2017年11月

企業のITセキュリティ講座

なりすましを防ぎ、厳格に本人認証をする「多要素認証」

テキスト/吉澤亨史

さまざまなサービスへログインするための認証方式は、現在もIDとパスワードの組み合わせが主流だ。しかし、複数のサービスごとに異なるパスワードを設定して管理することは難しく、結局パスワードを使い回してしまい、結果として一つのパスワードの漏えいが大きな被害を生んでしまう。そこで導入が進んでいるのが、別の認証方式を加える「多要素認証」。ここでは多要素認証について紹介する。

狙われる個人の「ログイン情報」

サイバー犯罪者がサイバー攻撃を行う目的の一つに「情報」がある。その理由は、金銭に変換しやすいことと、活用性にある。いわゆる機密情報の場合は、資金が豊富な組織から依頼されるケースが多いため、盗み出した場合の報酬も大きいが、標的型攻撃のような手の込んだ攻撃が必要になる。一方、個人情報は比較的入手しやすいうえに、そのデータを分析することで別のサイバー攻撃にも活用できる。

例えば、サイバー犯罪者が、何らかのサービスにおけるIDとパスワードの組み合わせ(ログイン情報)が含まれた個人情報を入手した場合、そのサービスへ本人になりすましてログインし、さらなる情報や利益を得られる可能性がある。しかし、それだけではない。

まず、膨大な量の情報からパスワードの統計を取ることで、よく使われるパスワードが判明する。その上位の順番のパスワードをマルウェアに辞書として仕込んでおくことで、辞書攻撃(システムなどに対して大量のパスワードを試す攻撃)の成功率を上げることができる。また、入手した情報にメールアドレスも含まれていれば、メールアドレスとIDの相関関係も分析できる。IDにメールアドレスの「@」より前の文字列を設定するケースは多いので、IDを想定しやすくなるわけだ。

さらには、現在は一人のユーザーが20近いサービスを利用していると言われているが、サービスごとに異なるパスワードを設定せずに、同じパスワードを使い回す傾向がある。そのため攻撃者は、入手した個人情報のIDとパスワードの組み合わせを別のサービスで試すことが多い。これで実際にログインできるケースも多く、ユーザーはさらなる被害を受けることになってしまう。

それがショッピングサイトであれば、サイバー犯罪者に買い物をされてしまうし、勝手にパスワードを変更されてしまえば、ユーザーはサービスの解約さえできなくなってしまう。最近は個人情報漏えい事件が度々ニュースで報道されており、危険なことという感覚が鈍くなってしまいがちだが、ログイン情報は非常に重要なものであり、サイバー攻撃者も常にそれを狙っている。

インシデント件数と漏えい人数の経年変化(合計)(特定非営利活動法人日本ネットワークセキュリティ協会
2016年情報セキュリティインシデントに関する調査報告書 資料より)

特定非営利活動法人日本ネットワークセキュリティ協会 :2016年情報セキュリティインシデントに関する調査報告書

目次へ戻る

追加する認証方式

ログイン情報がIDとパスワードの組み合わせのみであると、その情報が漏れてしまった場合はだれでもログインできてしまう。そこで、IDとパスワード以外に個人を特定できる要素(認証方式)を追加するケースが増えている。複数の認証方式を組み合わせることで、他人にログインされる可能性を低くすることができる。これを「多要素認証」という。

認証方式にはまず、セキュリティレベルによって「知識認証」「所有物認証」「生体認証」の3種類がある。知識認証は、IDとパスワードの組み合わせのように、その情報を知っていればログインできる認証で、セキュリティレベルは低い。IDとパスワードだけでなく「秘密の質問」を入力させるケースもあるが、これも知識認証の域を出ない。

そこで、本人しか持っていないものを認証に使用するのが所有物認証だ。銀行側で配布される「乱数表」も所有物認証に該当するが、銀行のオンラインバンキングサービスなどでは、「ワンタイムパスワード」を併用する場合がある。銀行が提供する「トークン」と呼ばれる機器に表示されるパスワードを、ログイン時に入力するというもので、そのパスワードは毎回変わる。

最近では、スマートフォンにワンタイムパスワードを送るケースもある。サービス側とユーザー側の両方のシステムに電子証明書をインストールする方法も、所有物認証の一つだ。しかし、所有物認証においても、それが盗まれてしまえば、なりすましが可能になるので、完全な方法とは言い切れない。また、トークンに脆弱性が発見され、それを悪用してワンタイムパスワードを盗み出すケースも以前に発生している。

現在、最も安全な方法とされているのが、ユーザーの身体の一部を認証に使用する「生体認証」だ。具体的には、指紋、声紋、目の虹彩(こうさい)や網膜、顔、手のひらや指の静脈といったものを認証に使用する。身体の一部を使うので複製が困難で、なりすましが難しくなっている。セキュリティレベルは最も高い。その精度はどんどん向上しており、また認証に使用する機器も安価になってきたため、採用されるケースが増えている。

認証の種類とセキュリティレベル

目次へ戻る

モバイルでの多要素認証

IDとパスワードの組み合わせのみによるログインの安全性が低くなってきたことから、徐々に多要素認証を採用するケースが増えてきた。その背景には、スマートフォンの普及がある。スマートフォンの性能の進化は著しく、またさまざまな機能を搭載しており、機能拡張も容易だ。これにより、所有物認証と生体認証の両方の要素を実現できる。

所有物認証としては、パソコンと連携してスマートフォンをトークンのように使うこともできる。例えば、サービスにスマートフォンの電話番号を登録することで、認証の際にSMS(ショートメッセージ機能)を使ってワンタイムパスワードを受け取ることができる。これは連携アプリによって実現することもできるだろう。

また、高性能化が進むカメラは、生体認証にも活用できる。解像度は非常に高いので、アプリの機能によって指紋認証や顔認証、虹彩認証に対応できるし、実際にこれらの認証機能を搭載している機種もある。静脈認証が搭載される日も遠くはない。たとえ紛失や盗難に遭っても第三者にログインされる可能性が低い。認証のためのデバイスを別に用意する必要がないので、コストもかからないし持ち歩きに邪魔になるようなこともない。

最近では、多要素認証を採用するサービスも増えており、歓迎すべきことと言える。オンラインバンキングサービスなどは、早期から利用通知を実施している。これは、サービスにログインがあった場合や、引き落としや振り込みといった操作が行われた場合に、あらかじめ設定したメールアドレスに通知を送るものだ。これにより、たとえログイン情報を盗まれて不正行為が行われたとしても、早期に気づくことができる。

クラウドサービスにおいても同様で、例えば常に使用するパソコンやスマートフォンといったデバイスを登録しておき、それ以外のデバイスでログインがあったときには通知が送られる。これは場所にも対応しており、海外など普段と異なる場所でログインがあったときにも同様に通知される。このように、今後もサービス、デバイスともに多要素認証の導入が進んでいくことを期待したい。そして何より、利用するユーザー本人がログイン情報の重要さを理解して利用することが大事だ。

スマートフォン搭載のカメラによる指静脈認証(株式会社 日立製作所のニューリリースより)

株式会社 日立製作所:ニュースリリース

目次へ戻る