つい先日起きた、新しい決済サービス「7Pay」の不正ログインで被害総額が約5,500万円にのぼったというニュースは記憶に新しいかと思います。その不正ログインを防ぐため取られた対策が「2段階認証」です。2段階認証と聞いて、パッとどんなものか浮かぶ方もいればそうでない方もいらっしゃると思います。そこで今回は、顧客情報を多く取得する通販サイトや会員サイトをお持ちの企業にとって、セキュリティ対策として欠かせない2段階認証の今更聞けない基本について説明していきます。

■そもそも2段階認証って何？

2段階認証が必要となってきた背景には、ネットサービスで基本とされていた「IDとパスワードを入力する」という方法はパスワードが漏えいすると本人以外でも簡単にアクセスができてしまうという問題がありました。そこで、IDとパスワードのみではなく、本人しか知り得ないような認証コードを用いるという2段階認証が採用されつつあります。

近年、急激に増加してきた「なりすまし」「乗っ取り」「不正ログイン」などのセキュリティ上の脅威によって、情報漏洩や個人資産の不正利用などの問題が発生し、場合によっては訴訟に発展する例も起こっています。企業にとっては、このような問題がいったん発生するとサービスはもちろん、会社としての存続が危ぶまれるほど危機に陥るケースもあり、セキュリティの向上が必須の課題となっています。こういったことを防ぐためには、セキュリティの強化が必要となり、その方法の一つとして採用されることが増えてきたのが「2段階認証」です。これによって、従来の1つの認証方法を使うよりはるかに安全な運用ができるようになります。

■2段階認証の種類

2段階認証には様々な方式があります。「セキュリティの強さ」「導入コスト」「認証手続きを終えるまでの手間」「使いやすさ（利便性）」などそれぞれの特徴を理解し最適な方式を選ぶことが重要だとされています。

1. SMS

   電話番号を送り先として認証に必要なセキュリティコードをSMSで受け取る認証方式です。携帯電話の番号があれば無料で使用でき、Gmailなど世界的にも広く普及している2段階認証方式です。

2. 音声通話（電話）

   電話の着信時に自動音声による確認コードを聞き取る認証方式です。 通常、自動音声によるガイダンスで認証コードが流れます。また電話番号を認証するために、指定された番号へユーザー側から発信するor着信を受け取って認証するという方式もあります。最近では、オリンピックのチケット申し込みなどで使用されていました。

3. Eメール

   「○○@docomo.ne.jp」「○○@gmail.com」といったメールアドレスを使って認証に必要なワンタイムパスワードを受け取る認証方式です。

4. アプリ

   主にスマートフォン向けに提供される専用のアプリを介して行う認証方式です。 具体的には、ネットサービスにログインを試みた際に「ログインを許可しますか？」といった通知がアプリに届き、許可をした場合だけログインできるという仕組みです。 通知の他にも、端末の指紋認証や顔認証といった生体認証を用いる場合や、パソコン画面に表示されるQRコードをアプリで読み取る方式があります。

5. ワンタイムコード

   ネットサービスで利用者からリクエストすると、サービス側で10個ほどのワンタイムコードを生成して画面に表示し、2段階認証を行う方式です。弊社で使用しているチャットワークではこちらの認証が使用されています。これらのコードを印刷するか、書き写すなどして、発行されるコードは紛失しないことはもちろん、安全なところに保管するのがよいです。

6. 物理デバイス

   セキュリティキーと呼ばれるUSBメモリ型の小型デバイスを用いた認証方式です。 あらかじめ利用するサービスのアカウントと紐付け登録を行うことで、セキュリティキーを「持っている」ことが本人確認の際の証しとなる仕組みです。2段階認証の方式として非常にセキュリティレベルが高い方式だとされていますが、デバイスの購入費用が高いため、普及するにはまだまだ時間がかかると言われています。

7. トークン

   セキュリティトークンと呼ばれるワンタイムパスワード生成器に表示された数字を制限時間内に入力することで認証を行う方式です。 トークンは、主にインターネットバンキングを行う銀行や仮想通貨などの金融機関などで採用されていて、口座開設者に無料で配布されるケースも多くなっています。 2段階認証の方式としては最も安全性が高く信頼されていますが、電池などの理由で新しいトークンへの交換が必要であったり、再発行に費用が発生するためこちらもまだ限定的な使用が多数となります。

