二段階認証とは?SMS等を活用しログイン時のセキュリティをより高める対策を

公開日:2019/08/20  更新日:2019/08/21
  • このエントリーをはてなブックマークに追加

二段階認証とは?SMS等を活用しログイン時のセキュリティをより高める対策を


 スマートフォンでの各種決済(ペイメント)サービスや、Webでの手続きなどが急速に普及する中で、利用やログインの際のアカウントセキュリティの管理が話題になるケースが増加しています。背景には、こうしたサービスの多くがクレジットカードや口座情報といった「個人の金融情報」と密接に結びついていることが挙げられます。脆弱性やリスクが放置されたままでは、アカウントそのものの乗っ取り被害等を皮切りに、大きな経済的ダメージを及ぼす可能性があります。

 アカウントのセキュリティを高めるため、システム側のセキュリティ強化はもちろんですが、SMSによる二段階認証などユーザー側での利用時の認証機構を強化することでの対策も実施されています。今回は、こうした決済・Webサービスの普及に伴うセキュリティリスクと、そのための対策についてご紹介します。


SMS配信サービス


 目次


  ・広がる「Web決済・手続き」のニーズ

  ・二段階認証を行うメリット

  ・認証に用いられる手段と方法

  ・SMSによる認証イメージ

  ・まとめ


広がる「Web決済・手続き」のニーズ


 キャッシュレス決済の進展は世界レベルで進んでおり、治安の良さや高い印刷技術による偽造防止対策から現金決済の比率が高い日本においても、流通額に占めるキャッシュレス決済の比率を80%(2015年時点では18%)にまで高めることが目標として掲げられています。
 「キャッシュレス決済」と呼ばれるものには、クレジットカードやデビットカードによる決済はもちろん、交通系ICカードに代表される電子マネーなどが含まれます。そして最近では、スマートフォンアプリによる決済サービスが、大規模な還元策や広告掲出の増加も相まって急速な普及を見せています。

 キャッシュレス決済では、そのほとんどが銀行口座やクレジットカード等金融情報の登録を必要としています。アプリ決済サービスもその例にもれず、クレジットカード情報や銀行口座情報との紐づけにより、即座に支払処理が行えるようになっています。即ち、「アプリ決済サービスのアカウント情報=金融情報」と言えるものであり、セキュリティリスクの放置がどのような危険をもたらすかについては、冒頭に触れたとおりです。

 また、これ以外にも「Web上で手続きを行う」機会はいたるところで存在します。銀行のネットバンクサービスやチケットプレイガイドのオンライン予約・発券サービス、さらにはタクシーの配車等、生活の様々なシーンで「Web完了型」の手続きが普及・浸透してきています。こうした中で、アプリ決済やWebサービスにおけるログイン、およびアカウントセキュリティの保全は各事業者にとって喫緊の課題となっています。


二段階認証を行うメリット


 セキュリティを担保する仕組みとして、ログイン時および決済・手続き実行時の認証フローを厳格化・複雑化することで、なりすましや不正ログインを水際で阻止する方策が多くのサービスで採られています。その中で、シンプルかつ確実性の高い手段として多く採用されているのが、いわゆる「二段階認証」の考え方に基づく認証フローです。

 二段階認証とは、例えば、ID・パスワードによる認証に加えて、PINコードの入力を求める、簡単な質問に回答させる、画像の文字を入力させる、等「もう1段階の認証機構を設ける」ことによるセキュリティ強化の方策です。また、生体認証などを組み合わせた「多要素認証」の考え方に基づく認証機構の導入も進んでいます。

 認証機構が、ID+パスワードの組み合わせによる「1段階」のみであった場合、その組み合わせが流出した場合に簡単に第三者によるログインが可能になってしまいます。特に、ログインIDはメールアドレス文字列など、一般にアクセス可能な情報と共通化されているケースも多く、何らかの理由でパスワードが流出し発生する「リスト型攻撃」や、いわゆる「総当たり攻撃」(考えられるパスワード文字列を手あたり次第試行される)にあった際のリスクが高いことから、認証機構の複雑化によりこれを回避することが有効な方策として認識されてきました。その中で二段階認証は、ユーザビリティへの影響を少なく抑えられ、かつ導入が比較的容易であることから、多くのアプリやサービスで採用されています。


二段階認証に用いられる手段


 二段階認証の方法としては、主に「ワンタイムパスワードの入力」「画像・文字情報の入力」「ユーザー設定による追加の質問(秘密の質問)」などが挙げられます。

・SMS等によるワンタイムパスワードの発行


 SMS(ショートメッセージ)での送信や、パスワードを発行するアプリを起動させることで、ログイン時にユニーク文字列(多くは4~6ケタの数字)を入力させるタイプの認証形式です。SMS送信で認証を行う場合、ユーザーの携帯電話番号が必要になりますので、予め番号を登録してもらったうえでサービスを利用してもらうことになります。携帯電話番号は、回線契約時にキャリア審査を経て付与されることから、強固な本人確認手段ともなり得、確実性の高い認証方式と言えます。また、SMSによる認証なら端末そのものを紛失した場合でも、通信キャリアに連絡し一時的に通信を停止させることでSMSの送受信を不可能にし、セキュリティを確保することが出来ます。

