大手の主要なサービスでは、これまでのパスワード認証に別の認証方法を加える「二段階認証」を提供している。不正ログインを防ぐ強力な機能だが、決して万能というわけではなく、しばしば弱点を突かれて破られてしまう。
さまざまな場面で使用されているパスワード認証は、何らかの方法でパスワードを入手されたり、安易なパスワードを推定されたりすると、本人になりすましてログインされてしまう。そこでもう一段認証を追加し、パスワードが破られても侵入されないようにするのが二段階認証だ。二段目の認証には、専用のハードウェアやアプリ、メール、SMS、音声通話など、一段目とは異なる手段による認証を追加するのが一般的だ。
一段階目のパスワードに「このパスワードを知っている人=本人」という記憶に基づいたものを使用し、二段階目には持ち物や生体情報といった別の要素を用いる方式は「多要素認証」とも呼ばれる。また、現在使われている二段階目のパスワードのほぼすべては、認証に毎回異なる使い捨てのパスワードを使用しているので、「ワンタイムパスワード」でもある。
■「ワンタイムパスワード」の弱点
二段階認証に使われているワンタイムパスワード(OTP)は、一定時間だけ有効な数桁の数字が一般的で、誰がどの用途で使うのかは問わない。有効時間内であれば、第三者が別の端末から、場合によっては何回でも使用することができる。有効時間は手段やサービスによって異なるが、ハードウェアやアプリが数十秒から1分程度、SMSや音声通話が数分、メールが数分から数十分程度だ。この間にOTPが第三者の手に渡って使われてしまうと、認証を突破されてしまう。
現在発生している二段階認証が破られる被害の多くは、このOTPの弱点を突いたもので、マルウェア(ウイルス)感染、フィッシングなどコンピュータ・ネットワークを使った手口もあれば、覗き見や聞き出しといったアナログな手段も用いられている。
最近の事例では、佐川急便を装うAndroid用の偽アプリ、佐川急便や携帯通信事業者を装うフィッシング、LINEを乗っ取るフィッシングが、SMSや電話、アプリを使ったOTPを破り、金銭被害を出している。被害状況は不明だが、仮想通貨関連のbitFlyer(ビットフライヤー)とCoincheck(コインチェック) が先月、OTPなどを聞き出す不審な電話が確認されたとして注意を呼びかけた。具体的な事例と対策は、次回にご紹介する。
■「多要素認証」の弱点
パスワードによる認証は、第三者にパスワードが知られるだけで「なりすまされて」しまう。パスワードではなく持ち物を使用する認証は、その持ち物が錠前を開ける鍵になる。鍵を盗まれると開錠されてしまうように、「物」が盗まれれば勝手に認証が行われてしまう。その一方で、鍵を盗まれた本人は開錠できなくなるという別の問題が生じる。
こうした問題を踏まえ、持ち物を使用する認証では、盗難や紛失、故障などの際に、本人が認証できなくなってしまうことのないように、事前に発行した二段階認証をパスできる特別なパスワードや、二段階認証を無効化する手順などが用意されていることが多い。万一に備えた配慮だが、時にはこれが新たな弱点になることもある。
例えばよくあるのが、登録メールアドレス宛てにリセット用のリンクやコードを送るサービスだ。この送付先のメールアカウントが侵入されると、使用している全てのサービスのセキュリティ機能がご破算になってしまうことがある。実際、メールアカウントの不正ログインから、そのメールアドレスを登録していたサービスが次々に侵入され、被害が波及してしまう問題が起きているので、注意していただきたい。
「生体情報」は、本人を拉致すれば確実かもしれないが、そこまで大掛かりなことをせずとも、複製などの方法でなりすませる可能性がある。オンラインサービスの不正ログインを想定すると、記憶や持ち物よりもハードルは高いが、今のところスマートフォンを使用した「持ち物」ベースの認証が普及しはじめた段階で、生体認証はもう少し先の話になりそうだ。
(2018/08/30 ネットセキュリティニュース)
【関連URL】
・bitFlyer(ビットフライヤー)の当該ツイート(2018年7月20日)
https://twitter.com/bitFlyer/status/1020268611443646464
・bitFlyer(ビットフライヤー)の当該ツイート(2018年7月25日)
https://twitter.com/coincheckjp/status/1021941391373430784