二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ：今さら聞けない「認証」のハナシ（4/5 ページ）

[鳥羽信一，ITmedia]

モバイル決済サービスにおける認証の位置づけ

　ところで、モバイル決済サービスでの認証はどこで行われるものなのでしょうか。実際に店舗で決済する際に、毎回パスワードを入力したり、SMSを確認したり、その両方を行うのは利便性の面から現実的ではありません。（※2）

　アカウント登録時に、スマホにインストールしたアプリとサービスのサーバ上のアカウントをひも付け、アプリとサーバを接続し続けるのが現在の現実的な仕様です。スマホの機種変更や、何らかの理由でアプリを再インストールする際に、以前使っていたアカウントのみ認証するという流れになります。

※2：店舗での決済の際には、アカウントにひも付けされたアプリがインストールされたスマホの所持（所有物要素）と、生体認証やパスコード入力によるスマホのロック解除（生体要素か知識要素）の2要素で認証しているといえます。あくまでも、スマホのロックをきちんと設定している必要があります

　セブン＆アイが7月5日に発表した「二段階認証の導入」は、どのようなものになるのでしょうか。公式発表がないので、以下はあくまで筆者の想像です。

　7payは、セブン-イレブンアプリから7iDのアカウントにログインして使用します。7iDへのログインにはIDとパスワードが必要です。ただし、パスワード再設定にはメールを使います。これを1段階目として、2段階目にSMSを利用するのです。この構成ですと、「パスワードもしくはメール＋SMS」という二段階・二要素認証になります。

　7iDはPCなどのブラウザでも使えるWebサービスでも使われているので、このようなメールの確認も含めた二段階・二要素認証の構成になるだろうと想像しました。他のモバイル決済サービスの場合、「パスワード＋SMS」の組み合わせが多いようです。

　この構成だと、パスワードの再設定にSMSを使っている場合、実際にはSMSのみの認証といえます。認証時の手順は2段階ですが、認証要素としてはSMSしか使っていません。だからといって一概にセキュリティが十分ではないとはいいませんが、SMS認証が破られると、無防備になることは留意しておきましょう。

　SMS認証は、電話番号にひも付くSIMカードが認証要素です。したがって、SIMカードを抜き出して、別のスマホに差し替えれば、そのスマホで電話番号に届くSMSが受け取れます。

　ただし、パスワード再設定用のSMSメッセージを送信する際に、生年月日など赤の他人は知り得ないであろう個人情報の入力も必要になっていれば、スマホを紛失しても不正利用される可能性は大幅に下がります。とはいえ、何らかの手段で個人情報を知られてしまうこともあると思います。モバイル決済サービスを利用していて、スマホを紛失してしまった場合は、早急にSIMカードを無効化する手続きをしましょう。

• SMS認証の仕組みと危険性、「TOTP」とは？ 「所有物認証」のハナシ