スマートフォン決済の標準暗号ソリューション”DUKPT”

急伸するスマートフォン決済市場

スマートフォン決済サービスが日本でも急速に普及している。海外でカード業界の関係者に”Smartphone Payment”と言うとあまりピンと来ていなかったため、世界共通用語としては”Mobile POS(MPOS)”が正式なものとなる。
スマートフォン決済（MPOS）は、SQUAREの上陸やPayPal Hereの本格開始、楽天スマートペイの開始などで既に熾烈な競争となっている。例えば家電の修理サービス員が訪問先のお宅で代金をクレジットカードで決済したり、JAFのような車の緊急駆けつけのサービスで、その場でスマートフォンを用いて決済したりするなど多数実用化され始めている。

カードリーダーに施されているセキュリティ対策とは

スマートフォン決済の導入を現在検討中の事業者や加盟店、もしくは感度の高い消費者にとって、スマートフォンのイヤフォンジャックに接続するカードリーダーのセキュリティが、どのようになっているかは気になるところだろう。クレジットカード加盟店でスマートフォン決済に遭遇し、いざ自身のカードを使う際に店員の個人のスマホにカード情報が残ってしまうのではないか？そのスマホに悪意のあるアプリがインストールされていてカード番号を含む個人情報が意図せず漏えいしてしまうのではないかなど、いろいろなリスクを想定するだろう。
この点については既に標準的な暗号ソリューションにより解決されているといえる。スマートフォン決済を展開する決済事業者や、それらの事業者と包括代理契約するカード会社（アクワイヤラ）の指導により、スマホに接続するドングル型のカードリーダーにDUKPTという暗号形式が採用されている。この暗号形式を使用すれば論理的にドングルからカード情報を抜き取ったり、他のアプリから漏れたりする心配はほぼないと言える。（もちろんセキュリティに完璧はない）

“DUKPT”を利用した暗号化ソリューション

DUKPTは、Delivered Unique Key Per Transactionの略で文字通りトランザクション毎にユニークな暗号鍵を生成する仕組みである。この方式は米国ではANSI（米国工業規格） X9.24 part1として規格化されている。図の通りドングルにカードをスワイプするとDUKPTのHSM（ハードウェアセキュリティモジュール）やソフトウェアが一意の暗号鍵の生成を指示し、その鍵によって取引承認のためのカード会員データを暗号化する。暗号化されたデータが決済代行に送信され、オーソリ処理される。この仕組みを利用すれば例え悪意をもって、スマートフォンからその暗号鍵を盗んでも、次回以降の取引では別の鍵が生成され続けるため復号化することはできないということになる。
ただし、スマートフォン決済サービスの中にはDUKPTを採用していない事業者もいる。これから導入を考えている加盟店や事業者は、この暗号方式を採用しているサービスなのかどうかをきちんと見極めて欲しい。スマートフォン決済は、国内では2014年現在普及フェーズであり、目立ったトラブルは発生していないが、端末のセキュリティに起因したトラブルの発生に巻き込まれないようにするためにも必須の技術と言っても過言ではない。

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス