メールが届かずに3Dセキュアを突破できない問題発生
2025年10月1日、outlook.comでメール受信の遅延が発生しました。今回はすべてのメールが届かないわけではなく、遅延が起きるという厄介なものでした。
私はこの障害によってクレジットカードの決済で問題に直面しました。3Dセキュアのワンタイムパスワードがhotmail.comのメールアドレスに届かず、決済が完了できなかったのです。
今回は急を要する買い物ではなかったため事なきを得ましたが、もしこれが人気の限定品やセールの購入だったら、確実に買い逃していたでしょう。この出来事をきっかけに、改めてワンタイムパスワード送付の仕組みについて深く考えるようになりました。
SMTPメールはワンタイムパスワードの送信に適しているのか?
そもそもSMTPというメール送信の仕組みは、遅延が発生する可能性を常に持っています。今回の出来事は、システムの障害というよりも、SMTPの仕組み上、起こり得る事象と捉えるべきかもしれません。
outlook.comやGmailなど、どんなメールサービスでも遅延や障害は起こり得ます。そう考えると、決済システムがワンタイムパスワードの主要な送付手段としてSMTPメールに依存していること自体が、脆弱性につながっているのではないでしょうか。
決済システム構築側でできる回避策
では、決済システムを運用する側は、このような事態を回避するためにどのような対策を講じるべきでしょうか。
解決策は、「複数のワンタイムパスワード送付手段を用意する」ことです。
具体的には、以下のような対策が考えられます。
- 複数のメールアドレスを登録できるようにする:例えば、メインアドレスとサブアドレスの2つを登録できるようにします。
- メールアドレスとSMSの組み合わせ:メールとSMS(ショートメッセージサービス)の両方を登録、3Dセキュアのワンタイムパスワード発行時に選択できるようにします。
どちらかの手段で障害が発生しても、もう一方の手段でワンタイムパスワードを受け取れるため、今回の私のような問題は回避できます。
特にメールとSMSの組み合わせは、システムが異なるため、片方のインフラがダウンしてももう一方のインフラが機能している可能性が高いというメリットがあります。
もちろん、SMSにも障害が起こる可能性はありますが、このように異なる仕組みを組み合わせることで、リスクを大幅に軽減できます。
決済システムの未来:パスキーの導入
ワンタイムパスワードの導入は、IDとパスワードだけの認証よりも安全性を高める良い手段です。しかし、より高いセキュリティを求めるのであれば、多要素認証(MFA)を適切に導入すべきです。
そして、最も確実で安全な認証方法として、パスキー(Passkey)の導入を強く推奨するし期待します。パスキーはフィッシング詐欺に強く、ユーザビリティも高い認証技術です。導入時の敷居は多少高いですが。
日本のECサイトや決済システムでは、まだパスキーの導入が進んでいないのが現状です。これは、セキュリティと利便性のバランスを考慮した結果かもしれませんが、消費者がより安全かつスムーズに決済できる環境を整えるためにも、積極的にパスキーを導入してほしいと強く願っています。
outlook.comの障害は、普段私たちが当たり前のように使っている決済システムに潜むリスクを再認識させてくれました。今後、より安全なオンライン決済が普及していくことを期待しています。