3Dセキュア
Mastercard Identity Checkは3Dセキュアの実装です

3Dセキュアは、オンラインのクレジットカードおよびデビットカード取引におけるセキュリティ強化のために設計されたプロトコルです。この名称は、このプロトコルを介して相互に作用する「3つのドメイン」、すなわち加盟店/アクワイアラードメイン、発行者ドメイン、そして相互運用性ドメインを指しています。[ 1 ]

1999年秋、Celo Communications AB(Gemplus Associatesに買収され、Gemplus、Gemalto、そして現在はThales Groupに統合)がVisa Inc.向けに「p42」(「p」は棒高跳びの大きな挑戦を意味する「p」、そして「42」は『銀河ヒッチハイク・ガイド』の解答から)というプロジェクトで開発しました。その後、2000年から2001年にかけてGemplusによって新しいアップデート版が開発されました。

2001年、Arcot Systems(現CA Technologies)とVisa Inc. [ 2 ]、インターネット決済のセキュリティを向上させる目的で、Verified by Visaブランド(後にVisa Secureにブランド変更)を提供しました。このプロトコルに基づくサービスは、MastercardによってSecureCode(後にIdentity Checkにブランド変更)として、 DiscoverによってProtectBuyとして、[ 3 ] JCB InternationalによってJ/Secureとして、American ExpressによってAmerican Express SafeKeyとして採用されました。[ 4 ]その後、このプロトコルの改訂版はEMVCoによってEMV 3-D Secureという名前で作成されました。このプロトコルのバージョン2は、新しいEU認証要件に準拠し、元のプロトコルのいくつかの欠点を解決することを目的として、2016年に公開されました。[ 5 ]

学術界によるプロトコルの最初のバージョンの分析では、フィッシング攻撃の標的となる表面積の拡大や不正な支払いがあった場合の責任の転嫁など、消費者に影響を与える多くのセキュリティ上の問題があることが示されています。[ 6 ]

説明と基本的な側面

このプロトコルの基本コンセプトは、金融承認プロセスとオンライン認証を連携させることです。この追加セキュリティ認証は、3つのドメインモデル(名前の「3-D」の由来)に基づいています。3つのドメインとは、以下のとおりです。

  • アクワイアラードメイン(お金が支払われる銀行と加盟店)、
  • 発行者ドメイン(カード発行会社)
  • 相互運用性ドメイン(クレジットカード、デビットカード、プリペイドカード、その他の決済カードなど、カード会社が提供する3Dセキュアプロトコルをサポートするインフラストラクチャ)。これには、インターネット、加盟店プラグイン、アクセス制御サーバー、その他のソフトウェアプロバイダーが含まれます。

このプロトコルは、 SSL接続を介して送信されるXMLメッセージをクライアント認証[ 7 ]とともに使用します(これにより、デジタル証明書を使用して、サーバーとクライアントの両方の信頼性が保証されます)。

Visa認証サービスまたはSecureCodeを利用した取引は、取引の承認のためにカード発行会社のウェブサイトへのリダイレクトを開始します。各カード発行会社はあらゆる種類の認証方法を使用できます(このプロトコルではこれをカバーしていません)。通常、オンライン購入時にはカードに紐付けられたパスワードを入力します。Visa認証サービスプロトコルでは、カード発行会社の認証ページをインラインフレームセッションで読み込むことを推奨しています。この方法であれば、ほとんどのセキュリティ侵害の責任はカード発行会社のシステムに帰属できます。今日では、少なくとも登録時やパスワードを忘れた場合など、認証のためにユーザーの携帯電話やメールアドレスに SMSテキストメッセージの一部としてワンタイムパスワードを送信することは簡単です。

Visa と Mastercard の実装の主な違いは、UCAF (Universal Cardholder Authentication Field) を生成する方法にあります。Mastercard は AAV (Accountholder Authentication Value) を使用し、Visa は CAVV (Cardholder Authentication Verification Value) を使用します。

