はじめに
ようやく3Dセキュア2.0が昨年にローンチされ、3Dセキュア1.0から2.0への移行が完了しているクレジットカード加盟店さんも少しずつ出てきているようです。決済代行会社やECパッケージによって異なるのですが、今後も3Dセキュア2.0を利用される加盟店さんは増えてきそうです。今回は3Dセキュア2.0の特徴などを解説していこうと思います。
こちらの動画でも解説していますので、併せてご覧ください。
3Dセキュア2.0とは?
3Dセキュアは、インターネット上でクレジットカード決済をより安全に行うために、クレジットカード会社が推奨する本人認証サービスです。
3Dセキュア2.0の話に入る前に従来の3Dセキュア1.0の課題をおさらいしていきます。3Dセキュア1.0には以下の課題がありました。
- パスワードを登録しているユーザーが少ないためセキュリティ対策として不十分
- ユーザーが購入時にパスワードを忘れているケースが多くカゴ落ちが懸念される
3Dセキュア2.0はそういった3Dセキュア1.0の課題を解消しているといわれています。3Dセキュア2.0のフローイメージは以下になります。
3Dセキュア1.0ではパスワードを設定しているユーザーには必ず認証が求められていたのですが、3Dセキュア2.0ではIssuer(カード発行会社)が取引ごとにリスク判定を行います。その際、「リスクあり」と判定された場合のみ、Issuerが任意の本人認証を行うというフローになっています。
- Issuerがリスク判定するので認証する取引は一部になる
- SMSやメールやネイティブアプリを経由したワンタイムパスワード認証や生体認証によって認証を行う
という仕様であるため、3Dセキュア1.0よりもコンバージョン(カゴ落ち)への影響が軽微であるということがいわれています。
そのため、3Dセキュア1.0の課題が解消されるため、3Dセキュア2.0さえあれば不正利用対策は十分と考えている読者の方も多いと思います。
もちろん3Dセキュア2.0も3Dセキュア1.0と同様に第三者利用による不正利用が発生しても、その金銭的な負担はカード会社が負担してくれるケースもありますので、その点では加盟店のリスク対策として有効な手段であることは間違いありません。
※3Dセキュア2.0がローンチされたあとは3Dセキュア1.0のままだと第三者利用による不正利用の金銭的なリスクはカード会社が負担してくれない可能性があるという注意点があります。また、3Dセキュア2.0のローンチはブランドごとにスケジュールが異なり、移行期間の先述のリスクは誰が負担するのかは不透明な部分が残っています。
※3Dセキュア1.0と同様に第三者利用による不正利用の金銭的な負担は全てカード会社が負担してくれるわけではありません。
では、3Dセキュア2.0は不正利用者も排除してくれるのでしょうか?
答えは”No”です。
3Dセキュア2.0は不正対策になり得るのか?
3Dセキュア1.0とは異なる認証方法になるため3Dセキュア2.0移行直後は暫定的に不正利用者が排除されるかもしれません。しかし、不正利用者は趣味で不正をやっているわけではなく生業として不正をしていますので、なんとか突破してやろうと、しつこく何度も不正利用してくるでしょう。
読者の皆さんも体験されているかもしれませんが、1年前の不正利用の手口と今来ている不正利用の手口は同じでしょうか?きっと違いますよね。1年前に通用していた不正対策は、もう今は役に立たなくなってしまうことは少なくありません。
3Dセキュア2.0も暫定的に不正利用者を排除することに対して効果が出ることは間違いないのですが、3Dセキュア2.0が突破されてしまったら、誰がどう対策してくれるのでしょうか?
不正対策は終わりの見えないマラソンといわれています。
特殊詐欺(オレオレ詐欺や振り込め詐欺など)がこれだけ世間的に認知されていて、いたるところで警告し対策を講じているにもかかわらず未だに被害が出ています。ひたすらに不正利用者とこちら側の攻防が繰り返されていくのです。
3Dセキュア2.0が突破されないことが一番望ましい結末ですが、今までの不正利用者のしつこさを見ている限り、3Dセキュア2.0も何らかの方法で突破してくると考えています。
突破されたとき、更なる対策はカード会社、ブランドがしてくれるのでしょうか?
してくれる可能性はありますが、今回3Dセキュア1.0から3Dセキュア2.0にシフトするのも話が挙がってから5年ほど経過しているように、カード会社による次の一手がすぐに打たれるとは考えにくいです。では加盟店側で新しい対策を打てるでしょうか?
今でさえ受注情報の目視チェックという運用で不正利用を見抜くのが困難になっているので、おそらくこれも難しいでしょう。
ここで必要になってくるのが、不正対策を加盟店に寄り添いながら伴走してくれる不正検知システムです。
不正検知システムの必要性
不正検知システムは日頃の受注情報のモニタリングを行い、そこからその加盟店での不正の傾向や特徴を分析し、その加盟店に適したルールの適用、いわゆるチューニング対応も行ってくれます。新しい手口が見受けられたら、それをどう対策すればよいのかも加盟店と一緒になって考えてくれます。そして次の一手を打って、しつこい不正利用者と立ち向かってくれます。終わりのないマラソンを伴走してくれるのです。
※不正検知システムと一口で言っても多種多様なので、すべての不正検知システムが親身になってサポートしてくれるわけではないので注意は必要です。
また、3Dセキュア2.0ではカード会社またはブランドが取得できる情報は決済金額やカード情報などの決済に関わる情報が多く、属性情報を取得するには加盟店のシステム改修が必要です。不正検知システムでは、決済情報に加えて属性情報(端末情報やIPアドレスなど)も取得します。取得する情報が多い分、不正ユーザーの特徴をより鮮明に捉えることができるため、効果的な不正対策が打てるとも考えられます。
最後になりますが、3Dセキュア2.0も必要な不正対策の一手であると考えています。しかしながら、根本的に不正利用者に立ち向かって行くためには、足りない部分があると考えています。そこを補ってくれるのが不正検知システムになります。もし読者の皆さんが3Dセキュア2.0の導入を検討されている中でこの記事を読んでいただいているのであれば、ぜひ3Dセキュア2.0と不正検知システムの併用を検討していただければと思います。
▼ 株式会社アクルへのご相談はこちら
https://akuru-inc.com/
合わせて読みたい
