生体認証やICカード認証の弱点を認識せよ：会社に潜む情報セキュリティの落とし穴（2/3 ページ）

[萩原栄幸，ITmedia]

ICカードのセキュリティも完璧？

　金融機関がICカードを盛んに発行し始めた数年前での出来事です。わたしが勤務していた銀行でもICカードを盛んに売り込んでいましたがなかなか顧客に浸透せず、わたしもこの事態を想定していました。磁気カードからICカードにすると、そのキャッシュカードが使えるのはICカードに対応したATMだけになってしまいます。コンビニエンスストアのATMでも使えず、他行のATMでも使えません。同じ銀行のATMでも、ICカード対応ATMしか使えないのです。

　これではセキュリティ意識の高い一部の顧客を除いて、なかなか浸透しません。関係者は、発行枚数が増えれば自行のATMすべてで利用できるようになり、他行のATMでも使えるようになって急速に浸透するだろうと予想していました。

　ところが、セキュリティ専門家なら「顧客を誤解させる」と指摘したくなる手法を取り入れた金融機関が現れました。「磁気カードでもICカードでもどちらも使えます。セキュリティを強化した磁気カードのようなもので、より強固なICカードとしての特性を持ち、しかもコンビニエンスストアのATMでも利用できます」とうたっていました。

　つまり、コンビニエンスストアのATMでは磁気カード情報で本人認証を行い、ICカード対応ATMではICカード認証として、そこに静脈認証などを加えた認証を実現する仕組みだったのです。しかし、このうたい文句は「ウソ」であり、これはセキュリティを強化するものではありません。

　というのも、今までは認証するためのドアが1つしかなく、そこのドアを開いて向こうにある「現金引き出し」機能などを利用していたので、ここでの認証を強化する必要があったのです。この金融機関のケースは、従来からあるドアの隣にもう1つ別のドアを作ったようなものです。ここは「ICカード認証室」と呼ばれ、同じIDや生体認証の結果がOKであれば、このドアからでも現金を引き出せる仕組みというわけです。

　論理的に考えると、もう1つのドアにおけるセキュリティ上の防御率が仮に100％だったとしても、ドアが1つだった従来の仕組みとセキュリティ強度は同じなのです。現実には100％の防御はあり得ないので、セキュリティが向上するからとうたって、顧客を誘導する行為は間違いだと言えます。

　最近ではセキュリティ対策も向上しており、わたしが勤務していた銀行でもコンビニエンスストアのATMで使えるICカードが登場しました。顧客には丁寧に説明しており、問題は起きてはいないようです。

　また、磁気カードの引き出し上限額が極めて小額になりました（ゼロ円という銀行もあり、この場合は窓口で本人確認をしてから、上限を変更しないと、磁気カードで引き出しそのものができない）。本人の意思確認を経るため、トラブルも激減すると期待されます。万が一トラブルになっても、銀行は「あなた自身で引き出し限度を変更したのです」と指摘されるだけです。

　読者のキャッシュカードはどうなっているのでしょうか。もし磁気でもICでも使えるタイプならば、セキュリティ上脆弱になっている可能性があります。磁気を使わないのであれば、磁気カードの引き出し上限額の設定を可能な限り最小しておくのがいいでしょう（一部の金融機関では磁気カードだけの上限を変更できない場合があります）。