認証方法は「IDとパスワードのみ」が7割超 ネットサービス事業者の甘さ露呈(1/2 ページ)
7payの不正利用が発覚する直前のタイミングで、フィッシング対策協議会が「インターネットサービス提供事業者に対する『認証方法』に関するアンケート調査結果報告書」を出した。
サービス開始早々に不正ログインが相次いだモバイル決済サービス「7pay」。7月11日の時点で少なくとも1574人のユーザーが被害に遭い、被害総額は約3240万円に上ったと報じられています。発覚から約3週間がたった今も、運営元のセブンペイは不正利用の原因調査を進めており、7月中をめどに脆弱性への対応策をまとめ、公表する方針です。
情報が錯綜していたり、不足していたりする中ではありますが、既にさまざまな記事で原因が推測されています。パスワードリスト攻撃の可能性に始まり、サービス側の実装の不備、具体的にはパスワードリセット機能の不備や二段階認証の欠如、さらには外部サービスと連携する際のOpenID Connectというプロトコルの実装に関する脆弱性など、多くの問題が指摘されました。
この中で筆者が少し驚いたのは、報道を巡って「金銭取引や決済が関連するサービスならば、『二段階認証』『多要素認証』は実装すべき」という意見が多数派だったことです。10年前ならば、ユーザーにひと手間かけさせるこうした手続きは、特にサービス企画・提供者側からは「ユーザーの離脱を招く」として嫌われがちでしたし、ユーザー側にも「何だか面倒なもの」という意識が強くありました。
けれどTwitterなどでの反響を見ていても、また世耕弘成経済産業大臣の発言からも、二段階認証が「基本中の基本」の対策と捉えられていることが分かります。少なくとも、サイバー犯罪者にとって魅力の高い決済サービスと直結する処理ならば、二段階認証による一手間は、利便性うんぬん以前に必須の手続き、というわけです。
なまじ昔からシステムに携わっている人ならば、これまでの自分の常識ベースで考えてしまいがちです。しかしセキュリティを巡る「常識」、技術を巡る「常識」の変化を捉えてサービスを設計することが重要だとあらためて感じました。
認証方法は「IDとパスワードのみ」が7割超
7payの不正利用が発覚する直前のタイミングで、フィッシング対策協議会が「インターネットサービス提供事業者に対する『認証方法』に関するアンケート調査結果報告書」と題する興味深いレポートを公開しています。銀行やECサイト、ゲームなど10の業種を対象に、利用者の認証方法について2019年2月に尋ねたもので、計308件の回答が得られました。
この中で「個人認証を主にどのような方法で実施していますか」という問いに対し、「多要素認証」と回答したのは19.8%。76.9%と圧倒的多数が「IDとパスワードのみ」という結果でした。
また「ポイントの利用やクレジットカードの利用など、ユーザーにとって資産価値のあるものを使用する際には、追加の認証を必要としている」と答えたのは66.9%で、特にECサイトやゲーム業界で高い結果となりました。しかし、裏を返せば約3分の1は、決済など金銭的価値、資産価値の移動が伴う処理でも、追加の認証を求めていないことになります。
一方で、「セキュリティとユーザビリティ、主にどちらを認証技術に求めますか」という問いには、事業者の75%が「セキュリティ」と回答し、特に銀行や証券といった業種で高い結果となりました。
これは「IDとパスワードのみの認証が76.9%を占める」という結果とは、ちょっと矛盾するように見えます。おそらく、「セキュリティと利便性は相反するから仕方ない」という判断から、現状の認証方式を選択しているようにも読み取れます。
けれど本当に、この2つは両立できないのでしょうか。前述の通り、さまざまなセキュリティ事故を背景に、利用者のセキュリティに対する意識は大きく変わりました。「なぜこの処理が必要なのか」を説明すれば、多少の手間も理解してもらえる素地が広がっています。むしろ、不十分なセキュリティ対策のままサービスを運用する方が、ユーザー離れにつながる恐れもあるでしょう。
具体的な利用シーンを想定し、各プロセスに潜むリスクを洗い出し、何と何をてんびんにかけているのかを問い直してサービスを設計すれば、利便性とセキュリティを両立・共存させる道も見えてくるのではないでしょうか。
Copyright © ITmedia, Inc. All Rights Reserved.