『VISA 認証サービス』が、なぞのドメイン(dnp-cdms.jp) なのが気になって、をカード発行会社に問い合わせてみた。

経緯

ネットショッピングをしていて、決済にクレジットカード支払いを選択して、クレジットカード情報を一通り入力し、実行すると、

『先に「本人認証サービス」をクレジットカード発行元で申し込め！』

と案内された。

ネットショッピングでクレジットカードを使用するときに、認証が必要となるのは歓迎するところだ。

早速、下記サイトの「Net アンサー」にログインして登録を開始する。

http://www.saisoncard.co.jp/

パスワードは、「Net アンサー」のパスワード同じらしい。
http://www.saisoncard.co.jp/services/sj086.html

「PAM」と呼ばれる、自分宛てのフレーズを入力して登録を完了させた。
http://www.saisoncard.co.jp/vbv/qanda.html#b3

ネットショッピングサイトに戻って、継続すると、
「dnp-cdms.jp」という、ドメインに転送されたあと、

『カード発行元のシステムのパスワードを入力せよ！』だそうだ。

何だ、この怪しいドメインは？

しかも、何でこんなわけのわからないドメインのウェブページに、クレジットカード発行元のサービスのパスワードを入力しなければならないのか？

パーソナルメッセージに、本人認証サービスの登録で入力した「PAM」が表示されているのも、気持ちがわるい。

「新手のフィッシングか？」とも思ったが、カード発行元の「本人認証サービス」の説明ページに何か掲載されているかもしれないとおもい、説明ページの内容を確認してみたが、「dnp-cdms.jp」などという記述は、一切ない。

• http://www.saisoncard.co.jp/services/sj086.html
• http://www.saisoncard.co.jp/vbv/qanda.html

どういうセキュリティーの裏づけをもって、「dnp-cdms.jp」というわけのわからないドメインのページを信頼せよというのか？

これは、カード発行元に聞く他にすべはない。

電話でのやり取り

カード発行元のサポートセンターに電話して、経緯を一通り説明したあと、

『「Net アンサー」のパスワードを入力してもセキュリティー上問題ない』

と判断できるのは、

『パスワードの入力ページが「Net アンサー」サービスと同じドメインに存在するか』

または、

『「Net アンサー」の「本人認証サービス」登録ページで、「本人認証サービス」は「dnp-cdms.jp」で提供していることを説明しているか』

のどちらかでしかない。

と伝えたところ、

『「dnp-cdms.jp」ドメインについては、何も情報がないのでこの場では答えられない。
このドメインについて、調査してから改めて答える。
また、そのページが信用できないなら、パスワードは入力しないことをすすめる。』

との回答だった。

サポートの担当者すら調査しなければわからないドメインのウェブページを、一般ユーザに信頼しろとでも言うつもりだったのだろうか？

次の日になって、

カード発行元のサポートセンターから自宅電話に着信があり、メッセージが残されていた。

『本人認証サービスは、大日本印刷株式会社に業務委託しており、「dnp-cdms.jp」は、業務委託先のドメインである。』

と説明している。

補足

さて、

セキュリティーに多少敏感な本稿の著者だから、ここまで突っ込んで調べたが、これを一般消費者に求めるのはいかがなものかとおもう。

あとで調べてわかったことだが、この「本人認証サービス」は、「3-D Secure」という技術だ。

http://en.wikipedia.org/wiki/3-D_Secure

ACS providers

In 3-D Secure protocol, ACS (Access Control Server) is on the issuer side (banks). Currently, most banks outsource ACS to a third party. Commonly, the buyer's web browser shows the domain name of the ACS provider, rather than banks' domain name, however this is not required by the protocol. Dependent on the ACS provider, it is possible to specify a bank owned domain name for use by the ACS.

それぞれに求められること

上記の説明に

「プロトコル上は、ACE Provider(本人認証サービス)のドメインは、banks(クレジットカード発行元)のドメインである必要はない。」

と書かれているが、

このことが、即ち、「dnp-cdms.jp」を信頼してよいことと、混同してはならない。

技術的に可能なだけで、当然、

『クレジットカード発行元には、信頼してよい ACE Provider が何処であるかを説明する責任がある。』

また、

『クレジットカード利用者は、クレジットカード発行元によって指定された、信頼してよい ACE Provider のドメイン以外で、個人認証サービスのパスワードを入力してはならない。』

追記

dnp-cdms.jp を google で検索したら、下記ページが結果に含まれていた。

本稿の著者と同じように「本人認証サービス」の問題点を指摘してる。

「tr7743のクレカネタ » IC Card Worldに行ってきた(3)」

http://www4.atword.jp/tr7743/archives/3411

そもそも3Dセキュアと言うのが謎のドメインにパスワードを入れなきゃいけないというのはちゃんと説明してほしいと思うんですけどね………

たとえば………普通の人は「dnp-cdms.jp」が安全かどうかなんて判断できませんよ。