We've detected that JavaScript is disabled in your browser. Would you like to proceed to legacy Twitter?

「いま」起きていることを見つけよう

Twitterなら、「いま」起きていることをいち早くチェックできます。

アカウント作成

スレッド

会話

Hiromitsu Takagi

@HiromitsuTakagi

「何回も言った」って「またまたwどうせブログで書いたとかTwitterに書いたとかだろ？w」って、そういう話じゃないの。 15年前業界の人に伝え、10年前カード会社の幹部の人にも言い、fintechブームの折には超大手ブランド会社に正式に提案もしたという話なのね。それでもスルー。アンタッチャブル。

引用ツイート

Hiromitsu Takagi

@HiromitsuTakagi

· 10月21日

こういうのもさあ、いいかげん直そうと思わんの？別ドメイン名（smbc-card. com）で登録されているパスワードを、ここ（cafis-paynet. jp）で入力させようとしても、自動で入力されないわけさ。smbc-card. comのサブドメインt上のサーバに転送すればいいんじゃないの？何回も言ったけど治らない。

2

203

337

Hiromitsu Takagi

@HiromitsuTakagi

実際に起きたか以前に、利用者の正規サイト確認手段を阻害し、教育を不可能にしてきた罪が重い。 3Dセキュアの画面で偽サイトに誘導されるシナリオについては、fintechブームの折の提案の際に検討して、あり得るとしながらも、実際に起きているかというとまだかもしれないが。

引用ツイート

Roald Grimsson

@RoaldGrimsson

· 10月22日

Phishing被害が広がらない内は改善されなさそう twitter.com/HiromitsuTakag…

1

29

34

Hiromitsu Takagi

@HiromitsuTakagi

「提案」はセキュリティ原理主義的にガミガミ言ったわけでもなく、まさに「機会損失ですよね？」という提案であり、確か当時、経産省がクレジットカードのセキュリティ強化を言い始めていたので、3Dセキュアを義務化する障害になるこの利用困難性を解決すべきでは？とね。

引用ツイート

kohtan

@kohtan

· 10月22日

この画面がいけてなくて離脱しがちで結局3Dセキュアいれない通販サイトが多いという悪循環… twitter.com/HiromitsuTakag…

1

23

34

Hiromitsu Takagi

@HiromitsuTakagi

当時提案していたことは、・デザインを自由にする（イシュアに製作させて、イシュアが自サイトと統一したデザインにできるように）・シングルサインオンにして、イシュアサイトでログイン中であればそのままパスワード入力なしに利用者が承認する仕組みにといったあたり。

2

22

35

Hiromitsu Takagi

@HiromitsuTakagi

当時（6年前）の課題は、利用者がこの画面が何だかわからず離脱する問題とphishing対策だったが、その後の情勢の変化として、覚えられるパスワード（リモート認証用の）が終焉を迎え、パスワード自動入力の時代になったのに、それができないこと（今回言っていること）が追加になっている。

1

25

33

Hiromitsu Takagi

@HiromitsuTakagi

NTTデータ（cafis-paynet. jp）だけじゃないんですよねえ、他に、大日本印刷（dnp-cdms. jp）、日本カードネットワーク（cardnet-tds. com）に飛ばされることもある（4つ目があるかは知らない）わけで、これらが何なのか利用者にわかるはずもない。

引用ツイート

Canadian

@nkanada

· 10月22日

この件に関して言えば，対応すべき主体はカード会社ではなくNTTデータじゃないかな… twitter.com/ockeghem/statu…

2

37

32

Hiromitsu Takagi

@HiromitsuTakagi

dm2.co.jp/2018/05/analyt によると、 cap.attempts.securecode. com vcas02c.visa3dsecure. com vcas2. visa. com やらがあるようですね。国際的に共通のプロトコルあるいはフレームワーク、はたまた共通のソフトウェアで提供されているんですかね？誰が決めたものなの？

ネットショップのアクセス解析でコンバージョンにつながっている参照メディア（URL名）に心当たりがなかったらクレジット決済ページかもしれない

あるネットショップのアクセス解析を見ていると不思議な参照メディア（URL名）を見...

1

18

20

Hiromitsu Takagi

@HiromitsuTakagi

最近はこういう説明を載せているところもあるのですね。 ana.co.jp/ana-info/event

1

13

20

Hiromitsu Takagi

@HiromitsuTakagi

3-D Secure 2.0 なるものが始まっているようですし、上記のような古臭いのは、直されることもなく、ただただ廃れて消滅していくのを待つしかないのでしょうかね。

引用ツイート

𝙡𝙞𝙗𝙣𝙪𝙢𝙖𝙛𝙡𝙮

@libnumafly

· 10月22日

返信先: @HiromitsuTakagiさん

3D Secure 2.0では認証要素にSMSワンタイムコードやカード発行元のアプリ/トークンを使ったワンタイムパスワードや生体認証、場合によってはリスクベース認証で認証そのものをスキップするようになったようです。(EMVCoが統一して仕様決定) 以下録画はPayPayでのフローです

3

22

27

Hiromitsu Takagi

@HiromitsuTakagi

パスワードがブランド管理？「Vpass」とかいうのがそれかな？と思ったら、ググると「Vpass（ブイパス）はVJAグループ各社が発行するVisaカード会員の方、およびMastercard会員の方のためのインターネットサービスです。」だそうで、もう何が何やら。

引用ツイート

XeonFeng,CISSP/CISA/PMP

@XoenFeng

· 10月22日

返信先: @HiromitsuTakagiさん

3Dセキュア認証ですから、PWについてはブランド会社が主要な管理責任を持っています。カード会社ぽいのドメインの場合、逆におかしいと思われます。ACSサーバーはブランド側の監査を受けています。3Dセキュアの仕組みは国際団体EMVcoが決めたようですね。

