3Dセキュア認証を初めて体験した感想

雑記 3Dセキュア認証

技術的な話題ともいえなくないのでこちらに書くことにする。ただし、専門家ではないので細部に渡って内容を検証しているわけではなく、あくまで利用者の視点で書いているということを了承いただきたく。

3Dセキュア認証とはここ (ZeusのWebページ)にも説明がある通り、カードの認証にカード番号、有効期限に加え、当該カード会社のWebサービス上に登録していたパスワードの入力を要求するものだ。

正直言って血の気が引いた。なぜって、パスワードの入力時に一旦カード会社と思しき別のドメインのページにリダイレクトするからだ。

このリダイレクトに関して、ベリトランスのページには次のような説明があった。

(前略)
いずれのサービスも、発行カード会社に事前登録したインターネット専用パスワードを利用して、 購入者がカード所有者本人であるかを、発行カード会社が直接確認・認証することで、 第三者のカード不正使用を防止する仕組みとなっています。 なお、ユーザーにより入力されたパスワードは、クレジットカード発行会社に直接暗号化送信されるため、 ECサイトでは取得できない仕組みになっており、店舗での情報漏洩等による事故も防ぎます。

3Dセキュア(3-D Secure™)はなぜ安全なの?

で、実際に利用してみてどのドメインに転送されるのかと思ったら、わけのわからない securesuitejp.net というあからさまにフィッシングと見まがえそうなページに到達してしまった。

f:id:moriyoshi:20070523073117p:image

これは正直ひどい。

まず、パーソナルメッセージとはなんなのだろうか。パーソナルという名前から、ユーザがここに自由にメッセージを設定できることが想定されていて、ユーザがこのサイトをオーソライズするために使う「共通の秘密」なのだろうと察せられるが、「UFJカードWebサービス本人 認証サービス」などというセクシーでもなんでもないフレーズを設定した覚えは毛頭ない。で、前出のベリトランスのページには次のような説明がある。

※パーソナルメッセージとは
カード発行会社からの正規のパスワード入力画面であることを、カード会員が確認するための確認項目です。カード発行会社により設定の有無があるほか、設定方法も異なります

それって意味ないじゃん!!!!!

気を取り直して、このページの「ヘルプ」をクリックしたところ、ヘルプのダイアログが JavaScript を用いたポップアップで表示された。JavaScript を有効にせよ、という前置きもなく*1である。これだけ怪しければ JavaScript を有効にしないで利用するユーザがいてもおかしくないと思うのだが。しかも、ヘルプの文言がどうしようもなかった。

(前略)



  • Q11 「本人認証サービス」を利用したが、お店から別の方法で支払うように要請された(お店の画面に表示された)。



    「パスワード入力画面」で[キャンセル]ボタンをクリックした場合に起こる可能性があります。もし、UFJカードWebサービスのパスワードを忘れた場合は、お手数ですがUFJカードWebサービスへの再登録をお願いいたします。
    UFJカードWebサービス新規登録はこちら : http://ufjcard.com/weblifeclub/ws.html




  • Q12 「本人認証サービス」を解除したい(利用したくない)のですが?



    UFJカードWebサービスへログイン後、「本人認証サービス(安全なオンラインショッピングをサポート)」メニューにて登録を解除いただけます。
    UFJカードWebサービスのURLはこちら : http://ufjcard.com/weblifeclub/ws.html



securesuitejp.net上にあるヘルプページ

うーん呆れる。しかも http://ufjcard.com/weblifeclub/ws.html などというページは存在しなかった。

追記1: securesuitejp.net の expiry は次のようになってました。6/28ってもうすぐですね。

 Record expires on 28-Jun-2007.
 Record created on 28-Jun-2002.

追記1に追記: 21-Jun-2007 にアップデートされていました。おいおい、担当者大丈夫か? 現時点での expiry は

 Record expires on 28-Jun-2008.
 Record created on 28-Jun-2002.

となっている。
追記2: 結局のところさまざまな問題点があるのだが、ざっと考えて致命的なのは以下だろう。

  • 何のために必要なサービスなのかがユーザに明示されていない。
  • ユーザが望めば利用しなくてもよいサービスであることが、サービス提供者からユーザに明示されていない。
  • securesuitejp.net 上で提供されるインターフェイスは、カード会社のものではなく、カード会社にシステムの一部を提供する組織のものであることが明示されていない。むしろ、「カード会社のもの」であると偽っている説明がある。
  • 正式なサービス名がユーザに伝わっていない (「3Dセキュア認証」「3-D Secure™」「本人認証サービス」etc.)
  • コモンシークレットが意味を成していない。サービスの利用前にコモンシークレットの設定を義務付ければいいのか?そういうものでもないだろう *2

*1:もちろん、前置きがあればいいとか、そのような文言や方策が適切であるといっているわけではない

*2:コモンシークレットを用いるなら、たとえば先月の請求金額など、カード会社の発行したもので、ユーザと事前に共有されている、第三者による推測が比較的難しい内容や、ユーザの誕生日などを合わせて表示するほうが、まだましである (ましという以上のものではないと思った)