB)
の3つの領域を表す「ドメイン(Domain)」を意味しており、この三者間で適切な認証を行ないながらカード利用者の安全性を確保しています。
カードの保有者であるユーザーが3Dセキュアを利用するには、事前に3Dセキュア提供元にパスワードを登録する必要があります。また利用時は、カード情報の入力後3Dセキュアパスワード入力画面に遷移し、パスワードを入力することになります。 仮にカードを盗難された場合でも、本人しか把握していない情報であるため、不正利用防止に繋がるのです。
セキュリティコードと3Dセキュアは何が違うの
セキュリティコードとは、セキュリティ保護のためクレジットカードで決済を行う時に入力されたカード情報が本当に本人のものであるかを確認するコード番号です。このセキュリティコードは店頭でカードの磁気情報を盗むスキミング等の犯罪を防ぐ際に、有効な手段とされています。
しかし、多くのクレジットカードにおいてセキュリティコードは裏面に記載してあるため、カード自体が盗難されてしまった場合には不正利用を防ぐことは難しくなります。
また、セキュリティコードの入力は法的に義務付けられているわけではないので、コード入力なしで利用できるECサイトも数多くあるのが現状です。
また、セキュリティコードは3つの認証要素(パスワードなどの知識要素、SMSなどを介した所有要素、指紋認証などの生体要素)のうち所有要素のみに依存します。 それに対し3Dセキュアは、知識要素と所有要素の2つの要素に依存することになるので、セキュリティコードと比較するとより強固なセキュリティを実現できます。
3Dセキュア1.0とはどういうもの?
3Dセキュア2.0の説明の前に、3Dセキュア1.0について解説します。
3Dセキュア2.0の前身である3Dセキュア1.0は1999年にVisaが開発した本人認証システムであり、2002年から他のクレジットカードブランドにライセンス提供されるようになりました。
3Dセキュア1.0はECでの決済など非対面での決済時に、カード番号や有効期限などのカード情報の他に、 設置したパスワードを入力することでセキュリティを強固にする仕組みです。
後ほど詳しく解説いたしますが、3Dセキュア2.0は生体認証やワンタイムパスワード、QRコード等による認証が可能になったことを考えると3Dセキュア1.0と3Dセキュア2.0ではセキュリティの強度に大きな差があることが分かります。
このようなセキュリティ強度の差もあり、2025年には日本国内における3Dセキュア2.0(EMV 3Dセキュア)のEC加盟店への導入が義務付けられることにもなりました。
3Dセキュア2.0(EMV 3Dセキュア)とは
3Dセキュア1.0は、当時画期的な技術ではありましたが、かご落ちが増えるというデメリットがあったこともあり、なかなか普及しませんでした。こうした状況を背景にユーザーの利便性向上、安全な環境のために提案されたのが「EMV 3Dセキュア」とも呼ばれる「3Dセキュア2.0」です。
3Dセキュア2.0最大の特徴はSMSやアプリを使用したワンタイムパスワードの導入です。ワンタイムパスワードとは、その名の通り、一度きりしか使えないパスワードのことです。ECでの決済など非対面でのクレジットカード決済の際、カード情報入力後に3Dセキュアパスワード入力画面が表示され、それと同時にSMS等にワンタイムパスワードが送信されてきます。 ユーザーが送付されたパスワードを入力するだけで本人確認が完了するという仕組みです。
ワンタイムパスワードであれば固定のパスワードを覚える必要がないため忘れることがない上、セキュリティコードのようにクレジットカード本体が盗難に遭った際に不正利用されるリスクもありません。 また、3Dセキュア2.0ではリスクベース認証(なりすましを防ぐ認証技術)により、 リスクの高い取引のみに対して承認を要求することができるようになったため、ユーザーにとっての障壁が低くなりました。
3Dセキュア2.0リリースによって変わることまとめ
3Dセキュア2.0では動的パスワード認証、端末認証等により、過去の取引履歴などを基にリスクベースの認証が実施されます。従来の3Dセキュアではブランド認証ページに遷移させる動きが必要でしたが、3Dセキュア2.0ではワンタイムパスワード等の認証であるため、お客様の負担であった認証手順が改善され、かご落ちのリスクが削減されます。
