エディター
マーク・フィンドン、Nok Nok Labs
ジョナサン・グロッサー、マスターカード
フランク・マイケル・カム、ギーゼッケ+デブリエント
ヘナ・カプール、ビザ
スー・クーメン、アメリカン・エキスプレス
グレゴワール・ルルー、ワールドライン
アラン・マルタン、タレス
スティアン・スヴェデンボーグ、BankID BankAxept
1. イントロダクション
世界のeコマースは活況を呈しており、2024年末までに6Tドル以上に達すると予想されています1。オンラインで商品を販売する能力を持つことは、商人が地元の市場を超えて商品やサービスを販売する絶好の機会を提供しました。しかし、それには詐欺が増加しています。実際、2023年には、世界のeコマース詐欺は約480億ドルに達すると推定されており、そのうち米国が42%、EUが約26%を占めています。
1.1 リモートコマースにおける現在の課題
eコマース詐欺には多くの種類がありますが、最も一般的なタイプは取引詐欺です。取引詐欺は、盗まれたカードや盗まれた資格情報を使用してマーチャントサイトで取引が行われる場合に発生します。盗まれた認証情報は、ダークウェブでアクセス方法と使用方法を知っている人が簡単に入手できます。
これらの懸念に対処するために、支払い資格情報のトークン化やカード所有者認証など、リモートコマーストランザクションの全体的なセキュリティを強化するための対策が導入されました。一部の国では、インドやヨーロッパのように、規制により一方または両方の措置の採用が義務付けられています(第2次決済サービス指令PSD2)。これらの規制は、安全なリモートトランザクションを確保することを目的としています。ただし、加盟店と銀行のインターフェースなどの別のインターフェースとの間の切り替えが必要になる場合があるため、チェックアウトフローが複雑になります。
残念ながら、追加の認証は摩擦を招き、カートの放棄につながる可能性があります。カート放棄の主な理由には、マーチャントWebサイトへの不信感や複雑なチェックアウトフローが含まれます。顧客は、支払いの失敗、別のデバイスでワンタイムパスワード(OTP)に応答する必要性、銀行アプリケーションにログインする必要性などによって引き起こされる摩擦を引き起こさないシンプルな支払いプロセスを好みます。
1.2 FIDOがどのように役立つか
Fast Identity Online(FIDO)Alliance標準を通じて可能になった生体認証の使用は、認証プロセス中のユーザーエクスペリエンスを向上させ、トランザクションの放棄のリスクを減らす機会です。
FIDOは、フィッシングに強い認証メカニズムを可能にする標準を確立し、ネイティブアプリケーションや最も一般的なブラウザからアクセスできるため、消費者が使用するチャネル全体で安全で一貫したエクスペリエンスを実現できます。FIDOは、「パスキー」をFIDO標準に基づくFIDO資格情報と呼び、消費者がパスワードレス認証に使用します。
World Wide Web Consortium (W3C) は、Secure Payment Confirmation (SPC) を開発しました。SPC は、FIDO 認証を使用して支払いトランザクションを認証する際の消費者エクスペリエンスを向上させ、地域の規制 (PSD2 やヨーロッパの動的リンクなど) への準拠を簡素化するように設計された Web API です。
1.3 適用範囲
このホワイトペーパーでは、次のことを意図しています。
- Secure Payment Confirmation(SPC)の定義と、FIDOを使用して支払いトランザクションを認証する場合のメリット
1 https://www.forbes.com/advisor/business/ecommerce 統計/#:~:text=%20global%20e%2Dcommerce%20market,show%20companies%20are%20taking%20advantage.