・ハードウェアトークンの活用


 ワンタイムパスワードを発行する手法として、電子的方式による送信のほかに物理的なトークンを用意し都度操作させる方法もあります。金融機関のサービスや、法人向けWebサービスでも導入されている手法の一つです。
 先日Googleが日本国内でも発売を開始した「Titan セキュリティキー」は、USB/Bluetoothで動作するハードウェアトークンで、各種Webサービスへのログイン時に接続(USBポートへの物理接続もしくはBluetooth接続)による認証を行えるようにするものです。発売に先立ち、Googleは2017年からテストを兼ね、85,000人以上の本社従業員全ての業務用アカウントに同製品(USBタイプ)の使用を義務付け。結果、アカウントハッキングの被害ゼロを達成し、2018年に米国で先行して商品化されたのを皮切りに同製品の世界展開を進めています。

・生体認証の活用


 iPhoneのロック解除に代表される「生体認証」を活用した認証も、近年普及が進む手法の1つです。
 主なものとしては、顔認証、指紋認証、静脈認証などが挙げられます。デバイス側での対応が必要になりますが、生体情報は強力な個人認証手段となることから、認証技術の進化に伴い、いわゆる「多要素認証」(所持情報、生体情報、知識情報から複数の要素を組み合わせて認証を行う)を実装する上で、その注目度が高まっています。

・画像・文字情報の入力


 ログイン情報の入力後に、画面に表示される画像の文字部分の入力や、簡単な絵合わせを行わせる方式で、Googleのログイン認証などでも広く導入されています。これは主に、ログインしているのが(botではなく)人間であるという確認で用いられることが多く、大量のアカウント取得や異常数のアクセス試行等、明らかに人間の操作ではないと思われる挙動をブロックするのに有効です。一方、逆に言えば「人間であれば突破できる」認証でもあるため、ID・パスワードが知られている場合の恣意的ななりすましへの抑止力にはなりません。

・ユーザー設定による追加の質問(秘密の質問)


 インターネットの黎明~普及期からある手法に、事前に登録した「秘密の質問」に回答させるものがあります。主にパスワードを忘れた際の再発行時等、何らかの理由でアカウントへのアクセシビリティを回復させる必要がある場合に用いられることの多い方法です。「初めて旅行した場所」や「母親の旧姓」等、プリセットされたプライベートな項目を選んで回答を登録するパターンと、質問・回答の組み合わせを完全に自分で作れるものとがあります。当人しか知り得ない情報のため秘匿性は高いですが、回答を失念してしまうとアクセスが出来ないうえ、公開情報から類推できる情報(家族や趣味に関することなど)だと突破が可能になってしまうリスクがあります。


SMS活用のイメージ


SMSによるワンタイムパスワード発行のイメージ


 SMSによりワンタイムパスワードを発行する場合は、基幹システムで発行したパスワードを連携するSMS配信システムから送信するのが一般的です(上図)。都度ユニークな文字列によりパスワードが生成されるので漏洩、突破の心配が無く、またユーザー本人が契約している携帯電話に直接送信されるので、ID・パスワードが漏洩し外部からアクセスが行われても本人の携帯電話が無いとログインできず、安全性を担保できます。

 こうした用途をはじめとした、企業によるSMSの活用は近年急速に伸びています。MNPが一般的になってきたことで、一度捕捉した携帯電話番号は不変であることが多く、登録情報のメンテナンスにかかる手間も他の通知手段に比べて少ないことも、活用が進むきっかけの一つと言えるでしょう。


まとめ


 今回は、二段階認証の仕組み、また認証手法毎の違いとメリットをご紹介しました。

 最近では、IPアドレスをベースに「普段と違う環境からのアクセス」を検知し、SMSやメールによる認証を求めるケースもあり、二段階認証が取り入れられるシーンも多様化しています。インターネットセキュリティを脅かす手口が日々巧妙化する中で、私たちにとって身近な存在となった各種Webサービスにおいても、どのように情報を守り、被害を食い止めるのか、ユーザー視点での対策の進化が期待されます。


※「Google」は、Google Inc.の商標または登録商標です。
※「iPhone」の商標は、アイホン株式会社のライセンスに基づき使用されています。

SMSの送信・配信サービス・システム【Cuenote SMS】 キューノート エスエムエス


SMS(ショートメッセージサービス)配信サービス、Cuenote SMS(キューノート SMS)は、インストールは不要で、携帯・スマートフォンを持っているユーザー全てに携帯電話網を利用したSMS配信が高速・確実に行えるASP/SaaSサービスです。開封率は90%以上という圧倒的な開封率の高さと、電話番号宛にメッセージを送れる利便性の高さが強みです。国内最高水準のメッセージングソリューションを手掛けるユミルリンクが培った配信技術と高次のセキュリティで、本人確認や申し込みなどの通知をはじめ、決済通知、督促連絡、業務連絡、プロモーション用途等、様々な用途でのSMS活用をサポートいたします。

SMS配信サービス


この製品に関してのお問い合わせ

  • このエントリーをはてなブックマークに追加
この記事の運営企業

阪急阪神東宝グループのユミルリンク株式会社は、10年以上にわたり、メール配信システムをクラウドサービス・ソフトウェアとして提供し、メールに関する専門的な技術や運用ノウハウを蓄積してきました。
メール以外にも、SMS配信サービスWEBアンケート・フォームシステムもクラウドサービスとして提供しています。

ページの先頭へ