リスクベースの認証に関して言えば、カード利用者の決済情報等を基に判断するため、取引の大半は追加認証なしに認証が完了いなりますが、高リスクと判断される取引のみ、ワンタイムパスワード等の追加認証が実施される形になります。
入力の手間やパスワード失念など、3Dセキュア1.0が抱えていた課題を大幅に改善し、安全かつスピーディーなオンライン決済を実現しながらも、顧客の利便性やかご落ち率改善による売上向上が期待できます。
切り替えが進む3Dセキュア
2022年10月11日、経済産業省が開催した「クレジットカード番号等不正利用対策の強化検討会」の第3回会合で、3Dセキュア2.0(EMV 3Dセキュア)の導入を日本国内における全てのEC事業者に義務付ける方針の提言を行い、検討会に出席した委員全員がこれに賛同しました。
これにより、先述の通りカード会社が環境の整備をしながら2025年をめどに全EC事業者の導入を目指すことになりました。
3Dセキュア2.0(EMV 3Dセキュア)の義務付けが決まった背景
前述の会合でクレジットカードの不正利用を防止する基本的な対策として、下記のような内容が提言されました。
・非対面の取引では利用者の確認を間接的にしかできないので、知識・所有・生体の要素を組み合わせた「本人認証」が基本と考えられる
・加盟店・カード会社が保有する顧客の属性情報の活用による不正判定技術が向上しているので、それを活用した不正利用の防止も有効
・3Dセキュア2.0(EMV 3Dセキュア)はこれらの機能を全て含んでいる手法であるため、現時点の不正利用対策としては全てのEC加盟店で3Dセキュア2.0(EMV 3Dセキュア)による「利用者であるのか適切な確認」を実施すべきではないのか
また、将来的に不正利用防止の法的義務を引き上げていくためには、段階的な指針を示すことが期待されるということで、まずはイシュア―(カード発行会社)がEMV 3Dセキュアを完備した上で順次EC加盟店で導入をしていくことが必要であるという導入に向けたスケジュール案も提示されています。
第3回「クレジットカード番号等不正利用対策の強化検討会」で提言された
不正防止義務引き上げに向けたスケジュール案
そしてこうした提言を基に
・加盟店での対応
・決済代行会社での対応
・カード発行会社での対応
という三つの視点から議論が行われました。
特に加盟店での対応に関しては3Dセキュア2.0(EMV 3Dセキュア)による確認の進め方や、カード番号入力以外の方法による決済などイレギュラーな場合の対策のあり方、効果的な導入方法と時期について話し合われました。
その結果、2025年の3月までに全てのEC加盟店にEMV 3Dセキュアの導入を必須とする方針で全会一致となったのです。
1.0のサポート終了で注目が集まる3Dセキュア2.0(EMV 3Dセキュア)
2025年の全EC加盟店への導入が義務付けられること以外にも、3Dセキュア2.0(EMV 3Dセキュア)が注目されている理由があります。それは各クレジットカードブランドが2022年10月をもって3Dセキュア1.0のサポートを終了したということです。
これに伴い、非対面のカード決済時の本人確認は3Dセキュア2.0(EMV 3Dセキュア)以外の方法は認められなくなりました。そして3Dセキュアを導入していてもバージョンが1.0だった場合、本人確認が完了していないということになるため不正利用が発生した際にカード会社が負担していたチャージバックの負担が加盟店側にかかることになっています。
ですので、EC事業者の2.0の導入は2025年の義務化を待たずとも今後さらに進んでいくでしょう。
まとめ
3Dセキュアを利用することで、より安全な環境でクレジットカードを利用することができます。しかし、3Dセキュアを利用しても100%不正利用を防止できるわけでも、絶対安全ということでもありません。 そもそものクレジットカード自体の取り扱い、パスワードの使いまわしをしない等の注意を払うことが必要になります。
2016年にリリースされた3Dセキュア2.0(EMV 3Dセキュア)は、一度しか使えないワンタイムパスワードの導入やリスクベース認証により、利用者の障壁を下げつつより強固なセキュリティ対策を実現させました。
また、カードブランド各社の3Dセキュア1.0のサポートが終了し、2025年には日本国内における3Dセキュア2.0(EMV 3Dセキュア)のEC加盟店への導入が義務付けられるといったように、3Dセキュアを取り巻く情勢が変わりつつあるので、今後はさらに導入が進んでいくと予想されます。
03-3486-2631
