CyberSEALs’s diary

セキュリティをカッコよく!を合言葉にセキュリティ関連の情報発信していきます!

3Dセキュアとは

<3Dセキュアとは>

 以前、クレジットカード関連の不正行為についてご紹介(https://blog.hatena.ne.jp/CyberSEALs/cyberseals.hatenablog.com/edit?entry=26006613474972806)しましたが、CNP不正(CNP:カード非提示決済)について覚えて頂いてますでしょうか?

※下記、おさらいです!!

→カード不正のほとんどがこのCNPによるものと言われております。スマホ・PCでのオンライン決済、メールによる注文をする通販など、皆様も日常で馴染みのあるプロセスを利用する不正行為となります。

 

ここでは、

「よくニュースで出てくるクレジットカードの不正利用のほとんどが、このCNPなんだ」と思って頂いてもOKです!

 そして、その対抗策の最有力候補が「3Dセキュア」というわけです。

 

では、3Dセキュアとは何なのでしょうか?

以下で、シンプルにポイントをご紹介致します(^^)/

 

JCB、Visa、Masterが考え出した本人認証の手法の1つ 

・決済時の認証において、クレジットカード情報(有効期限・カード番号等)に加えて、予め登録されたパスワードを使用することでセキュリティレベルを上げる

 

超ざっくり言えば、以上です。

ただこれだけでは寂しいので、少しセキュリティっぽい補足として以下、ご紹介させて頂きます。

 

・クレジットカード情報という認証情報に、パスワードという追加の認証情報を加えることで認証レベルを高めている

・事前に登録されたパスワードは知識認証となるため、クレジットカード情報だけを取得できても不正利用が防げる

・偽のパスワード入力画面にパスワードを入れてしまうとこの仕組みはまったく安全でなくなる(←このために、パーソナルメッセージ*を事前に登録しておく方法がある)

*パーソナルメッセージ:パスワード入力画面で予め登録したメッセージが画面に表示される。偽サイトの場合はメッセージが正しく表示されないので、不正なサイトだと気付ける

 

つまり、認証要素として、

「クレジットカードを所有していること(=①所有による認証)」+「パスワードを知っていること(②知識による認証)」

※③として、生体認証という要素があります。

という二要素による認証をしているということです。

 

ちなみに、二要素認証というのは上記のように異なる要素(①、②、③)を認証に用いる必要があるため、下記のような認証プロセスを実施しても二要素認証とは呼びません。

「クレジットカードを所有していること(=①所有による認証)」+「予め登録された携帯番号にPIN送る(=①所有による認証)」

上記のように同一の要素となるような場合は「二段階認証」or「二経路認証」という別の認証プロセスになると覚えておくとどこかで役立つかもです。(^^)/

 ※以下、ご参考までに!!

 

「二段階認証」:PW+PINコード

「二経路認証」:スマホ+PC(スマホという経路+PCという経路)

 

取り急ぎ、こんなところでしょうか。

以上、少しでも参考になることを祈っております。(笑)(笑)