- これらのメリットを提供できる現在のSPC支払いの使用例をリストアップし、消費者のジャーニーを図示する
- SPC サポートの状態と、セキュリティとユーザー エクスペリエンスをさらに向上させるために Web 標準に追加できる拡張機能の一覧を提供します
2. Secure Payment Confirmation(SPC)の特典
Secure Payment Confirmation(SPC)は、WebAuthn標準の拡張であり、次の利点を提供することを目的としています。
- すべての加盟店と銀行で一貫したブラウザネイティブのユーザーエクスペリエンス
- FIDOオーセンティケーターによって署名されたトランザクションの詳細を含む、認証の暗号化証拠(FIDOアサーション)
- クロスオリジン認証 – たとえば、銀行を サービス提供者としてパスキーが作成されている場合でも、加盟店は銀行から受け取った入力パラメータを使用して、環境内でパスキーによるカード所有者認証を呼び出すことができるため、パスキーで認証するために消費者を銀行にリダイレクトする必要はありません。
2.1 ブラウザネイティブのユーザーエクスペリエンス
SPCは、加盟店識別子、カードロゴ、カード番号の下4桁、取引金額などの詳細を表示する標準化された支払いコンテキスト画面を導入しています。コンシューマは、表示されるトランザクション情報に明示的に同意し、認証を行うように求められます。したがって、SPCは、取引の詳細について消費者から同意を収集するメカニズムとして体験できます。
標準のWebAuthnと同様に、支払いコンテキスト画面はユーザーのブラウザによって制御されるため、一般的なJavaScriptプレゼンテーション攻撃は無効になります。この画面は、悪意のあるWebコンテンツがユーザーへのトランザクション詳細の表示を変更したり不明瞭にしたりしないようにするため、セキュリティが強化されます。ブラウザの表示は常にトリガーWebサイトのWebコンテンツの上にレンダリングされます。図 1 は、Chrome での SPC エクスペリエンスの例を示しています。
図 1 Chrome での SPC エクスペリエンスの例
2.2 FIDOアサーションの生成
SPCでは、マーチャント識別子や取引金額など、消費者に表示される取引関連情報がFIDOオーセンティケーターに安全に送信され、同じオーセンティケーターによって署名されます(トランザクションデータ署名)。
オーセンティケーターによって生成されたFIDOアサーションは、マーチャントIDと取引額がオーセンティケーター自体によって署名されるため、ヨーロッパのPSD2に基づくダイナミックリンク要件と同様に、一部の規制への準拠を強化します。2.1 節に記述されているブラウザネイティブのユーザエクスペリエンスと組み合わせると、信頼者は、「そのユーザが取引の詳細性に表示され、同意されたこと」を確信できます。
2.3 クロスオリジン認証
SPC なしで FIDO を使用する場合、証明書利用者を使用してパスキーを作成するコンシューマーは、そのパスキーで認証するために、常に証明書利用者のドメインにいる必要があります。リモートコマース決済のユースケースでは、これは通常、消費者がマーチャントドメインを離れ、認証のために銀行のドメインにリダイレクトされる必要があることを意味します。
SPC を使用すると、証明書利用者によって承認されたエンティティは、その証明書利用者に対して作成されたパスキーを使用してユーザー認証を開始できます。たとえば、加盟店は銀行から、銀行のパスキーを使用してカード所有者を認証する権限を与えられる場合があります。
証明書利用者がエンティティに SPC を呼び出すことを承認するメカニズムは異なる場合があることに注意してください。たとえば、銀行は、EMV 3DSのインタラクション中に、または支払いスキームとの別の統合を通じて、FIDO資格情報を加盟店と共有する場合があります。その後、加盟店はSPCを使用して、パスキーが銀行で作成された場合でも、パスキーで支払い確認と認証プロセスを開始できます。最終的に、銀行は認証を検証する責任を保持します。
2.4 他の標準との相互運用性
SPCは、EMV 3-D SecureやSecure Remote Commerce(SRC)などの他の業界標準と組み合わせて使用できます。これらはどちらもEMVCoのグローバル標準であり、相互運用可能な標準です。
3. SPCの使用例
SPCは、ゲストチェックアウトやマーチャントのファイルに保存されている決済手段を使用したチェックアウトなど、さまざまなリモートコマースチェックアウトシナリオで支払いを効率化するために使用できます。
これらの各支払いシナリオでは、証明書利用者は、支払い手段の発行者 (銀行)、または銀行に代わって支払いネットワークである可能性があります。
本章で提供されるフローは、例示を目的としており、適用される法律および規制の遵守が求められる場合があります。
3.1 銀行をサービス提供者とするSPC
パスキーの作成は、チェックアウトプロセスの外部またはチェックアウトプロセス中に開始できます。
- Within the banking interface:
- たとえば、消費者が銀行アプリケーション内にいて、パスキーを銀行に登録すると、パスキーは 1 つ以上の支払いカードと消費者デバイスに関連付けられます
- Within the merchant interface:
- たとえば、消費者がEMV 3DSフロー中に銀行によって認証され、将来のチェックアウトを高速化するために銀行でパスキーを作成するように求められた場合、パスキーは取引に使用された支払いカード(および銀行の実装によっては追加の支払いカード)に関連付けられます。 消費者が使用するデバイスだけでなく、