1

13

18

Hiromitsu Takagi

@HiromitsuTakagi

twitter.com/XoenFeng/statu パスワードがブランド管理というのはやはりおかしいのでは？現状の画面でも「三井住友カードが本人認証を行います」とはっきり言っている。「Vpassのパスワード」が何なのかがまた怪しくて、いろんなカード会社のVpassと共通なのかも不明だけど。

引用ツイート

XeonFeng,CISSP/CISA/PMP

@XoenFeng

· 10月22日

返信先: @HiromitsuTakagiさん

3Dセキュア認証ですから、PWについてはブランド会社が主要な管理責任を持っています。カード会社ぽいのドメインの場合、逆におかしいと思われます。ACSサーバーはブランド側の監査を受けています。3Dセキュアの仕組みは国際団体EMVcoが決めたようですね。

2

20

28

Hiromitsu Takagi

@HiromitsuTakagi

「3-D Secure」の名称の由来の「ドメイン」は一般語のdomainのことで、インターネットドメイン名のこととは別なの。 twitter.com/0149itadaku/st 「別ドメインに飛ばすから3Dセキュアたり得る」

引用ツイート

0149

@0149itadaku

· 18時間

別ドメインに飛ばすから3Dセキュアたり得るのと、ここのパスはこのドメインで認証するために設定してる体だからさらに別のドメインにするならパスコードも設定し直すのが原則みたいな？とはいえこのままだとフィッシングにしか見えないんだよなぁ。 twitter.com/hiromitsutakag…

2

6

15

Hiromitsu Takagi

@HiromitsuTakagi

ここの図で言う「ドメイン」はインターネットのdomain nameのことではないということ。でも、この図で言えば、まさに、ACSとイシュア（カードホルダーが会員登録する先）が一体的にイシュアドメインとされているのだから、そこのdomain nameを一体にするのが本筋よね。 solution.cafis.jp/card/service/c

1

11

14

Hiromitsu Takagi

@HiromitsuTakagi

勘違いも著しいですなあ。

引用ツイート

キタきつね

@foxbook

· 10月23日

元々3DSはそういう仕組みなんです！と言っても、世に認知されてない事を改めて実感しました。監査スコープを簡単に拡大出来ない事も理解されてない様ですが… twitter.com/xoenfeng/statu…

1

4

4

Hiromitsu Takagi

@HiromitsuTakagi

（OpenIDの場合やらとは違って）3-D Secureの場合の3つ目のparty（ブランドドメイン）はディレクトリサーバなわけですね。入力されたID（カード番号）により複数の「ACS」（CAFISの他にDNP CDMSやらCARDNET 3-D Secureがある）に振り分けている機能。 solution.cafis.jp/card/service/c

引用ツイート

XeonFeng,CISSP/CISA/PMP

@XoenFeng

· 10月22日

返信先: @HiromitsuTakagiさん

3Dセキュア認証ですから、PWについてはブランド会社が主要な管理責任を持っています。カード会社ぽいのドメインの場合、逆におかしいと思われます。ACSサーバーはブランド側の監査を受けています。3Dセキュアの仕組みは国際団体EMVcoが決めたようですね。

1

6

8

Hiromitsu Takagi

@HiromitsuTakagi

CARDNET側の説明図。ちょっと変。カードホルダーはどこ？「カード会員様」イシュアドメイン内なの？ cardnet.co.jp/service/soluti

1

4

7

Hiromitsu Takagi

@HiromitsuTakagi

イシュアがcontollerですよねえ、データ保護法制の観点（個人情報保護法における委託構成の観点）から言っても。だからACS提供業者（受託者）側は表に立って動けないのだけど、委託元にcontrollerとしての自覚がなくてどうともならないという、いつものやつ。

引用ツイート

yoshi san

@yoshi_san_jp

· 1時間

カードホルダーはイシュアードメインですね。ACSはカード会社の外に描かれてますが、EMVCoの仕様書によるとThe ACS ... is controlled by the Issuerとありますのでイシュアー配下になるはずです。 twitter.com/HiromitsuTakag…

1

3

9

Hiromitsu Takagi

@HiromitsuTakagi

いやあ、その金融行政こそが肝心の統制をしていない結果だと思いますがねええ。

引用ツイート

kokumօtօ

@__kokumoto

· 3時間

その上で、なぜ乗り換えないのかと考えると、少しでもシステムトラブルや一定数の金融庁宛苦情を発生させると即金融庁への報告を求められる、過度に統制的な日本の金融行政に起因していると思う。セキュリティ強化になるとしても、サービス初期に不可避の不具合や利用者の苦情がネックになってしまう。

このスレッドを表示

2

2

9

Hiromitsu Takagi

@HiromitsuTakagi

ちなみに、クレジットカードは経産省だけども、「クレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画2019」」なるものを去年も出していたが、技術面での具体性が全然ない。 meti.go.jp/press/2018/03/

引用ツイート

kokumօtօ

@__kokumoto

· 49分

返信先: @HiromitsuTakagiさん

後続でそう書いています… twitter.com/__kokumoto/sta

1

1

4

Hiromitsu Takagi

@HiromitsuTakagi

返信先:

@HiromitsuTakagi

さん

言っていることはこの程度。経産省は話を聞きにも来ないしね。こちらは無料でアドバイスして差し上げる立場にあるのに。

午後0:44 · 2020年10月24日Twitter Web App

件のいいね

Nao Yoshizawa Attorney/Healthcare/AI/IT/Security

返信先:

@HiromitsuTakagi

さん

これでは何も言っていないに等しいですね。。

Twitterを使ってみよう

今すぐ登録して、タイムラインをカスタマイズしましょう。

アカウント作成

アイテムがありません