二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ:今さら聞けない「認証」のハナシ(1/5 ページ)
専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「二段階認証」と認証の仕組みについて。
ほとんどの人が日常的に行っている、ログイン(サインイン)などの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。
本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。
前回記事の最後に次回も生体認証について説明すると予告しましたが、今回は7月初旬に発生したモバイル決済サービス「7pay」不正利用事件を取り上げたいと思います。この事件で注目を浴びた「二段階認証」を起点に、本人認証の基本と注意点を見直していきます。
「7pay」不正利用事件の流れ
7月1日にサービスを開始した7payですが、サービス開始の翌日にはユーザーからコールセンターに不正利用の旨が報告されました。現在は新規登録と、決済に使う「7payマネー」のチャージを停止しています。
セブン&アイ・ホールディングスは16日、1574人が被害に遭い、3240万688円の不正利用を確認したと発表しました(11日午後5時時点)。
セブン-イレブンアプリへの不正ログインの原因は何だったのでしょうか。原稿執筆時点では、はっきりとした理由は公表されていません。各紙の報道やSNSで推測されている原因の中で、認証に関連する内容は以下の通りです。
- リスト型攻撃
- パスワード再設定機能の不備
- オープンID連携の不備
これらの攻撃や不備の内容を教訓に、私たちが気を付けるべきことをまとめてみました。
リスト型攻撃
リスト型攻撃は、過去に漏えいしたパスワードのリストを利用して、不正ログインを試みる攻撃です。サービスごとに異なるパスワードを使うことで、あるサービスでパスワードが漏えいしたとしても、他のサービスでの不正利用を防げます。しかし、今回の事件ではこの対策をしていた利用者も被害に遭ったという報告がありました。
とはいえ、リスト型攻撃の対策をすることは無駄ではないでしょう。しかし「サービスごとに別のパスワードを使うべき」という注意喚起は至るところで行われているものの、まだ浸透しきっていません。そこで今回の事件で注目を集めた「二段階認証」が対策として登場するのです。二段階認証の詳細は後ほど説明します。
Copyright © ITmedia, Inc. All Rights Reserved.