ネットで買い物中に突然出てくる「認証コード」の正体
オンラインショッピングをしていると、支払い画面でカード番号や有効期限を入力した後に「本人認証」の画面が出てきて、スマホにSMSが届いた番号を入力するように求められることがある。「なんだこれ?」と思いつつも入力して進んだ経験がある人は多いと思う。あれが「3Dセキュア」と呼ばれる本人認証の仕組みだ。
最近はこの認証が出ない場面が減り、ほとんどのネット決済で3Dセキュアが使われるようになってきた。不正利用を防ぐための重要な仕組みなので、設定方法と使い方を理解しておくと安心だ。
3Dセキュアとは何か——仕組みをシンプルに説明
3Dセキュア(スリーDセキュア)は、ネットショッピングでクレジットカードを使う際の本人確認システムだ。「3D」とは3つのドメイン(発行会社・加盟店・国際ブランド)が連携して認証を行う仕組みに由来している。難しい名前だが、要するに「カード番号を知っている人が、本当にカード所有者本人かどうかを確認する追加の認証ステップ」だ。
従来のネット決済はカード番号・有効期限・セキュリティコード(3桁)の入力だけで完結していた。この情報が漏れると、カードを持っていなくても不正利用が可能だった。3Dセキュアはここにもう一段階「本人しか知らない情報」を追加することで、不正利用のリスクを大幅に下げる。
3Dセキュア 2.0への移行
3Dセキュアには古いバージョン(1.0)と新しいバージョン(2.0)がある。以前の1.0は認証のたびにパスワード入力が必要で、使い勝手が悪く「面倒で設定していない」人も多かった。
現在主流の3Dセキュア2.0(EMV 3Dセキュアとも呼ばれる)はより洗練されており、デバイス情報・購入パターン・位置情報などのリスク判定を自動で行い、低リスクと判断された場合はパスワード入力なしにパスするフリクションレス認証が可能になっている。つまり「毎回コードを入力しなくても通れることが多い」ようになった。不審な購入パターンのときだけ追加認証が求められる仕組みだ。
3Dセキュアの設定方法
3Dセキュアを使うには、カード会社への登録が必要な場合がある。カード会社によっては自動で有効になっているものもあるが、設定が必要な場合はカード会社のマイページ(会員サイト)から手続きする。
設定の内容は主に「認証に使う電話番号の登録」だ。ワンタイムパスワードをSMSで受け取る場合、受け取る電話番号(スマホ番号)をカード会社に登録しておく必要がある。登録したスマホを持っていれば、認証が求められたときにSMSで届くコードを入力するだけだ。
三井住友カードやJCBはアプリでの認証にも対応しており、アプリを開いてタップするだけで認証が完了する場合もある。SMSより手軽なので、カード会社のアプリがある場合はインストールして設定しておくと便利だ。
3Dセキュアが求められる場面と求められない場面
3Dセキュア認証が求められるかどうかは、加盟店(ネットショップ)側の設定によっても変わる。すべてのネットショップで3Dセキュアが導入されているわけではなく、まだ対応していない店舗もある。
ただし2025年以降は国内の主要なネットショッピングサイトでの3Dセキュア導入が義務化・推奨されており、対応店舗は急速に増えている。今後はほぼすべてのネット決済で何らかの本人認証が行われる流れになってきている。
定期購入(サブスクリプション)の場合は、初回の決済時に3Dセキュア認証が行われ、2回目以降は認証なしに決済が進むケースが多い。毎月同じ金額の決済は「正常なパターン」としてリスク判定をパスしやすいためだ。
3Dセキュアに関連したフィッシング詐欺に注意
3Dセキュアの普及に伴い、「3Dセキュアの設定が必要です」という偽メールを使ったフィッシング詐欺も増えている。カード会社を装ったメールにリンクが貼られており、そこからパスワードやカード情報を入力させようとするものだ。
本物のカード会社はメールのリンクからパスワードやカード番号を入力させることはない。「3Dセキュアの設定をしてください」というメールが来たら、リンクをクリックせずにカード会社のアプリや公式サイト(ブックマークから直接アクセス)で確認するのが安全だ。
3Dセキュアで不正利用は完全に防げるか
3Dセキュアは不正利用のリスクを大幅に下げる効果があるが、100%完全ではない。スマホ自体が盗まれてロック解除もされている場合、SMSを傍受される場合(特殊なマルウェア等)などは突破される可能性がある。
それでも、3Dセキュアなしの状態と比べると不正利用のハードルが大幅に上がるのは事実だ。加えて、万一不正利用が発生した場合でも、カード会社の不正利用補償制度を使えば被害を補填してもらえることが多い。
3Dセキュアの設定+カード明細のこまめな確認+不審な請求はすぐにカード会社に連絡、この3つを習慣にすることで、ネット決済のリスクを最小限に抑えることができる。
まとめ——設定しておくだけで大きな安心
3Dセキュアは難しい技術的な話に聞こえるが、ユーザーがすることは「電話番号を登録して、認証が求められたときにコードを入力する」それだけだ。数分の設定で不正利用のリスクが大幅に下がるなら、やらない理由はない。自分のカードが3Dセキュアに対応しているか確認して、未設定なら今すぐ設定しておくことをすすめる。
3Dセキュア認証でよくあるトラブルと対処法
3Dセキュア認証でつまずくケースをいくつか紹介する。最も多いのが「SMSが届かない」問題だ。登録している電話番号が古いもの(機種変更前の番号など)になっていると、コードが届かず先に進めない。カード会社のマイページで登録電話番号を確認・更新しておこう。
「認証画面が出たのに入力時間が過ぎた」というケースもある。ワンタイムパスワードには有効期限(3〜5分程度)があり、その間に入力しないと無効になる。決済の直前にスマホを手元に用意しておく習慣をつけると対処できる。
海外からのアクセスで「不審な利用」と判定されて認証が強化されるケースもある。海外旅行中にネットショッピングをしようとしたら普段より厳しい認証を求められた、という経験をした人もいる。これは3Dセキュアのリスク判定が正しく機能している結果なので、通常通りに認証を通せば問題ない。
Apple PayやGoogle Payと3Dセキュアの関係
Apple PayやGoogle Payといったスマホ決済にクレジットカードを登録して使う場合、カードの登録時に3Dセキュア認証が求められることがある。これはカードの所有者本人であることを確認するための手続きで、一度通過すれば以降の決済ではスムーズに使えるようになる。
スマホ決済は生体認証(指紋・顔認証)でロック解除が必要なため、実質的に二重の認証がかかっている状態だ。3Dセキュアと組み合わせることで、フィジカルカードを持ち歩くより安全性が高いとも言える。紛失リスクを考えると、カードはアプリに登録してスマホ決済を中心にする人が増えているのも納得できる。
子どもや家族がカードを使う場面での注意
家族カードを配偶者や子どもに持たせている場合、3Dセキュアの認証が本カード所有者(自分)のスマホに届く設定になっていることがある。その場合、家族がネットショッピングをするたびに自分のスマホに認証コードが届き、教えなければ先に進めない仕組みになる。
これはセキュリティ上は正しい動きだが、離れて暮らしている家族が使う場面では不便になることもある。カード会社によっては家族それぞれのスマホに認証を届ける設定に変更できる場合もあるので、公式サイトで確認してみるといい。
いずれにせよ、3Dセキュアの設定は「家族でカードを使う」シーンでも事前に確認しておくと、急いでいるときに困らずに済む。
コメント