セブン–イレブンが2019年7月1日にサービスを開始したスマホ決済の「セブンペイ」が、サービス開始からわずか3日間で5,500万円もの不正利用を許してしまったことで、キャッシュレス支払いの安全性に注目が集まっています。
・ 7pay不正利用で露呈したセブン&アイの「ITオンチなのに自前主義」 (ダイヤモンドオンライン)
今回その不正利用に利用されたのは残念なことにスマホ決済アプリとクレジットカード支払いという組み合わせでした。
そして、良くも悪くもこの不正利用で注目を集めたのがセブンペイが安全対策として取り入れると発表した「二段階認証」という言葉です。
今回はこの「二段階認証」という言葉と、同じ安全対策として使われる機会のある「3D Secure(3Dセキュア)」という言葉について詳しく解説していきたいと思います。
この読みものの目次(もくじ)
認証には三大要素がある
まず、はじめに知っておいて欲しいこととして認証には三大要素があるということです。
その三大要素というのは以下の3つになります。
・ 知識認証 Something you know(or Knowledge factor)
・ 所有認証 Something you have(or Possession factor)
・ 生体認証 Something you are(or Inherence factor)
知識認証は本人しか知り得ない情報というものとして、暗証番号やパスワード、秘密の質問、パターンなどがあります。
この知識認証はクレジットカードに限らずキャッシュカードや会員登録など、一次認証として最も利用されているものですね。
所有認証はスマホ(SIMカード)やICチップ搭載型カード、トークン、身分証明証、メールアドレスなど、その人か所有していない所有物となります。
スマホなどであればSMSメッセージで認証確認の番号などを送付したり、トークンなどでもワンタイムパスワードを連絡したりするタイプのものがあります。
また、Google(グーグル)では認証用のアプリとして「Google Authenticator」などでワンタイムパスワードを利用した認証システムを採用していたりもします。
・ Google Authenticator (Android向け)
・ Google Authenticator (iOS向け)
また、クレジットカードにはICチップが搭載されているものがありそれが所有認証の役割を果たしています。
生体認証は指紋、顔、静脈、虹彩(こうさい)、署名(筆跡)など、その人の生体的な特徴を表しているものになります。
指紋認証や顔認証などは身近なところで言えばiPhoneのようなスマホのロック解除にTouch IDやFace IDとして利用されています。
また、虹彩(こうさい)認証という言葉は聞き慣れないかもしれませんが、目の特徴を利用した認証方法になります。
基本的にはこの3つの要素を認証方法として利用して個人のセキュリティが守られています。
認証が多ければ多いほどセキュリティは強固に!しかしデメリットも
認証には三大要素がありますがこれらの一つだけを利用している場合はセキュリティが強固だとは言えません。
むしろ脆弱性(ぜいじゃくせい)があると見たほうがいいです。
多くの認証方法に利用されているのは知識認証です。パスワードや暗証番号のみのセキュリティの場合には、パスワードか暗証番号さえ割り出してしまえばあとは個人情報を自由に操作することが可能になってしまいます。
「では、3つの要素を全て利用すればいいのか?」と言われると最善の方法としては間違いなくそれが一番です。
しかし、人間というのは面倒なことが嫌いな動物なので、認証のたびに暗証番号やパスワードを入力し、スマホやトークンで再度パスワードを入力し、さらに指紋や顔で認証をする・・・なんて行為をしたくないと思ってしまいます。
もしこれがスマホのロック解除に毎回必要となったらほとんどの人はスマホを使うのを嫌になってしまうでしょう。
1つの要素での認証はセキュリティに脆弱性があり、3つの要素で全て認証するのでは手間がかかる・・・。
そこでセキュリティの強さを確保してなおかつ手間をかけない方法として広く採用されいているのが二段階認証という方法になります。
二段階認証とは?
『二段階認証』という言葉と間違えやすい似た言葉として『二要素認証』という言葉があります。
二段階認証と二要素認証という言葉の意味の違いを簡単にまとめると以下のようになります。
・ 二段階認証:同じ要素や異なる要素であれ2回の認証を行う方式
・ 二要素認証:2つの異なる要素(知識、所有、生体)による認証を行う方式
二段階認証の場合、パスワードと暗証番号の認証でも二段階の認証を行うということになります。
しかし、二要素認証の場合はパスワードと暗証番号は同じ知識による認証となるため、それ以外に所有や生体による認証が求められる方式となります。
より安全な方式としては二要素認証となりますが、実際には二要素認証をしている場合でも分かりやすく二段階認証と呼んでいるケースもあります。
3D Secure(3Dセキュア)とは?
