[2] 3Dセキュア2.0とは？

[toc]

不正アクセスによってカード情報が漏えいする事故が増加しています。これに伴う偽造カードによる取引や、ネット取引上でのなりすましといった不正使用被害が増加しています。中でも、非対面取引において、加盟店（決済代行会社）はパスワード入力による本人認証等が求められています.

カード所有者、加盟店、アクワイアラ（加盟店管理会社）、イシュア（カード発行会社）から構成されます。イシュアは、マルマルカードと呼ばれているものです。VISAやMasterCard、JCBといった国際ブランド、または国内ブランドから、そのブランドのクレジットカードを発行する権利を貸与されています。イシュアの業務は、カード会員に発行したクレジットカードの利用状況から利用金額を請求する業務、ポイントなどの各種サービスを提供などです。アクワイアラ（Acquirer）は、加盟店の開拓や管理を行います。クレジットカードが使える商品やサービスの提供者（加盟店）を増やす役割を果たします。イシュアとアクワイアラが同一の場合もあります。 

 3Dセキュア1.0は、これらの以下の3つのドメイン、 

• • • イシュアドメイン：イシュアがカード利用者の本人認証を行う
    • アクワイアラドメイン：アクワイアラが加盟店の認証を行う
    • 相互運用ドメイン：上記ドメイン間で取引データの受け渡しを行う 

を利用して、カード利用者と加盟店が、互いを確認し合ってカード決済を行う方法が3Dセキュア1.0の考え方です。下図に各ドメインの領域を示しています。 

 カード登録時に、カード利用者がカード発行会社に対してあらかじめパスワードとパーソナルメッセージを登録します。カード決済時には、カード利用者がカード番号や有効期限を入力します。次に、カード利用者が登録したパーソナルメッセ―ジを表示して、カード利用者は正しいサイトであることを確認します。更に、パスワード入力し、そのパスワードをイシュアに送信します。このパスワードを照合してカード利用者が本人であることを確認します。本人確認後に、カード決済を完了します。  

以下に各ドメインを構成する重要な要素を説明します。

 加盟店プラグイン（Merchant Plug-In/MPI）ソフトウェア :  アクワイアラードメインは、加盟店、決済代行会社、アクワイアラ銀行が存在する場所です。それらのエンティティは、認証してほしい取引を開始します。それを行うには、アクワイアラースペース内のエンティティが「MPI」とも呼ばれる「加盟店プラグイン」ソフトウエアを導入する必要があります。このソフトウエアは、低コストでカード決済を簡単に導入でき、インターネット上のカードの不正使用を大幅に軽減できます。 

 アクセス制御サーバー（ACS）: イシュアドにはアクセス制御サーバーがあります。このサーバーは、加盟店の3Dサーバーから3Dセキュアメッセージを受信します。そして、そのメッセージを処理して、カード利用者を認証します。追加認証のときは、カード利用者から追加認証データを受信し、カード利用者を認証します。いずれの場合も認証結果は、加盟店の３Dサーバーへ転送されます。 

 ディレクトリサーバー : ネットワーク上の資源とその所在や属性、設定などの情報を収集・記録し、検索できる機能をを提供するコンピュータやソフトウェアのことです。 これは、国際ブランドによって配備されるディレクトリ・サーバーのみから構成されています。カードとカード利用者を認証したい場合、加盟店は、すべての銀行識別番号BIN（ Bank Identification Number) 範囲の「ディレクトリ」を保持している国際ブランドのディレクトリ・サーバーにメッセージを送信します。 ディレクトリ・サーバーは、加盟店プラグイン MPIからメッセージを受信し、保持しているBIN範囲ディレクトリでカード番号を照合し、そのメッセージを適切なイシュア銀行に転送します。次に、イシュア銀行はカード利用者を認証します。 

３Dセキュア1.0では、常にパスワードや指紋の本人認証が必要な安全性重視の仕様でした。そのため、面倒で不評であったため、利用が限定されていました。そのため、カゴ落ち率が増加してしまいました。カｺﾞ落ちとはネットショップを訪れたお客さまが、商品をカートに入れたにもかかわらず購入しないままサイトから離脱してしまうことを指します。これらの点を改良する目的で３Dセキュア2.0が考案されました。

