全2787文字

 パスワードだけでは危ないとして、2要素認証を導入する企業が次第に増えている。代表的な2要素認証の1つは、パスワードとワンタイムパスワードを使う方法だ。だが、ワンタイムパスワードを高確率で破れるとするサービスが出現している。セキュリティー企業などが注意を呼びかけている。一体、どんなサービスなのだろうか。

知識情報と所持情報の組み合わせ

 パスワードだけのユーザー認証では容易に破られてしまうとして、認証時に複数の情報(認証要素)を使う多要素認証が推奨されている。2つの認証要素を使う多要素認証は2要素認証と呼ばれる。

 2要素認証としては、パスワードとワンタイムパスワードを使う方法がよく採用されている(図1)。あるサービスにログインしたいユーザーは、ユーザーIDとパスワードを入力する。

図1●パスワードとワンタイムパスワードによる2要素認証
図1●パスワードとワンタイムパスワードによる2要素認証
ユーザーはまず、ログイン画面でパスワードを入力して認証を行う。認証に成功すると、あらかじめ登録した電話番号やメールアドレス宛てにワンタイムパスワードが通知される。そのワンタイムパスワードをログイン画面に入力すると、ログインできる。
[画像のクリックで拡大表示]

 するとあらかじめ登録されている電話番号に対して、一定時間だけ有効な数字列(ワンタイムパスワード)がサービスからSMSなどで送られる。このワンタイムパスワードを入力すると、サービスにログインできる。

 つまりパスワードを知っていて、なおかつ電話番号を登録したスマートフォンなどを所持しているユーザーだけがログインできることになる。パスワードを知っているだけでは不十分だ。

 認証要素は大きく3種類に分けられる(図2)。ユーザーだけが知りうる「知識情報」、ユーザーだけが持つ「所持情報」、ユーザーの身体的特徴である「生体情報」だ。パスワードとワンタイムパスワードを使う場合、パスワードが知識情報、スマートフォンが所持情報になる。

図2●認証要素は3種類
図2●認証要素は3種類
認証要素は大きく3種類に分けられる。ユーザーだけが知りうる「知識情報」、ユーザーだけが持つ「所持情報」、ユーザーの身体的特徴である「生体情報」だ。
[画像のクリックで拡大表示]

 この2要素認証は実装が比較的容易なために広く導入されているが、半面破られやすい。冒頭で述べたように、ワンタイムパスワードを簡単に破れるサービスまで登場している。

 セキュリティー企業の米インテル471によると、2021年6月以降そのようなサービスが急増。2021年9月末時点で、少なくとも8つのカナダの銀行が狙われたことを確認している。