不定期配信　マウスちゃんとメモリ主任のＩＴ１年生３８

情報の重要性が増す昨今、弊社では情報セキュリティについて、その意義や情報を共有する取り組みを続けています。
担当チームが社内向けにまとめた資料などを基に、軽い読み物を不定期でお届けできればと思いますので、ご笑覧頂ければ幸いでございます。

　朝から何だか浮かない顔のイーさん。聞いて欲しそうにマウスちゃんをちらっと見ます。
「どうされたんですか、イーさん？」
　内心面倒だな、と思いつつ声を掛けると
「聞いてよ、マウスさん」
　早速イーさんが話し始めます。
「最近うちのパソコンのメーラーに、毎日のように『電気料金が未払いです』っていうメールが来てるんだよ・・・」
「未払いなんですか？」
「違うよ！ちゃんと払ってるし！そもそも自動引き落としだし！」
「じゃあ、ただの詐欺メールですね。無視すれば良いんじゃ？」
「もちろん無視はしてるけど、朝からそんなの見ちゃうと、げんなりするというか、『僕、何か悪いことした？』っていう気にもなって・・・」
「イーさんのせいじゃないですって。フィッシング、まだまだ流行ってるらしいですしね。」
「フィッシングかあ。『コンピューターなんか大嫌い』っていう、うちの父が、この前、『フィッシングが』って言いだしてびっくりしたけど。」
「それだけ広く認知もされているし、被害に遭う方も多いってことですよね。クレジットカードの不正利用被害金額がこの１０年で５倍になったそうですよ。」
「その記事、僕も読んだ。政府が対策に乗り出すって。あ、そう言えば、僕、マウスさんに聞きたかったんだ。」
「何ですか？」
「経済産業省が被害を減らすために『３Ｄセキュア』の導入を推奨しているって書いてあったんだけど、『３Ｄセキュア』って何？」

「ＥＣサイトで買い物をしてクレジットカードを使うときの本人確認をもう少し厳格にするための、その仕組みのことですね。例えば、クレジットカードを使わない場合、消費者とＥＣサイトは１対１の関係ですよね？」
　そう問いかけたのはメモリ主任。始業前の忙しい時間帯ですが、質問に来た２人に丁寧に答えます。
「そうですね。ＥＣサイトにログインして、商品を選んで購入手続きをして、支払い手段を選んで決済すると、ＥＣサイトから商品が送られてくる、っていう流れになります。」
　固まるイーさんの代わりに、マウスちゃんが応じます。メモリ主任はうなずいて、
「クレジットカードの場合もその流れは変わりませんでした。ただそれだと、誰かにクレジットカード番号などの情報を盗まれた場合、簡単に決済されてしまいますよね。」
「悪意のある人が、自分でつくったアカウントでＥＣサイトにログインして、決済のときだけ盗んだ情報を入力すれば、品物は悪意ある第三者に、決済は被害者に、ってことになっちゃいます。」
「それでは困るので、消費者とＥＣサイトの１対１に、クレジットカード会社を挟んで三角形にして本人認証をするというのが『３Ｄセキュア』です。」
「三次元的になるから３Ｄ、ですか？」
「いえ、違います。ＤはドメインのＤで、『カード会社とカード利用者』『加盟店管理会社とＥＣ加盟店』『その２つを結ぶ国際的なカードブランド』という３つの領域＝ドメインが連携して本人認証しましょう、というところから付けられた名称だそうです。」
「う・・・いきなり話が難しく・・・」
「実際の仕組みはもう少し分かりやすいですよ。まずカードの利用者はカード会社に事前登録をしておきます。事前登録が、パスワードになるのか、携帯電話番号になるのか、それ以外のものなのかは、カード会社や登録方法によって違います。」
「はい。」
「利用するＥＣサイトの方も『３Ｄセキュア』に対応していることが条件です。利用者がそのＥＣサイトにログインして、買い物して、決済のためにクレジットカード情報を入力すると、ＥＣサイトからカード会社に連絡が行きます。」
「え？」
「『このカードを持っている人がうちで買い物しようとしているので、本物の持ち主かどうか確認して下さい』という連絡が行くわけです。連絡をもらったカード会社は、パスワードの場合なら、『あなたが本人なら事前登録したパスワードを入力して下さい』という画面を利用者の端末に表示します。」
「で、正しいパスワードを入力すると。」
「カード会社からＥＣサイトに『本人だと確認できました』という連絡が行って、決済が完了する、という流れになります。厳密には、ＥＣ側の３Ｄセキュアサーバーからディレクトリサーバーを介してアクセスコントロールサーバーに連絡が行って、という３つのドメインが絡むやりとりがあるわけですが、そこまでは理解していなくても大丈夫だと思いますよ。」

「でも、ログインして、カード情報入力して、またパスワード入力して、って何段階もあると、途中で、やっぱり買うの止めた、ってなっちゃいそうですね。」
「マウスさんの仰る通りです。実は『３Ｄセキュア』には『１．０』と『２．０』と呼ばれるバージョンがあるのですよ。」
「１．０と２．０？」
「最初の１．０では、カード情報入力後の再度の入力が必須で、事前登録もパスワードのみでした。でも、それだと、途中で買い物を止めてしまう利用者が発生してしまいますし、パスワードが盗まれたり忘れてしまうといった危険性もあるので、２．０ではその点が改善されています。リスクベース認証が採用されて・・・という言い方をするとまた難しくなってしまいますね。要は、カード会社に連絡が行った時点で、カード会社が・・・厳密には認証サーバーという判定のためのシステムが、その注文が本人のものかどうかを判定して、本人のものである可能性が高いと判断した場合は最後の入力を省略するのです。もちろん、不正の可能性が高いと判断した場合は最後の入力を要求します。また、認証方法もパスワード以外にワンタイムパスワードや生体認証など複数の手段が用意されるようになりました。こうして、安全性は確保しつつ、利用者の利便性も高めたのが『３Ｄセキュア２．０』というわけです。」

　メモリ主任にお礼を言って席に戻ったマウスちゃん、「すっきりしましたね」とイーさんに笑顔を向けます。
「確かによくわかったけど・・・」対するイーさんはお疲れです。
「すっきりはしてない。『３Ｄセキュア』については分かったけど、根本の問題は解決してない。」
「そう言えばそうですね。ウイルス対策ソフトは入れてないんですか？」
「入れてるよ。それにプロバイダーでも判定してくれるから、そういうメールはたいてい迷惑メールボックスに入ってる。」
「じゃあ、問題ないのでは？」
「でも、迷惑メールボックスって、そんなに見ないことない？で、たまにみて、ボックスのなかにそういうメールがうじゃうじゃいるのを見ると」
「見ると？」
「アレに見えるんだよね。狭い箱の中につかまってる、黒・・・」
「朝からなんてこと言うんですか！？」
　マウスちゃんの悲鳴が響き渡る、さわやかな初夏の１日の始まりでした。