令和6年春期試験問題 午前Ⅰ 問12

3Dセキュア2.0(EMV 3-Dセキュア)は,オンラインショッピングにおけるクレジットカード決済時に,不正取引を防止するための本人認証サービスである。3Dセキュア2.0で利用される本人認証の特徴はどれか。

  • 利用者がカード会社による本人認証に用いるパスワードを忘れた場合でも,安全にパスワードを再発行することができる。
  • 利用者の過去の取引履歴や決済に用いているデバイスの情報から不正利用や高リスクと判断される場合に,カード会社が追加の本人認証を行う。
  • 利用者の過去の取引履歴や決済に用いているデバイスの情報にかかわらず,カード会社がパスワードと生体認証を併用した本人認証を行う。
  • 利用者の過去の取引履歴や決済に用いているデバイスの情報に加えて,操作しているのが人間であることを確認した上で,カード会社が追加の本人認証を行う。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
解説
3Dセキュアは、ネットショッピングなどの非対面でクレジットカードを利用するときに、不正利用を防ぐために本人確認を行う仕組みです。カード決済の際、カード番号や有効期限、セキュリティコード以外に、事前に登録したパスワードの入力を求められることがあります。これが3Dセキュアです。"3D"とは加盟店、カード発行会社とカード会員、国際カードブランドの三者を指します。

従来の3Dセキュア(3Dセキュア1.0)では全ての取引においてパスワード入力が必要でしたが、3Dセキュア2.0ではリスクベース認証が導入され、過去の利用履歴や利用端末などから"リスクが高い"と判断された取引だけに、本人認証を要求するように変更されています。これにより利用者にとっては入力軽減、加盟店にとっては「カゴ落ち(決済時の離脱)」の防止というメリットがあります。また、認証方法としてよりセキュアなワンタイムパスワード・生体認証・QRコードスキャンの採用、クレジットカード以外のモバイルアプリ上での決済にも対応したなどの変更もあります。クレジットカードの不正利用が増加していることを受けて、3Dセキュア2.0は、2025年3月末までに全てのEC事業者で導入が義務化されることになっています。
  • パスワード再発行の仕組みは提供しません。
  • 正しい。リスクベース認証が導入されたのが3Dセキュア2.0の特徴です。
  • リスクベース認証なので、リスクが低いと判断された取引では追加の本人認証は行われません。
  • リスクの評価に使われるのは、カード保有者情報・請求先情報・配送先情報・インターネット利用環境に関する情報などです。操作しているのが人間であるかどうかの情報は、リスクの評価に含まれません。なりすましやボットによる取引には別途対応する必要があります。

Pagetop