3Dセキュアフロー

ACSプロバイダー

3Dセキュアプロトコルでは、ACS(アクセス制御サーバー)はカード発行会社側にあります。現在、ほとんどのカード発行会社はACSをサードパーティに委託しています。通常、購入者のウェブブラウザにはカード発行会社のドメイン名ではなく、ACSプロバイダーのドメイン名が表示されますが、これはプロトコル上必須ではありません。ACSプロバイダーによっては、カード発行会社が所有するドメイン名をACSで使用するために指定することも可能です。

MPIプロバイダー

3Dセキュア バージョン1の各取引には、VEReq/VEResとPAReq/PAResという2つのインターネットリクエスト/レスポンスのペアが含まれます。[ 7 ] VisaとMastercardは、加盟店が自社のサーバーに直接リクエストを送信することを許可していません。加盟店は代わりにMPI(加盟店プラグイン)プロバイダーを使用する必要があります。

商人

加盟店にとってのメリットは、「不正取引」によるチャージバックの削減です。一方、加盟店にとってのデメリットは、 VisaまたはMastercardのディレクトリサーバーに接続するために加盟店プラグイン(MPI)を購入する必要があることです。これは高額(初期費用、月額費用、取引ごとの費用)ですが、同時にMPIプロバイダーにとっては追加収益となります。3Dセキュアへの対応は複雑で、場合によっては取引が失敗することもあります。加盟店にとっておそらく最大のデメリットは、多くのユーザーが追加の認証手順を煩わしく、障害と見なすことです。その結果、取引の放棄が大幅に増加し、収益の損失につながります。[ 8 ]

購入者とクレジットカード所有者

3Dセキュアの現在の実装のほとんどでは、カード発行会社またはそのACSプロバイダーが購入者にパスワードの入力を求めますが、このパスワードはカード発行会社またはACSプロバイダーと購入者のみが知っています。加盟店はこのパスワードを知らず、取得する責任もないため、カード発行会社は購入者がカード所有者であることを証明するためにこのパスワードを利用できます。これは、以下の2つの方法でリスクを軽減することを目的としています。

  1. カード自体に番号を書き留めるか、改造された端末や ATM を介してカードの詳細をコピーしても、追加のパスワードはカードに保存または書き込まれていないため、インターネットでの購入はできなくなります。
  2. 販売業者はパスワードを取得しないため、オンライン販売業者でのセキュリティ インシデントのリスクは軽減されます。インシデントによってハッカーが他のカードの詳細を入手する可能性はありますが、関連するパスワードを入手する方法はありません。

3Dセキュアはパスワード認証を厳密に必要としません。スマートカードリーダーセキュリティトークンなどと組み合わせて使用​​できると言われています[ 9 ] 。これらのデバイスは、購入者が安全なパスワードを入力する必要がなくなるため、顧客にとってより優れたユーザーエクスペリエンスを提供できる可能性があります。一部のカード発行会社は、チップ認証プログラムやダイナミックパスコード認証スキームの一部として、このようなデバイスを使用しています[ 10 ] 。

大きなデメリットの 1 つは、ベンダーの MPI 実装とカード発行会社によるアウトソーシングされた ACS 実装の使用の結果として、カード所有者がブラウザが見慣れないドメイン名に接続するのを目にする可能性が高く、カード所有者に対するフィッシング攻撃が容易になる可能性があることです。

一般的な批判

サイトのアイデンティティの検証可能性

このシステムでは、オンライン取引のプロセス中にポップアップウィンドウまたはインラインフレームが表示され、カード所有者はパスワードの入力を求められます。取引が正当なものであれば、カード発行会社はそのパスワードを認証できます。カード所有者にとっての問題は、ポップアップウィンドウまたはフレームが本当にカード発行会社からのものかを見極めることです。カード所有者の個人情報を盗み取ろうとする不正なウェブサイトからのものである可能性もあります。このようなポップアップウィンドウやスクリプトベースのフレームはセキュリティ証明書にアクセスできないため、3Dセキュアの実装の認証情報を確認する方法がありません。

Visa認証システムは、正当なVisa認証ポップアップウィンドウやインラインフレームと、詐欺的なフィッシングサイトをユーザーが区別しにくいという批判を受けています。 [ 11 ] [ 12 ] [ 13 ] [ 6 ]これは、ポップアップウィンドウが以下のドメインから提供されているためです。

