Pocket

ゲスト執筆者のマキシム・オリニクはOAuthに認証された二段階認証ソリューションの企業、Protectimusの共同設立者である。

「大事なデータは安全に保管されなければならない。それがネット上に置かれているのならなおさらだ」というのは誰でも耳にしたことがあるだろう。

だが普通のID/パスワード認証は数あるハッキング方法によって簡単に調査や推測されてしまうため、アテに出来ない。幸いより良いデータ保護の方法はあり、その一つが二段階認証だ。これは長期にわたり数多くのユーザーによってその効果が実証されている。

今日ではSNSからネットゲーム、メール、そして銀行や支払いサービスなどユーザーの貴重なデータが保存される仕組みのほとんどで2段階認証は選択できるようになっている。モバイルデバイスを使ってこれらのアカウントにアクセスする機会はますます増えているため、悪質な攻撃に対する更なる防御策が求められている。残念ながらユーザーはこれらの防御策を面倒なものと考えて使わない傾向にあり、脆弱な状態に晒されている。

だがこれから登場する新しい二段階認証のアプローチにより、余分な手間なくより安全性を高める事ができるようになるかもしれない。そのアイデアとは、安全性を確保する対象であるモバイルデバイス自身をセキュリティートークンとして利用するというものだ。

二段階認証の問題

二段階認証の実装方法はいくつかあるが、それぞれに利点や欠点が存在する。

ワンタイムパスワード(OTP)を送る手段で一番良くあるのがショートメッセージ経由によるものだ。とても便利なのだが問題点もある。

  • ショートメッセージは受け取るのにお金がかかる。
  • 認証プロセスに第三者が介在する事がある(SMSゲートウェイ)
  • ときおりショートメッセージを受け取るのに数分かかることもある。 顧客にとって不便をかけるばかりか、その間に攻撃者がメッセージを 傍受する可能性もありえる。

他にもキーやフラッシュメモリー、銀行のカードなどの形でハードウェアトークンを使ったり、OTPをメール経由で受け取るなどの方法もある。ハードウェアトークンは比較的信頼性が高いが常にそれを持ち歩くのは不便かもしれない。また紛失や置忘れの恐れもあり、常に気をつけておくことが求められる。メール経由のOTP受け渡しにいたっては、基本的にショートメッセージを使っているのとほとんど変わらない。

これらの手段の不便な点により、ユーザーは二段階認証を面倒なものだと考え、アカウントの保護についてどうでも良くなってしまう。しかしiPhoneやAndroidなどのスマートフォン、スマートウォッチの登場で、より便利なOTPの方法が可能になる。

私の会社はCWYS(Confirm What You See, 見えてるものを確認する)と言われるトランザクションセキュリティにおけるデータ署名技術に取り組んでいる。他の様々な機能と共にモバイルアプリとして実装されており、携帯やスマートウォッチを自動転送やデータ改ざんといったサイバーでの脅威から守るのに役立つものだ。

CWYSとはどのような仕組みか?

つい最近まで、攻撃者たちはある種のマルウェアを使って二段階認証を迂回することが出来た。

よく使われる手順は次のようなものだ。まず攻撃を仕込んでからユーザーが正規の通信を行うのを待つ。その時がくれば「データのベリファイが終わるまでお待ちください」といったようなメッセージが書かれたポップアップウインドウを表示する。

その間、仕込まれたマルウェアはユーザーに隠れて仕事を行い、結果意図していない口座にお金が振り込まれるような事になる。OTPや暗証番号が必要な場合、マルウェアはパスワードの入力を求めるもっともらしい文言が記載された偽のページを表示する。疑問を抱かないユーザーは正しい情報を入力し、自動転送システムはそれらを使って送金を完了するというものだ。

しかしCWYS機能を有効化することにより、OTPの生成に秘密鍵だけでなく時間やチャレンジコード、更には送金額や通貨の種類、受取人などの処理の詳細も使われるようになる。この事からもしハッカーがパスワードを入手したとしても、それは用を成さないというわけだ。

ユーザーとガジェットを保護する

人々が寄り多くの時間を携帯やスマートウォッチに費やすようになった今、モバイルデバイスのセキュリティーにも自然と注目が集まっている。

概算でおよそ20億人(全世界の人口の1/4)がスマートフォンを使っている。米国、欧州、中国、日本、そしてインドでAndroidおよびiOSの所有者は全体の50%を超えており、2017年までに世界の1/3以上の人口がスマートフォンを使うようになるだろうと予想されている。

スマートフォン向けのOTPトークンの開発にはいくつかの利点がある。

  • OTP生成アルゴリズムを選べるようになる(カウンター、サーバーレスポンス、時間)
  • PINコードによるアプリの保護
  • OTPの長さを選べるようになる(6-8文字)
  • 1デバイスあたり複数のトークンを生成する事が出来る
  • ハードウェアトークンと異なりバッテリーをはずす必要が無くなる
  • Androidスマートウォッチにアプリケーションをインストールできるようになる
  • 最新の脅威に対抗できるデータ署名技術(CWYS)

2段階認証技術の開発は今後も精力的に進められており、二段階認証を推し進める製造業者たちはエレクトロニクスの最新トレンドや顧客の潜在的なニーズを考慮に入れ、最も便利なソリューションを提供しようとしている。

幅広く使われているガジェットでの対応ということもあり、重要な仕事な仕事だ。業界はよりセキュアかつ便利なものにする事で、二段階認証より一般的なものにしていかなければならない。これはネットで個人情報を保護するための最上の方法だ。

トップ画像提供:Yuri Samoilov

Pocket