決済

【連載第12回】 クレジットカード決済で注目を集める動的認証の新技術とは?

不正利用との戦いと言われるクレジットカード決済。近年では、その対策として動的な認証技術が注目されています。今回は、将来的に国内での普及が期待される新技術を紹介するとともに、国内でもジャパンネット銀行が導入した「3-Dセキュア」のワンタイムパスワード化について取り上げます。

「3-Dセキュア」等の認証ではユーザビリティに課題が
動的な番号を生成するディスプレイ・カードは複数の採用も

国内のクレジットカード決済では、対面よりも非対面の決済のほうが不正利用による被害は顕在化していると言われています。実際、クレジットカード決済の場合、カード番号と有効期限さえ手に入れれば、決済されてしまう危険性があります。多くのサイトでは、その対策として、セキュリティコードによる認証を取り入れていますが、仮にクレジットカードを盗まれた場合、決済は簡単に行われてしまいます。

国際ブランドでは、「3-Dセキュア」による認証を推奨していますが、消費者の認知度は決して高くはありません。また、カード所有者があらかじめカード会社のWebサイトでパスワードを登録しなければならなくなり、決済時に入力項目が増えるため、買い逃しが発生する可能性もあります。実際、3-Dセキュアを導入したある加盟店においては、1カ月間で10~30%の売り上げが減少することもあるそうです。

現状、3-Dセキュアの導入は、オンラインゲームを中心としたごく一部のサイトの利用に限られます。また、残念なことに、過去のVisaの調査を見ても3-Dセキュアの認知度は20~30%とかなり低い状況です。

カード業界では、3-Dセキュアやセキュリティコード以外にも、古くから不正利用対策の研究が進められてきました。たとえば、PCにICカードリーダなどを接続し、カードを挿入もしくはかざしたときにだけ決済が成立する認証方法が挙げられます。同対策は、ソニーファイナンスインターナショナル(SFI)が開発した決済サービス「eLIO(エリオ)」を提供した日本など、各国で試みられましたが、物理的なICカードリーダをPCに接続する手間があるため、普及はしませんでした。

そんな中、実用化された技術もあります。たとえば、国際ブランドでは、動的にカード番号を生成する技術を提供しており、国内でもバーチャルカードナンバーによるプリペイドカードの発行が行われています。同技術を利用することで、ユーザーは一回限り有効なカード番号を利用して、安全な取引が実現できます。

ディスプレイ・カードなど、インタラクティブなカードの導入も期待されています。同分野を代表する企業であるnagraID Security社が2005年来開発を行っているディスプレイICカードは、二要素認証を行うためのワンタイムパスワード生成機能をクレジットカードやデビットカードなどのディスプレイ・カード対応のバンクカードに搭載し、カード上のディスプレイに“ワンタイムパスワード”を表示することが可能です。すでに、パリバ銀行系であるトルコのTEB、スタンダードチャータード銀行、インドの大手商業銀行であるICICI銀行、台湾の永豊銀行、ルーマニアのCarpatica銀行等にディスプレイ・カードのサービスを提供しています。

ただし、同カードに対応する加盟店は、16桁のカード番号に加え、新たに6桁の入力フォームを追加する必要があり、Webサイトの修正が必要でした。そのため、新たに3桁のセキュリティコードを可変させるカードを開発。これにより、加盟店のサイトを修正する必要なく、カード決済処理が可能となりました。

MasterCardでは、複数のセキュリティを使用する多層認証を実施することにより、取引の安全性強化を実現する「Authentication」の研究を進めています。Authenticationでは、スマートフォンのカメラを利用した顔認証とAppleの「Touch ID」を組み合わせた二要素認証などを実現可能です。また、心臓の鼓動でユーザーを識別できるデバイス「Nymi」を利用した認証のデモも行われています。

「JNB Visaデビット」3-Dセキュアのワンタイムパスワードを導入
表示された番号は60秒で無効に

なお、日本では、2014年10月から、ジャパンネット銀行の発行する「JNB Visaデビット」において、国内で初めて「ワンタイムパスワード」による「3-Dセキュア」の認証方式を導入しました。通常、Visa認証サービスには、利用者自身でパスワードの事前登録が必要ですが、ジャパンネット銀行では、日頃ネットバンキングで使用されているトークン式ワンタイムパスワードが利用できます。報道によると、これまで、3-Dセキュアを必須としているネットショップやオンラインサービスでは、JNB Visaデビットを利用できなかったそうですが、Visa認証サービスの導入により、これまで以上に幅広いシーンでJNB Visaデビットを利用できるようになったそうです。また、ワンタイムパスワードはトークンに表示されるため、忘れる心配がありません。さらに、表示された番号は60秒で無効になるため、より安心して利用できるそうです。

ジャパンネット銀行は、口座開設者にトークンを配布しているため、決済サービスに応用できましたが、実際にすべてのクレジットカードやデビットカードに適用するのはコスト的な課題もあります。ただ、将来的にはモバイルと連動したサービスなど、コストを抑えたワンタイムパスワード認証を活用するケースも出てくるかもしれません。

nagraID Securityが開発したインタラクティブカード
(出典:nagraID Security http://www.nidsecurity.com/)