  • ユーザーが買い物をしているサイトではない
  • カード発行会社ではない
  • visa.comやmastercard.comではない

場合によっては、Verified by Visa システムがユーザーからフィッシング詐欺と誤解され[ 14 ]、それ自体がフィッシング詐欺の標的になったこともあります[ 15 ] 。ポップアップの代わりにインライン フレーム ( iframe )を使用するという新しい推奨事項により、ユーザーの混乱は軽減されましたが、その代償として、そもそもページが本物であることをユーザーが確認することが困難になり、場合によっては不可能になりました。2022 年現在、Web ブラウザーは iframe のコンテンツのセキュリティ証明書を確認する方法を提供していません。ただし、Verified by Visa のサイトの有効性に関するこれらの懸念の一部は軽減されています。現在の登録プロセスの実装では、個人メッセージの入力が必要であり、このメッセージが後で Verified by Visa のポップアップに表示されるため、ユーザーにポップアップが本物であることをある程度保証できます[ 16 ] 。

一部のカード発行会社は、ショッピング中のアクティベーション(ADS)[ 17 ]も利用しています。これは、この制度に登録していないカード会員に対し、購入手続き中に登録の機会(または登録を強制される)を提供するものです。通常、カード会員はフォームに誘導され、カード発行会社が把握しているはずのセキュリティに関する質問に答えることで本人確認を求められます。これもまた、iframe内で行われるため、カード会員は情報提供先のサイトを容易に確認することができません。つまり、不正なサイトや不正な販売業者は、このようにして顧客になりすますために必要な詳細情報をすべて収集できるのです。

3-D Secure サインアップを実装すると、多くの場合、ユーザーは 3-D Secure へのサインアップとその利用規約に同意するまで購入を続行できず、ページを閉じる以外にページから離れる方法は提供されず、取引が中止されることになります。

購入時にカードを登録するリスクを負いたくないカード会員は、コマースサイトがブラウザをある程度制御しているため、場合によっては別のブラウザウィンドウでカード発行会社のウェブサイトにアクセスし、そこから登録することができます。コマースサイトに戻って最初からやり直すと、カードが登録されているはずです。パスワードページに、登録時に選択した個人認証メッセージ(PAM)が表示されていれば、そのページがカード発行会社から送信されたものであることがわかります。しかし、カード会員がパスワードページのTLS/SSLサーバー証明書を検証できない場合、中間者攻撃を受ける可能性が依然として残ります。一部のコマースサイトでは、安全性の低いフレーム(必ずしもiframeとは限らない)ではなく、ブラウザページ全体を認証に割り当てています。この場合、ブラウザのロックアイコンには、カード発行会社または認証サイトの運営者のIDが表示されます。カード会員は、認証サイトがカード発行会社のドメインでない場合、カード登録時にアクセスしたドメインと同じドメインであることを確認できます。

モバイルブラウザは、フレームやポップアップなどの特定の機能が不足していることが多いため、3Dセキュアにとって特に問題となります。加盟店がモバイルウェブサイトを運営していても、カード発行会社がモバイル対応していないと、認証ページが正しく表示されない、あるいは全く表示されない可能性があります。結局のところ、多くのアナリストは、ショッピング中のアクティベーション(ADS)プロトコルは、リスクを軽減するよりもむしろリスクを招き、さらにそのリスクを消費者に転嫁していると結論付けています。

3Dセキュアは、カード会員にとってセキュリティがほとんど提供されない場合があり、不正取引の責任をカード発行会社や小売業者からカード会員に転嫁する手段として機能する可能性があります。3Dセキュアサービスに適用される法的条件には、カード会員が不正取引の責任を逃れることを困難にする文言が含まれている場合があります。[ 6 ]

地理的差別

カード発行会社と加盟店は、複数の地理的地域でカードを発行するカード発行会社に対して3Dセキュアシステムを不均等に使用する可能性があり、例えば、米国国内発行カードと米国外発行カードの間に差別化が生じることがあります。例えば、VisaとMastercardは、米国非法人領土であるプエルトリコを米国国内ではなく米国外の国際地域として扱っているため、プエルトリコのカード所有者は、全米50州のカード所有者よりも3Dセキュアに関する問い合わせに頻繁に遭遇する可能性があります。この点に関する苦情は、プエルトリコ消費者局の「平等な扱い」に関する経済的差別に関するウェブサイトに寄せられています。[ 18 ]