クレジットカードの不正利用が起こったときに、カード会社が店舗に対して売上金額の返金請求をするチャージバック制度があります。その場合は、カード会社から入金された売上金額を返金するが、発送済みの商品は戻らないため、店舗側の損失となる。3Dセキュア1.0では、チャージバックが発生したときに、カード発行会社から取り消された売上金額分の補償を受けられます。しかし、今後3Dセキュア2.0が導入されていない場合は、補償が受けられなくなる恐れがあります。そのため、店舗側の損失が今まで以上に大きくなる可能性があります。3Dセキュア1.0のサポート終了日時が2022年10月以降にサポート終了にともない、チャージバック時の補償も終了する見込みです。 

3Dセキュア2.0の特徴は以下の3つです。 

• リスクベース認証
• スマートフォン決済
• ワンタイムパスワードや生体認証 

すでに複数のカード決済では導入が完了しており、3Dセキュア2.0が設定されたクレジットカードでないと決済できないようになっています。 

カード利用にリスクがないとシステム側が判断した場合は、簡単にカード利用ができます。カード情報や決済情報入力するだけで本人認証が不要です。

ーー摩擦なしユーザー認証ーー 

（１）カード利用者は、カード入力情報を加盟店Webサイトに入力・送付します。更に、加盟店３Dサーバーにデータが引き渡されます。 カード入力情報には、カード番号、氏名、有効期限、セキュリティコードなどが含まれています。

（２）加盟店３Dサーバーは、認証要求を国際ブランドのディレクトリサーバーDSに送付します。更に、ディレクトリサーバーからイシュアのアクセス制御サーバーACSに送付します。 

（３）アクセス制御サーバーACSは認証OKと判断すれば、認証応答を加盟店３Dサーバーに返送します。 

（４）加盟店３Dサーバーは、認証応答をブラウザに結果を通知します。 

――支払い許可ーー 

（９）加盟店は、アクワイアラや支払いプロセッサに認可要求を発行します。 

（１０）アクワイアラは、イシュアと共に支払許可のプロセスを進めます。その結果は加盟店へ返答されます。 

（注）リスクなしのケースには、（１)-（４）と（９)-（１０）は連続して実行されます。リスクありのケースでは、間に（５）-(８）が挿入されます。 

この場合もリスクなしケースの場合と同様、（１）-（４）が実行されます。カード利用にリスクがあるとイシュアのアクセス制御サーバーACSが判断した場合でも、ステップ（３）（４）が実行されます。このとき、アクセス制御サーバーの認証応答が、パスワードや指紋による追加本人認証が要求する内容に変わります。この異なる認証応答は、加盟店３Dサーバーを介してカード利用者に通知されます。 

ーー摩擦なし認証ーー 

（１）ー（４）前述と同じ 

ーー追加チャレンジ認証ーー 

（５）クライアントはイシュアのアクセス制御サーバーACSへチャレンジ要求を送付します。このとき、カード利用者が入力した追加の認証データも送付されます。 

（６）アクセス制御サーバーACSは認証して、その結果をチャレンジ応答としてクライアントへ返送します。（必要であれば、（５）ー（６）を認証判定ができるまで繰り返します。） 

（７）アクセス制御サーバー ACSは国際ブランドのディレクトリサーバーDSを介して加盟店３Dサーバーに認証結果を結果要求として送付します。 

（８）加盟店３Dサーバーは結果要求を受信したことを、結果返答としてアクセス制御サーバー ACSに返送します。 

――支払い許可ーー 

（９）ー（１０）前述と同じ 

追加の本人認証を実行するかしないかは、システム側で自動的に判断します。利用コンピュータ、利用金額などが過去の実績と大きく違う場合は、追加認証が必要になります。カードの不正利用のケースは、このケースに含まれ、パスワードや指紋が入力できないので、不正利用が防げることになります。 

2022年10月から本格的にリスクベース認証の３Dセキュア2.0が導入されます。今回はカード決済の仕組みについて解説しています。この方式が決済の切り札になるか、今後の動きが注目されます。仕様からわかる仕組みだけでなく、実装方法にも性能が依存するらです。カード決済は本来、大変安全性の高いセキュリティチップを搭載したカードを利用したものでした。リスクベース認証は、リスクが小さい場合に低安全性、高利便性にする手法です。３Dセキュア2.0の実装によっても安全性が大きく左右されます。このため、利便性追求のため安全性が犠牲になっていないか十分見分ける必要があるでしょう。

［１」EMV 3-D Secure "Protocol and Core Functions Specification", 2016 EMVCo