■2段階認証を行う場合の注意点

従来の認証方法と比べて高度なセキュリティレベルを実現する2段階認証ですが、注意しなければならない点もあります。
特に2段階認証にSMSやEメールなど必要なデバイスとしてスマートフォンなどを設定しているケースです。この場合、スマートフォンでロック画面上に通知を表示する設定になっている場合、SMSで送信されたパスワードは簡単にのぞき見られてしまいます。

通知をオフにしてあっても、SIMカードを別のスマートフォンに移し替えられてしまった場合、移し替えた先のスマートフォンで、パスワードの書かれたSMSメッセージが見られてしまいます。スマートフォン内に潜むウイルスやフィッシングメールなど、パスワードが書かれたSMSメッセージを傍受される可能性があります。また、スマートフォンを紛失したり、機種変更したりするとログインできなくなった！などというのはよく聞く話です。これらを回避するためには「別の認証方法をバックアップとして持っておく」、「機種変更の際には、2段階認証を解除する」といったことが必要です。

■2段階認証のほかにも安全性を確保する方法

実は、2段階認証以外にも安全性を確保する方法が存在します。ここでは先日のLE通信（99号）にも登場した「LINE Pay」を例に挙げたいと思います。

もともとLINE Payは、支払いの際に7桁のパスワード認証、もしくは生体（指紋）認証で2段階認証を実装しています。LINE PayはそもそもLINEアカウントが端末とひもづいているため、他の端末からはログインできないようになっています。このようにアプリとデバイスの紐付けがされていることが大きなポイントとなります。（※PC・iPad版からのログインはアプリ上で許可を設定できます）

そのため、LINE Payの利用に必要なLINEアカウントは、原則として1台のスマートフォンでしか使うことができず、スマートフォンの機種変更の際には「アカウントの引き継ぎ」作業が必要になります。メールアドレスとパスワードを知っている状態で、他の端末からLINEアカウントにログインしようとしても引き継ぎが許可されていなければログインはできません。ログインの試行は現在利用している端末に通知されるため、不正ログインを防ぐことが出来ます。このような端末との紐付けなどセキュリティレベルをさらに強めることができるようになっていくことが今後の課題になっていきます。

■まとめ

ここまで2段階認証についてお話ししてきましたが、前提として1段階目の通常のパスワードのほうが当然重要です。生年月日などを使用した簡単なパスワードは覚えやすくても簡単に推測されてしまい、ランダムに生成したような難しいパスワードは推測されにくい代わりに覚えるのが大変です。世の中には「123456」や「password」をパスワードとして設定している嘘のような本当の話があります。このようなパスワードではいくらセキュリティ対策をしても無駄になってしまうこともあります。

2段階認証は「なりすまし」「乗っ取り」「不正ログイン」の完全な対策ではありませんが、アカウントに侵入しようとする攻撃に対する壁になることができます。もし、顧客情報を多く取得するサイトを運用している場合、改めてセキュリティ対策を見直していただくきっかけになればと思います。

2以前、2段階認証の基本はもちろんGoogle（GSUITEアカウント）について、詳しく説明した記事もございますので、ぜひ併せてご覧ください。
・パスワードだけでは守り切れない？！当たり前になってきている2段階認証【LE通信85号】 https://www.life-escort.co.jp/ec-support/how-to/password-two-step-authentication

弊社では今回説明しました2段階認証だけでなく、お客様のニーズ合わせたセキュリティ対策とサイトづくりをご提案致します。ご興味を持たれた方は是非ご連絡ください。最後までお読みいただきありがとうございました。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
株式会社　ライフエスコート
東京都渋谷区富ヶ谷2-43-15 山崎ビル5F
TEL：050-5526-2334
FAX：050-3457-9501
Email : info@life-escort.co.jp　平日　9：30～18：30
ホームページ：https://www.life-escort.co.jp/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━┛