強力な顧客認証としての3Dセキュア

ワンタイム パスコードを組み込んだ 3-D セキュア バージョン 2 は、EU の改定決済サービス指令 (PSD2)で定義されているソフトウェア ベースの強力な顧客認証の一種です。以前のバージョンでは静的パスワードが使用されていましたが、これは指令の要件を満たすには不十分でした。

3-D セキュアは、発行者が積極的に関与し、発行されたカードがカード所有者によって登録されることを保証していることに依存しています。そのため、アクワイアラーは、強力な顧客認証を実行せずに未登録のカードを受け入れるか、3-D セキュアを実装していない小規模なカード スキームからの取引を含め、そのような取引を拒否する必要があります。

代替アプローチとしては、発行者への事前登録を必要とせず、加盟店側で認証を行うものがあります。例えば、PayPalの特許取得済みの「検証」[ 19 ]では、クレジットカード宛ての1つ以上のダミー取引を使用し、カード所有者はこれらの取引の金額を確認する必要がありますが、その結果得られる認証は、加盟店とカード所有者間の特定の取引に直接関連付けることはできません。特許取得済みの[ 20 ]システムであるiSignthisは、合意された取引金額を2つ(またはそれ以上)のランダムな金額に分割し、カード所有者は明細書に記載されている金額を確認することで、自分がアカウントの所有者であることを証明します。[ 21 ]

ACCCが3Dセキュア提案を阻止

オーストラリアで3Dセキュアを義務化する提案は、多数の異議申し立てと欠陥関連の意見が寄せられた後、オーストラリア競争消費者委員会(ACCC)によって阻止されました。 [ 22 ] 2020年5月、強化されたシステムへの移行がACCCによって承認されました。例:https://www.visa.com.au/run-your-business/small-business-tools/payment-technology/visa-secure.html ;詳細はこちら:https://www.accc.gov.au/about-us/news/media-updates/accc-authorises-industry-coordination-to-migrate-card-payments-system-to-more-secure-encryption-standard

インド

インドなど一部の国では、CVV2だけでなく3Dセキュアも必須となっています。3Dセキュアとは、カード発行会社からSMSで送信されるコードをブラウザに入力する仕組みで、「購入」をクリックすると決済システムまたはカード発行会社のサイトにリダイレクトされ、そこでコードを入力するまで操作が承認されない仕組みです。しかし、Amazonは3Dセキュアが有効になっている他の国からの取引も引き続き受け付けています。[ 23 ]

3Dセキュア2.0

3Dセキュア2.0(Visaセキュア)のプロンプトの例。顧客に銀行のモバイルアプリを開いて認証するように指示しています。

2016年10月、EMVCoは3-Dセキュア2.0の仕様を公開しました。この仕様は、最初のバージョンよりも利用者の介入が少なく、顧客のカード発行会社に、取引のリスクを検証・評価するために、より多くのコンテキストデータ(郵送先住所や取引履歴など)を送信できるように設計されています。顧客は、取引が高リスクと判断された場合にのみ、認証チャレンジに合格する必要があります。さらに、認証ワークフローは、別のページへのリダイレクトを必要としない設計になっており、金融機関のモバイルアプリ(生体認証と併用可能)を介して帯域外認証を有効化することもできます。3-Dセキュア2.0は、EUの「強力な顧客認証」要件に準拠しています。[ 5 ] [ 24 ] [ 25 ]