図 2 は、マーチャントのチェックアウト時にパスキーを作成するシーケンス (7 つのステップ) を示しています。このステップでは、マーチャントが EMV 3DS を使用し、消費者は銀行によって認証されます。
図2:チェックアウト時の パスキー の作成
パスキーの作成が完了すると、銀行または支払いスキームと合意したメカニズムを通じて、銀行からパスキー情報(FIDO識別子と公開鍵を含む)を受け取ったすべての加盟店がSPCを使用できるようになります。このようなメカニズムは、EMV 3DSまたは支払いスキームとの別の統合を含み得る。たとえば、EMV 3DS(バージョン2.32)を実装するマーチャントは、次の手順でSPCの恩恵を受けることができます。
1. 加盟店が消費者を認証するためにEMV 3DSを開始すると、銀行はカード所有者のアクティブな認証が必要かどうかを判断します。カード所有者のアクティブ認証を実行することが決定された場合、銀行はまず、取引に使用されたカードに関連付けられた1つ以上のパスキーを取得し、消費者が同じ登録済みデバイスを使用していることを確認してから、パスキー情報を加盟店に返すことができます。
2. マーチャントは、パスキー情報、カード/銀行/ネットワークのロゴ、マーチャント識別子、取引金額など、リクエストにいくつかのパラメーターを含めて、SPCをサポートするブラウザに対してSPC Web APIを呼び出します。
3. 消費者が使用するデバイス上で、ブラウザがこれらのパスキーのいずれかに一致するものを見つけることができる場合、ブラウザはロゴ、加盟店識別子、取引額を消費者に表示し、パスキーによる認証を求めます。
4. 認証結果は加盟店に返され、加盟店はその結果を銀行と共有し、EMV 3DSプロトコルを通じて検証を行います。
図 3 は、SPC と EMV 3DS を使用した認証フローの例と、以前に登録されたパスキーを示しています。
図3:SPCおよびEMV 3DSを使用した認証シーケンス
3.2 支払いスキームをサービス提供者とする SPC
一部の支払いシナリオでは、支払いスキームが銀行に代わって信頼者となり、銀行がFIDOインフラストラクチャをデプロイする必要性を排除し、パスキーの採用をより迅速に拡大することができます。
パスキーの作成は、チェックアウトプロセスの外部またはチェックアウトプロセス中に開始できます。
- チェックアウト以外:例えば、消費者が銀行アプリケーション内にいて、銀行が消費者にパスキーを作成するように招待し、より迅速で安全な取引を行う場合、パスキーは、支払いスキームを証明書利用者として作成でき、支払いスキームによって1つまたは複数の支払いカードと消費者デバイスに関連付けられます。又は
- チェックアウト前、チェックアウト中、チェックアウト後: たとえば、消費者は、決済スキームの支払い方法をサポートする加盟店で、より迅速で安全な取引のためのパスキーを作成するように求められる場合があります。パスキーは、消費者の身元が銀行によって確認されると、支払いスキームによって1つまたは複数の支払いカードと消費者デバイスに関連付けられます。図 4 は、このシーケンスを示しています。
図 4 チェックアウト時の パスキー の作成
パスキーの作成が完了すると、支払いスキームによって促進される認証を使用しているすべての加盟店は、SPCの恩恵を受けることができます。
- 加盟店は、取引で使用されたカードにパスキーが利用可能であることを支払いスキームで確認し、支払いスキームからパスキー情報を取得します。
- マーチャントは、マーチャント識別子と取引金額を使用してSPC Web APIを呼び出します。
- ブラウザが消費者が使用するデバイス上のこれらのパスキーのいずれかに一致するものを見つけることができる場合、ブラウザは消費者、カード/銀行/ネットワークのロゴに加盟店識別子と取引額を表示し、パスキーによる認証を求めます。
- 認証結果は、結果を検証する支払スキームに返されます。支払スキームは、承認メッセージ中にこれらの結果を銀行と共有し、銀行がトランザクションを確認して承認できるようにします。図 5 に、このシーケンスを示します。
図5:SPCを使用した認証シーケンス
(左から右へ)
1. & 2.加盟店の店舗でのチェックアウト
3. パスキー が見つかり、取引の詳細が表示され、同意が収集されます
4. デバイス認証システムがカード所有者にジェスチャーを促す
5. ジェスチャーの確認
6. 取引が加盟店によって完了した場合
3.3 SPC特典の概要
SPCが提供する利点は次のとおりです。
- クロスオリジン認証 – サービス提供者 によって承認された加盟店は、証明書利用者でなくても、取引中にFIDOアサーションの生成をリクエストできます。これにより、コンシューマ認証を実行するために証明書利用者へのリダイレクトが不要なため、ユーザー エクスペリエンスが向上します。
- Consistent user experience with increased trust – With SPC, the consumer has a consistent user experience across all merchants and independently of who plays the role of relying party. In each case, the consumer will see a window displayed by the browser, that includes payment details, the logos of their card / bank / payment scheme, increasing the trust in using FIDO authentication for their payments.
