いまさら人に聞けない『 #二段階認証 』とは?

読売テレビ『ウェークアップ+』の二段階認証説明のフリップ 出典:筆者撮影

KNNポール神田です。

□「私自身は認識していない」

 セブンペイを運営するセブン・ペイの小林強社長は、東京都内で(2019年7月)4日に開いた緊急記者会見で「2段階認証」についての質問にしどろもどろとなった。スマホ決済で一般化している安全対策を、トップが把握していない実態を露呈した。

出典:7Pay、2段階認証知らず社長しどろもどろ 縦割り、セブン銀とも交流なし

決済を担当する企業の社長ですら余り認識されていなかった『二段階認証』。そもそも、この『二段階』という言葉そのものが誤解を生んでいるのかもしれない…。

■テレビ局でさえ、テロップをまちがってしまうほど普通の人には理解に苦しむ『二段階認証』のしくみ

2019年7月6日(土)のよみうりテレビの『ウエークアップ+』より

おそらく『二段階』という言葉が招いた誤解の典型的なパターンだろう。これは、ユーザーが登録する時のプロセスを再現したフリップであるが『二段階認証』の説明ではない。たしかに、一段階目で登録し、確認メールをみて、本登録で、『二段階』目とは、なっているが、これは『二段階認証』のしくみではない。

よくあるメールアドレスの確認による登録方法だ。

このフリップの段階で左側の企業が『認証』しているのは『電子メール』だけだ。本登録でも『パスワード』だけなので、いわば『一段階認証』である。『二段階認証』の世間の認識は、登録する時の『二段階登録』だった。

■NHKのニュースでも『二段階認証』の説明を省略しすぎている…

NHKの『二段階認証』の説明 出典:NHK
NHKの『二段階認証』の説明 出典:NHK

一般的にスマホ決済では、サービスの利用登録を行う際、先ずメールアドレスなど個人の情報を入力します。すると、本人を確認するため、メールでその時かぎり有効なワンタイムパスワードなどが送られてきて、これを登録することでサービスが利用できるようになります。。しかし、7Payでは、個人情報を入力するだけで登録が行える状況になっていました。

https://www3.nhk.or.jp/news/html/20190705/k10011984101000.html

おそらく、誤解のほとんどが、『初期登録時』における二段階認証の認識である。

こちらにも詳しい

https://note.mu/masuipeo/n/n5e11ace69d57

■NTTドコモ dアカウントの『二段階認証』の説明

□2段階認証とは、ID/パスワード入力の他に、アプリでのログイン可否の選択や、セキュリティコードの入力を追加することで、お客様以外が不正に情報にアクセスすることを防止する仕組みです。また、同じブラウザからの接続の場合、2回目以降の2段階認証は省略されるため、普段お使いのブラウザでの操作は面倒にはなりません。2段階認証の設定を強にすることを強くおすすめします。

出典:2段階認証とは

スマートフォンなどの場合は、同じブラウザなどがその端末では一度、『二段階認証』された端末として、認証しているので、毎回認証しなくて済んでいる。なので『二段階認証』は登録時だけのものとなっているが、個人が同一人物であっても、別端末や別ブラウザからログインを試みた場合は『二段階認証』が必要となる。

■そもそも、『二段階認証』とは?…

多要素認証の世界観 出典:筆者作成
多要素認証の世界観 出典:筆者作成

1.電話番号やメールアドレス、パスワードやPINコードなどの『自分が覚えている要素(知る要素・知識情報)』

WHAT YOU KNOW (knowledge factor)

2.ワンワイムパスワードやSMS、ICカードなどの『自分が覚えている要素以外(持つ要素・所持情報)』

によって、個人を『二つの要素』で『認証』するしくみのことを『二要素認証』という。

WHAT YOU HAVE (possession factor)

そして、簡単に覚えるために、『二段階認証とは、自分が覚えている要素と自分が覚えていない要素の掛け合わせを二段階で行い』個人を認証する方式と覚えればよい ※厳密には二段階で行う認証方法。それによって、電子メールアドレスとパスワードの第一段階から、自分が覚えていない要素をデバイスに入力という二段階になることによって、かなりセキュリティが強化されることとなる…現在のところはだが…。

しかしだ。『ID=電子メール』というのも、名刺に印刷された電子メールほど、社会に出回っているものはない。もはや半分ハッキングされているようなものだと筆者は考えている。ID=電子メールに変わるものも必要だ。

そして、最大の問題はパスワードの使い回しや、誕生日や『12345』などをパスワードにしている人の多さだ。今すぐパスワード管理ソフトウェアの導入を考えてみよう。筆者は 『1password』を使用している。

そして、最新スマートフォンなどの場合は…二段階の認証に加えて…

3.顔認証や指紋認証、静脈、声紋などの『(備える要素・生体情報)』の多要素な認証があるのでより堅牢なセキュリティのしくみとなる。WHAT YOU ARE (inherence factor)

ここ最近のスマートフォンの指紋認証や顔認証で、万一の紛失や盗難となった場合も、悪用される恐れは非常に少なくなってはきている。

※多要素認証方式は、『MFA:Multi-Factor Authentication』とも呼ばれる。

そして、MFA専用のスマホアプリもある。

A.「Authy

B.「Google Authenticator

C.「IIJ Smart Key

などがある。 ※iOSの場合

今回の『7Pay』の場合は、最新スマホを持っていない人や、ガラケーの人、通信キャリアメールを使用の人までを想定していたからセキュリティ設定が低くなったと考えられる。そして、記者会見での対応の甘さが露見したカタチだ。早急にITの責任者を社内で設置すべきだろう。しかし、あくまでもセキュリティの脆弱性を叩くよりも、クラッキングする側をもっと叩かなければならない。クラッキングすることが経済的に効率の良い社会になっている事のほうが問題なのだ。より高度なセキュリティがより良い社会とはいえない。

筆者はITまわりのセキュリティには慎重だが、家にはカギをかけたことがない。カギを毎回かける時間的コストのほうが盗難のリスクよりも高いからだ…。