参照

参考文献

  1. ^ 「3-Dセキュア」
  2. ^ 「Visa USA、Arcotでセキュリティを強化」 ZDnet。
  3. ^ "ProtectBuy" . discover.com. 2019年8月22日時点のオリジナルよりアーカイブ。 2019年8月22日閲覧
  4. ^ "SafeKey" . AmericanExpress.com. 2011年8月7日時点のオリジナルよりアーカイブ。 2010年8月11日閲覧
  5. ^ a b「加盟店は『PSD2』と『SCA』を曖昧な頭文字のままにしておくことはできない」 PaymentsSource 2019年6月12日。 2019年7月11日閲覧
  6. ^ a b cマードック, スティーブン・J.;アンダーソン, ロス(2010年1月25~28日). シオン, R. (編). VisaとMasterCardのセキュアコードによる認証:あるいは、認証の設計における誤り(PDF) . 金融暗号とデータセキュリティ FC2010. 第6052巻. テネリフェ島: シュプリンガー. pp.  336– 342. doi : 10.1007/978-3-642-14577-3_27 . ISBN 978-3-642-14992-4. 2012年4月23日閲覧
  7. ^ a b「Verified by Visa 実装ガイド」(PDF)
  8. ^ 「Verified by VisaとMasterCardのSecureCodeはコンバージョンを阻害するのか?」 practicalecommerce.com、2013年6月14日。 2013年7月30日閲覧この 2010 年の調査では、プログラムに新たに参加した小売業者における取引放棄件数が 10% ~ 12% 増加したことが記録されています。
  9. ^ 「カード認証と3Dセキュア」 . stripe.com . 2021年8月25日閲覧
  10. ^ 「3Dセキュアとは? Eコマースのメリット」 MONEI . 2021年8月25日閲覧
  11. ^ 「Antiworm: Visa認証(Visaフィッシング詐欺?)」 Antiworm.blogspot.com、2006年2月2日。 2010年8月11日閲覧
  12. ^ Muncaster, Phil. 「Industry lays into 3-D Secure - 2008年4月11日」 . IT Week. 2008年10月7日時点のオリジナルよりアーカイブ2010年8月11日閲覧。
  13. ^ Brignall, Miles (2007年4月21日). 「Verified by Visa scheme confuses thousands of internet shoppers」 . The Guardian . ロンドン. 2010年5月6日時点のオリジナルよりアーカイブ2010年4月23日閲覧。
  14. ^ 「securesuite.co.ukはフィッシング詐欺か?」 Ambrand.com。2010年6月16日時点のオリジナルよりアーカイブ2010年8月11日閲覧。
  15. ^ 「Verified By Visa Activation – Visa Phishing Scams」 MillerSmiles.co.uk、2006年8月22日。2010年7月8日時点のオリジナルよりアーカイブ。 2010年8月11日閲覧
  16. ^ 「Verified by Visa FAQs」 www.visa.co.uk 201610月6日閲覧
  17. ^ 「ショッピング中のアクティベーション」(PDF) . Visa Europe . 2010年8月11日閲覧
  18. ^ "daco.pr.gov" . daco.pr.gov. 2014年8月12日時点のオリジナルよりアーカイブ2014年7月17日閲覧。
  19. ^ 「US2001021725 金融商品を検証するためのシステムおよび方法」 . Patentscope.wipo.int. 2002年1月17日. 2014年7月17日閲覧.
  20. ^ 「AU2011000377 トランザクション検証方法およびシステム」 . Patentscope.wipo.int . 2014年7月17日閲覧
  21. ^ 「EPCA決済サミット:iSignthisが3Dセキュアの代替として認証サービスを発表」。The Paypers。2013年11月1日時点のオリジナルよりアーカイブ。 2014年7月17日閲覧
  22. ^ 「ACCC、オンライン決済における3Dセキュアの使用義務化に反対する決定案を発表」
  23. ^ 「Amazon.in ヘルプ:CVVと3Dセキュアについて」 www.amazon.in 2021年6月24日時点のオリジナルからのアーカイブ2020年6月17日閲覧。インド準備銀行は、オンラインショッピングの安全性を確保するため、3Dセキュアパスワードの入力を義務化しました。これにより、紛失・盗難カードの不正利用を防ぐことができます。ユーザーは、ご自身で作成し、ご自身だけが知っているカードに関連付けられたパスワードを入力しない限り、先に進めなくなります。
  24. ^ 「Adyen、3Dセキュア2.0サービスを市場初と宣伝」 Digital Transactions . 2019年7月11日閲覧
  25. ^ Godement, Olivier. 「Stripe: 3D Secure 2 - 3DS2認証ガイド」 . Stripe . 2019年7月11日閲覧

「 https://en.wikipedia.org/w/index.php?title=3-D_Secure&oldid=1333177313」より取得