- セキュリティの強化 – SPCを使用すると、FIDOアサーションには、加盟店識別子や取引金額などの支払い詳細が暗号生成に含まれるため、銀行や支払いスキームに検出されずに取引のこれらの詳細を変更することが困難になります。これにより、ダイナミックリンクに関連するPSD2規制などの地域規制への準拠も容易になります。
4. SPCの支援状況と今後の充実
4.1 可用性
Secure Payment Confirmation は現在、W3C の候補勧告として公開されており、これを認証方法として EMVCo 仕様に含める作業が進行中です。
本稿執筆時点では、Secure Payment Confirmation APIの可用性は以下に限定されています。
- Google Chrome および Microsoft Edge ブラウザ
- MacOS、Windows、およびAndroidオペレーティングシステム。
4.2 今後の機能強化
W3C Web Payments Working Group は、消費者が Web 上で支払いを認証する際のセキュリティとユーザーエクスペリエンスを向上させることを目標に、Secure Payment Confirmation に引き続き取り組み、反復しています。
現在検討中の機能は次のとおりです。
- 現在のデバイスで利用可能な認証情報がない場合のユーザーとマーチャントのエクスペリエンスを向上させる(つまり、フォールバックユーザーエクスペリエンス)
- 銀行のロゴやカードネットワークのロゴなど、ユーザーに追加のロゴを表示することで、消費者の信頼を向上させます
- デバイスバインディングのサポートによりセキュリティを向上させ、ブラウザがブラウザ/デバイスにバインドされたキーへのアクセスを提供
- 定期的な支払いや、ローミングやハイブリッドFIDOオーセンティケーターのサポートなど、追加のユースケースを検討してください
レビュー中の拡張 SPC トランザクション UX の例を図 6 に示します。
図6:レビュー中のSPCトランザクションUX
5. まとめ
Secure Payment Confirmation(SPC)は、クラス最高のユーザーエクスペリエンスを備えた支払い取引中に強力な認証の使用を容易にするように設計されたWeb標準であり、証明書利用者は銀行または支払いスキームである可能性があります。
SPC の主な利点は、消費者が FIDO 認証で承認した取引の詳細を表示することでユーザー エクスペリエンスを向上させることと、加盟店が消費者を認証するときに、証明書利用者 (銀行または支払いスキーム) にリダイレクトする必要なくクロスオリジン認証を有効にすることです。
また、SPCは、FIDO署名に取引の詳細を含めることを容易にし、より高いセキュリティを提供したり、地域の規制への準拠を簡素化したりするのに役立ちます。
6. 謝辞
著者は、貴重なフィードバックとコメントについて、次の人々(アルファベット順)に感謝します。
- ボバン・アンジェルコビッチ、BankID BankAxept
- ジョン・ブラッドリー、ユビコ
- カレン・チャン、イージス
- ジェフ・リー、インフィニオン
- オリヴィエ・マース、ワールドライン
7. 参考文献
[1] 「EMV 3-D Secure」、 [Online].利用可能:https://www.emvco.com/emv-technologies/3-d-secure/。
[2] 「安全な支払い確認」、 [Online].利用可能:w3.org/TR/secure-payment-confirmation/。
[3] 「セキュア・リモート・コマース」、 [Online].利用可能:https://www.emvco.com/emv-technologies/secure remote-commerce/。
