Comments
Description
Transcript
eコマースにおける個人認証の変遷
eコマースにおける個人認証の変遷 2013,10,28 リアルの取引における個人認証 本 人 認 証 手 段 店員によるサイン (署名)確認 暗証番号入力 (PIN) オンライン承認 オンライン売上処理 オンライン承認 オンライン売上処理 店員によるサイン (署名)確認 1234 5678 9012 売 上 承 認 処 理 無効番号表確認 電話で承認 売上伝票郵送 承認保留と電話確認 AIによるチェック カードを所有していることおよびサインが背面のサインパネルと一致するか?暗証番号が正 しいかで個人認証が行われる。偽造を防ぐことが大きな課題だった。 偽 造 対 策 偽造しにくい デザイン ホログラム ICチップ Copyright© 2013 Mitsubishi UFJ NICOS Co., Ltd. All Rights Reserved. 2 ECにおける個人認証 黎 明 期 Ø 何らかの方法で盗用した カード番号で商品を購入 転売する犯罪が発生 ü ECでカード番号を入力すれば商品の購入が可能だった Ø 利用否認された場合 はキャンセル処理 ü PKIを利用したSET(Secure Electronic Transac;on)開発 ECで使用する機器にクライアント証明書とワレットを実装 ü ワレットを使用するためにはID、PASSWORDが必要であ り極めて安全性が高い仕組みであった Ø SETを扱うにはPCのス ペックや回線環境、 Ø OS安定性、顧客のリテラ シーに問題があり、早い 時期に破たん ü 「カードを所有している人間しかカード番号はわからない」 という前提でスタート 認 証 強 化 試 セキュリティコードの利用 現 在 取 組 ü カード会社(発行会社)とカードブランドだけが管理するEC 取引専用のID、PASSWORD利用してカード取引を行う ü カード番号が店舗側にも通知されずに取引が行われるた め安全性が高い Copyright© 2013 Mitsubishi UFJ NICOS Co., Ltd. All Rights Reserved. Ø 現状では最良と思われる 仕組みではあるが、ID、 PASSWORDがわかれ ば突破することも可能 Ø 大手ECサイトは不採用 3 ID、PASSWORD依存の問題点 顧客の固定化や利便性のため、個人情報や課金のためのカード情報を登録させるWebサイトが大量に存在する。 通常その後の利用のためID、PASSWORDが発行されるが、消費者は多数のID、PASSWORDを覚えていられな いため、すべてのWebサイトで同じID、PASSWORDを使用している消費者も多数いる。 金融会社のサイ トで個人情報管 理が徹底されて いる A社サイト 同じID、PASSWORDを すべてのサイトで使用 個人レベルの業者が 作成したサイトでほと んどセキュリティを考 C社サイト 慮していない B社サイト 大手モールのサ イトで個人情報 は厳重に管理さ れている 不正利用 攻撃 不正被害の変化 当初はPCや家電等換金性 が高い商品を詐取し、転売 する方法が発生 その後店舗側が大量注文 や反復注文に対し注意を 払うようになったことと、送 付先を一時的に設定する 必要があるため、そこから 「足がつく」ケースも存在 最近はゲームのレアコンテ ンツなど価値が転売で劣化 せず且つ、非対面で入手で きるデジタルデータが狙わ れるケースが増加している 情報不正入手 Copyright© 2013 Mitsubishi UFJ NICOS Co., Ltd. All Rights Reserved. 4 クレジットカードの不正被害状況 不正使用による被害発生状況 300.0 250.0 ü 2012年度国内クレジットカード不正使用 被害額 約70億円 ⇒ インフラの整備、ICカード普及、 オーソリモニタリング高度化等により 不正使用は、2003年をピークに減少 200.0 150.0 100.0 50.0 0.0 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 総被害額 偽造カード被害額 その他 不正使用被害額 不正使用の被害構成比率 100% 80% ü 偽造以外の不正使用が増加 ⇒ 平成15年 40% → 平成24年 65% ⇒ フィッシング、不正アクセス等非対面 での不正取引が増加 60% 40% 20% 0% 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 その他 不正使用被害額 偽造カード被害額 Copyright© 2013 Mitsubishi UFJ NICOS Co., Ltd. All Rights Reserved. 出典: 日本クレジット協会 5 ネット上の様々な個人認証手段 ONE TIME PASSWORD ハードウェアキー COPYRIGHT© AFI LOGISTICS LLC HOUSTON TX, USA. ECにおける様々な個人認証 COPYRIGHT© VISA World Wide ECは巨大な市場に成長している。いくら個人認証精度が高い方式や技術であっても 実装が加盟店にとって技術、コスト両面で容易であり、且つカード会社に大きな負担 強いることなく消費者にとって使いやすい個人認証スキームでないと市場には受け入 れられない。 生体認証 ID PASSWORD(記憶依存) Please enter your user name and password COPYRIGHT © 2013 HTTP://INTERNATIONAL-‐EDUCATION-‐BIOMETRICS.NET Copyright© 2013 Mitsubishi UFJ NICOS Co., Ltd. All Rights Reserved. 6