応用情報技術者試験 応用情報技術者試験 令和6年度春期 午前 問35: 3D セキュア 2.0（EMV 3-D セキュア）は，オンラインショッピングにおけるクレジットカード決済時に，不正取引を防止するための本人認証サービスである。3

問題本文

3D セキュア 2.0（EMV 3-D セキュア）は，オンラインショッピングにおけるクレジットカード決済時に，不正取引を防止するための本人認証サービスである。3D セキュア 2.0 で利用される本人認証の特徴はどれか。

選択肢

• ア.利用者がカード会社による本人認証に用いるパスワードを忘れた場合でも，安全にパスワードを再発行することができる。
• イ.利用者の過去の取引履歴や決済に用いているデバイスの情報から不正利用や高リスクと判断される場合に，カード会社が追加の本人認証を行う。
• ウ.利用者の過去の取引履歴や決済に用いているデバイスの情報にかかわらず，カード会社がパスワードと生体認証を併用した本人認証を行う。
• エ.利用者の過去の取引履歴や決済に用いているデバイスの情報に加えて，操作しているのが人間であることを確認した上で，カード会社が追加の本人認証を行う。

正解

イ. 利用者の過去の取引履歴や決済に用いているデバイスの情報から不正利用や高リスクと判断される場合に，カード会社が追加の本人認証を行う。

解説

3Dセキュア2.0は、取引ごとに過去の取引履歴や利用デバイスなどの情報を分析してリスクを評価する「リスクベース認証」を特徴とする。リスクが低いと判断した取引では追加認証を省いて利用者の手間を減らし、不正利用や高リスクと判断したときにだけワンタイムパスワードなどの追加認証を求める。イがこの仕組みを正しく述べており正解である。

選択肢ごとの解説

• ア.パスワードを安全に再発行できるかどうかは一般的なパスワード運用の話であり、3Dセキュア2.0の本人認証の特徴ではないため誤り。
• イ.正しい。取引履歴やデバイス情報からリスクを評価し、高リスクと判断した場合にだけ追加認証を行うリスクベース認証が3Dセキュア2.0の特徴である。
• ウ.履歴やデバイス情報にかかわらず常にパスワードと生体認証を併用するのでは、リスクに応じて認証を変えるリスクベース認証の特徴と相反するため誤り。
• エ.人間であることの確認(CAPTCHAなど)は3Dセキュア2.0の本人認証の本質的な要素ではなく、リスクベースで追加認証を行う点を正しく捉えていないため誤り。