コラム

第163回

多要素認証

　最近、多要素認証を求められるケースが増えた。パスワードに加えて、スマートフォンに届くコードを入力する必要がある。正直言って、少々面倒に感じている。

　今年に入って、証券会社のネットサービスに対する不正アクセスと不正取引が急増しているという。本人が知らないうちに保有株が売却されるなどの被害が報告されている。そんなことに意味があるのかと思うが、犯罪グループの目的は相場操縦で、保有銘柄の株価をつり上げ、高値で売却して利益を得ているらしい。被害者には金銭的な損失のみならず、大切な資産を操作された精神的な苦痛もあるという。このような被害を防ぐための対策が多要素認証であり、私たちの資産を守るためのプロセスだから仕方ないと、自分に言い聞かせるしかない。

　その昔は、ログインIDとパスワードだけの対策で足りていた。パスワードの使いまわしはNGという常識が広がったため、安全性は向上した。しかし、パスワードを間違えたり、忘れたりしてしまうケースが増え、アカウントロックが掛かったなどの理由でコンタクトセンターへの入電が増えた。そして、フィッシングなどの手法でパスワードを盗み取る方法が広がったため、認証方式は複雑にならざるを得なくなった。当然、コンタクトセンターへの入電は増えていく。

　パスワードに加えて、メールアドレスに届く確認コードを入力する多段階認証方式より、異なる種類の認証要素を複数組み合わせた多要素認証のほうが、セキュリティーレベルは高い。知っていること、所有しているもの、生体などから２種類以上を使用した認証方式だ。パスワードに加え、所有するスマホに届くSMS認証コードや指紋認証でログインしたアプリに表示されるコードを決済画面に入力する方式は、堅牢性が高い。その半面、スマホの機種変更時はどうしたらよいかなどの問い合わせへの対応や、これらのシステムの導入コストを含めて企業側の負担も増えている。こんなに迷惑なサイバー犯罪はなくならないものか。

　市中の犯罪に対しては、監視カメラやDNA鑑定などの技術進化によって、検挙率が上がっているという。サイバー犯罪こそ証拠が残るから犯人が捕まりそうだが、そう簡単ではない。利用者を守るための匿名化や暗号化の技術が、逆に犯人の特定を難しくしている。また、被害者、サーバー、犯人が異なる国にまたがっていると、サイバー犯罪に対する法律が異なるため、捜査が難しくなるようだ。そうこうしているうちに、通信ログの保存期間を過ぎてしまうなどの問題も生じるだろう。

　そう考えると、毎日のように、フィッシングメールが届いたり、怪しい人から友だち申請、見知らぬ人からのSMSが来たりするのも、今のところやむを得ないのだろうか。身に覚えがないのに、あなたの一時使用コードという認証コードがメールで届いたこともあった。不安になるし、わずかとはいえ、自分の時間を取られているのも腹立たしい。最近では、発信者番号を書き換えたかのような電話番号でスマホに着信することもある。お蔭で、セキュリティー意識の向上には役立っているが、もっとユーザー負担の少ない多要素認証が欲しい。