　モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、運営元のセブン・ペイが7月4日、記者会見を開いて謝罪しました。その中で、記者が「なぜ、二段階認証を導入していなかったのか」と質問しましたが、同社の小林強社長が明言を避け、ネット上で波紋を呼んでいます。ここで問題視されている「二段階認証」とはどのようなものでしょうか。

二段階認証とは？

　二段階認証とは、Webサービスなどにログインする際、ID・パスワードの他に、メールやSMS（ショートメッセージサービス）で送られてくるコードを入力する――というように、利用者認証を2回に分けて行う手法です。パスワードが流出した場合に備え、チェック機能をもう一段階設けておくことで、アカウントの乗っ取りを防ぐ目的があります。

　少し似た言葉に、多要素認証（二要素認証）というものもあります。認証に使う「要素」には、ID・パスワードなどの「本人しか知らない情報」の他、ICカードやスマホなど「本人が持っている物」、さらには指紋や虹彩など「本人の身体的な特徴」といった種類があり、これらを組み合わせるのが多要素認証です（関連記事）。

　7payでは、こうした二要素認証や多要素認証を採用していなかったため、第三者が会員ID（メールアドレス）やパスワードを知っていれば、アカウントを乗っ取ることができてしまいました。

二段階認証にも弱点はある？

　二段階認証は、Webサービスやスマホアプリに広く使われていますが、弱点もあります。例えば、内閣サイバーセキュリティセンター（NISC）が公開している「インターネットの安全・安心ハンドブック」をみると、76ページ目に「二段階認証を破る『中間者攻撃』」という解説があります。

　ハンドブックでは、PCから二段階認証に対応したネットバンキングなどを利用する際の注意点を紹介。銀行のサイトにIDとパスワードを入力してログインするとき、使い捨てのパスコードがスマホに送られてきて、PCで入力する例を挙げています。

「インターネットの安全・安心ハンドブック」の「二段階認証を破る『中間者攻撃』」より

　このとき、利用者が銀行サイトだと思い込んでいたものが、攻撃者が用意した偽サイトだと、入力したパスコードが攻撃者にも分かってしまう――というわけです。二段階認証では、こうした中間者攻撃を防げない場合もあります。NISCは「結局、偽サイトによる攻撃は、利用者自身で自分がどこのWebサイトを見ているのか、注意して確認する以外に対策はありません」と呼び掛けています。

　今回の不正ログイン被害をきっかけに、皆さんが使っているWebサービスやスマホアプリのセキュリティはどうか、確かめてはいかがでしょうか。

本当に安全？　「二段階認証」のハナシ
私たちにとって身近になってきた「認証」の話。今更聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。
「認証の回数が多いほど安全」は間違い？　二要素認証のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは「二要素認証」。
「脆弱性は見つからなかった」　セブン・ペイ緊急会見の“甘すぎる認識”
モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、運営元のセブン・ペイが緊急会見を開いた。
7pay、チャージと新規登録を停止　不正ログイン被害額は約5500万円、「全て補償する」
「7pay」で不正ログイン被害が相次いだ問題で、運営元が7payへの電子マネーのチャージと、新規のアカウント登録を一時停止。不正アクセスの被害者は約900人、被害額は約5500万円（4日現在）で、全て補償するという。
7payのパスワード再設定に脆弱性、運営元が対策　「解決していない」との指摘も
セブン・ペイがこのほど、ログインパスワードの再設定手順を変更したことが分かった。ネット上では「解決していない」という声も上がっている。