クレジットカードのセキュリティや安全性について調べると出てくる言葉として3D Secure(3Dセキュア)というものがあります。
では、3D Secure(3Dセキュア)とはいったい何なのか?
3D Secure(3Dセキュア)というのは分かりやすく言うと、ネットショッピングでクレジットカード払いなどをする際に利用されるパスワードの2段階認証のことを言います。
ちなみにWikipediaでは下記のようにかなり分かりづらく解説していますが、パスワードを利用した認証を行うものと考えておけばいいでしょう。
3Dセキュア(すりーでぃーせきゅあ)とは、クレジットカードによるネットショッピングの決済時に利用される本人認証サービスである。3Dとは3つのドメインのことでイシュアドメインがカード会社を、アクワイアラドメインが加盟店を認証し、相互運用ドメインが取り引きを仲介する。
引用 Wikipedia
通常、クレジットカードでネットショッピングのお支払いをするときに、クレジットカード番号、有効期限、セキュリティコードなどの入力が求められます。
しかし、これらはクレジットカードに刻印、印字されている情報なので第三者が所有していた場合でも利用できてしまいます。
そこで、さらなる安全対策として独自のパスワードを新たに追加することが3Dセキュアというものです。
このパスワードは独自に設定したものや、SMSなどに送られてくるワンタイムパスワードなどよって利用することができるので、クレジットカードだけの情報では第三者には分かりません。
このような安全対策をすることで安全性が格段に上がるということです。
3Dセキュアではリスクベースでの認証ができないため、全ての取引に認証を求めるため使い勝手悪い。
インターフェースが改変できずブラウザのみでしか開かないなどの欠点があり見づらく使いづらいものでした。
また、「3Dセキュア2.0」というものではリスクベースでの認証が可能になり、インターフェースが改変ができるようになりブラウザだけではなくアプリでも利用できるようになりました。
セキュリティ対策を行っている安全なクレジットカードは?
まずはクレジットカード側が2段階認証を採用しているかどうかが重要です。
主要なクレジットカードでは以下のように3Dセキュアを採用しています。
・ 三井住友VISAカード → ネットショッピング認証サービス
・ JCBカード → J/Secure™️(ジェイセキュア)
・ アメリカン・エキスプレス → American Express SafeKey®︎
・ ダイナースクラブ → Protect Buy(2019年夏サービス開始予定)
ダイナースクラブはまだサービスを開始していませんが、喫緊の課題として考えているようなのでもうすぐ安全性の高いカードになることを期待したいですね。
また、独自にクレジットカードを発行していないクレジットカードブランドでも以下のようなセキュリティサービスを取り扱っていますので、各ブランドのクレジットカードをお持ちの方であればセキュリテイサービスを利用することができます。
・ VISA Secure(VISAセキュア) 旧:VISA認証サービス(Verified by VISA)
・ MasterCard SecureCode(マスターカードセキュアコード)
正しい知識を持って安全にキャッシュレスサービスを利用しよう
クレジットカードやスマホ決済というのは人それぞれの大事な資産というものを扱うものであります。
過去にも仮想通貨などが話題になった際には不正ログインで大量の仮想通貨が流出してしまった事件もあります。
仮想通貨取引所コインチェックからNEM580億円相当が不正流出
また、スマホ決済においてもセブンペイだけではなく、PayPay(ペイペイ)なども過去には不正利用をされて3Dセキュアを採用したという経緯もあります。
PayPay(ペイペイ)によるクレジットカード不正利用が重大な被害として報じられていますが、クレジットカードそのものの安全性にも着目してみるべきです。
お金を扱うサービスの安全対策として二段階認証のようなものが用意されていますが、実際に利用しているという人は少ないと思います。
まず、そもそも知らないという人がかなりの数いるのではないかと思います。
こういった安全対策というのは本来は不正を未然に防ぐためのものなのですが、残念ながら実態は不正や流出問題が起こってから注目を集めるという傾向があります。
最終的な安全対策というのはこれらの認証方式を利用する人やサービスを開発する人たちが知ること、認識する事に掛かってくるのではないかと個人的には思います。
以上、クレジットカード豆知識 〜『二段階認証』と『3Dセキュア』について〜
読んで頂きありがとうございました。