日本からサービスを利用できないため詳細は確認できないのですが、Disney+は2段階認証を採用していなかったといいます。これはサービス利用者以外のログインを認めてしまう最大の要因です。それでは、サービス運営側がするべきなのは「2段階認証の導入」だけでしょうか?
この点に関して、すでに日本で運営するWebサービス提供者たちが、さまざまな試行錯誤を重ねています。NPO日本ネットワークセキュリティ協会(JNSA)が2019年7月に開催したセミナーに登壇したディー・エヌ・エーの茂岩祐樹氏(システム本部 セキュリティ部)は、その対策の難しさを語りました。
【7pay、Omni7問題】企業、利用者、メディア、エンジニアは何を教訓にすべきか(@IT)
DeNAのサービスは、スマートフォン向けであるがゆえに、“ログインできる箇所がいっぱいある”という特徴を持ちます。茂岩氏によれば「そもそもの認証設計を見直す『認証フローの設計チェック』、アカウント登録時にそもそも弱いパスワードをつけないように促す『最低認証強度の底上げ』、必要に応じて2段階認証や固有デバイスのひも付けなどを行う『サービス特性に合わせた認証システムの導入』などを実施している」とのこと。
それ以外にも、短時間で繰り返し行われるログイン施行を「不審な挙動」として検知する試みや、パスワード以外のデータが漏れている前提で本人確認の抜け道ができていないかを確認するというお話は大変興味深いものでした。
しかし、サービス提供者側にできることは限られています。「スクリプトを使って不正に得たIDとパスワードを次々に組み換え、自動で大量にログインを試す」といったことは検知できても、人間が操作するような速度で不正アクセスを受けた場合、検知は非常に困難です。
不正アクセスの被害が顕在化するのは「2段階認証を利用せず、IDとパスワードを複数のサービスで使いまわしていた人が、ログイン情報を盗まれた場合」です。全てのサービスに2段階認証が実装されるまで「パスワードの使い回しをしない」という古典的な対策は有効なのです。
今年もJPCERTコーディネーションセンター(JPCERT/CC)を中心に、多くの企業が賛同する「STOP! パスワード使い回し!キャンペーン2019」が始まっています。筆者の身近にも、パスワードの使い回しがきっかけの被害が増えています。そうなる前に、パスワードへの心構えを変えていきましょう。
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。
Copyright © ITmedia, Inc. All Rights Reserved.