二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ：今さら聞けない「認証」のハナシ（5/5 ページ）

[鳥羽信一，ITmedia]

「認証の置き換え」を意識してみよう

　先ほど、7payは既にパスワード認証（実際にはメール認証）を行っている7iDとひも付けるため二段階認証になる、と予想しました。他のモバイル決済サービスでは、事実上はSMS認証のみの場合があります。利用者の方は、ひも付いているSIMカードの管理に注意しましょう。実は、海外ではSMS認証の脆弱性が指摘されています（※3）が、これは利用者側では注意しきれない問題です。

　SMS認証は「SIMカードの所有」を要素とした認証です。そのSIMカードを所有しているのが本人だということは、どう担保しているのでしょうか。それは、そのSIMカードを提供している通信事業者との契約です。契約時には運転免許証などで身分証明をしたかと思います。では、その身分証明書を発行したのは･･････とさかのぼっていくと、その身分証明書の発行機関との手続きが認証の根本となるわけです。

　となると、身分証明書を偽造されるとSIMカードを乗っ取られる可能性があります。とはいえ、一般人であれば偽造されることまでは心配しないでいいでしょう。しかし海外では、身分証明書の偽造や、通信事業者の本人確認の不徹底による電話番号の乗っ取りが発生しているようです。

※3：米国立標準技術研究所（NIST）の認証に関するガイドライン「NIST Special Publication 800-63B」参照

　この「SIMカード→身分証明書」のような「認証の置き換え」は他でも行われています。

「認証の置き換え」の例

　前述しましたが、パスワード認証は「パスワード再設定をメールで行える場合はメール認証からの置き換え」になりますし、メール認証は「メールサービスに接続するパスワードからの置き換え」と表現できます。パスワードを発行することで、さらに置き換えが発生しています。

　iPhoneのTouch IDやFace IDは、パスコードを生体認証に置き換えています。パスワードを手帳にメモしたり、パスワード管理アプリに記憶させたりするのも、知識から所有物への置き換えといえます。

　大抵のサービスは、過去の例にならって認証システムを作っているのではないでしょうか。過去に問題がなかったため採用されている方法であっても、今回の7pay事件のように穴があったり、認証システム側の技術の陳腐化や、不正利用側の技術の進歩で問題が発生する場合もあります。

　自分の資産や重大な個人情報を扱うようなサービスを使い始める際には、この「認証の置き換え」も意識して、サービスの内容を確認することをお勧めします。また、事件が発生した場合には「認証の置き換え」の各段階を整理して、どこかに穴がなかったかを精査しましょう。

　セブン&アイは、セキュリティ対策強化のためのプロジェクト組織を発足し、7月中に不正利用の発生原因の特定と、セキュリティ強化策を取りまとめるようなので、まずは発表を待ちたいと思います。

　次回は、前回の生体認証の続きに戻って、生体認証におけるデータの登録・保管についてと、生体認証の中でも導入が進んでいる顔認証について書く予定です。

著者紹介：鳥羽信一（とば・しんいち）

業務用に「トークンレス・ワンタイムパスワード」を中心とした認証ソリューションを提供する認証製品「PassLogic」や、一般向けにパスワード管理アプリ「PassClip」を提供する認証セキュリティ専門企業、パスロジにてマーケティングを担当。

日常生活やビジネスにおける「認証」の課題は、サービス提供者側だけでなく、利用者も正しい知識を持って対策することで解決に近づくと考え、「認証」に関する知識や情報をわかりやすく、カジュアルに伝える情報サイト「せぐなべ」を運営しています。