ドコモ口座問題(あるいは事件というほうが適切か)が世間を賑わしていますが、どうにも気になります。
これを機に、ドコモ口座以外でもXX銀行でこんな被害が・・・ていう話が、続々とニュースになっていますので。それが「実はウチでも以前こういう被害がありまして・・・」なんて話だと、便乗して白状してしまえ的な感じでモヤモヤします。
まあ、それは置いておいて。
この話は他人事ではないなと思っています。まさにこの記事の通り。
「ドコモ口座」問題は他人事ではない!企業を揺るがす「二段階認証」の勘違い(現代ビジネス)
https://gendai.ismedia.jp/articles/-/75705
『実はドコモ口座を開設するためには「二段階認証」が用意されていた。(中略)二段階認証というのはそもそも認証のプロセスを2段に構えるという意味である。いくら2段構えにしたところで、2回の認証のレベルが低ければ、単にユーザーに手間がかかるだけであり、セキュリティが強化されることはないのである。
(中略)ドコモ口座開設時にはIDを設定し、パスワードを決定している。ここまでの認証は“知識”と“知識”であり、多要素とはなっていない。しかし、認証後には、認証コードがメールで送信され、二段階認証は行われているのである。では、何が問題だったかと言えば、認証コードを送信する“メール”がSMSではなく、Eメールであったことである。(中略)Eメールはサーバーにアクセスできれば端末を問わずに受信が可能である。Eメールを採用した時点で、認証要素の追加ではなく、単なる通知機能となってしまったのである。』
最近はIDとパスワードだけでは安全じゃない、というのが広く認知され、特に金銭が絡むものほどパスワード+アルファとなっておりますが、この記事にように「二段階認証」と「二要素(多要素)認証」の違いまでは、分かっていないのではないでしょうか。でもセキュリティをあげるには、「二段階認証」じゃ不十分で「二要素(多要素)認証」ぐらいは最低必要、ということでして。
まあシステム開発者さんでも理解してない人がいるくらいですので、会社ではセキュリティ担当がそこを頑張って教えたり啓もうしたり指摘したりしております。
なお突然でてきた「多要素」という言葉ですが、記事にはその説明もちゃんとあります。
『多要素認証とは、知識、所持、生体情報の3つの要素のうち、異なる要素を2つ以上組み合わせて認証を行う方法である。
それぞれの要素において、知識と言えば“パスワード”や“秘密の質問”等、所持は“キャッシュカード”や“携帯電話”等、生体は“顔”、“指紋”、“静脈”等が代表的な例になる。最近のSNSなどで見られる“メールアドレス(電話番号)”と“パスワード”等の認証は、知識と知識となっており、実は、多要素とはなっていないのである。
(中略)最近採用されている方式として、アプリ等にメールアドレスとパスワードでログインし、さらに登録されている電話番号にSMSで認証コードを送信して、認証コードをログイン後の画面で入力するという方法が多くみられる。実は、これは携帯電話の所持を確認しているサービスである。これにより、知識(パスワード)と所持(携帯電話)の多要素認証が実現されているということは、あまり意識したことがないだろう。』
ただ、それならSMSだと安全かというと、そうでもないのが実に厄介でして。
ペイペイなどの被害 SMS認証も突破 所有者不明携帯電話悪用か(産経新聞)
https://www.sankei.com/economy/news/200917/ecn2009170036-n1.html
『SMS認証はパスワードが書かれたショートメールを携帯電話に送り、入力を求める本人確認手段。関係者によると具体的な手口は不明だが、何らかの形で入手した、本人確認が不十分な携帯電話を用いたようだ。まず、不正に入手した銀行口座情報を基に口座の持ち主になりすまし、本人確認が不十分な携帯電話を用いて決済事業者の口座を開設。銀行口座にあった預金の送金先として、使用した可能性があるという。』
これについては、Yahooニュースのオーサーコメントで、さらに興味深い(恐ろしい)補足もありました。
『森井昌克 | 神戸大学大学院工学研究科 教授
「SMS認証を突破することもさほど困難ではありません。いくつかの手口がすでに知られていますが、その中で古典的な手口としては認証代行による不正取得です。要するに手数料を払って第三者に携帯電話(スマホ)を契約してもらい、それを受け取って犯罪に利用する方法です。携帯電話ではなく、不正な銀行口座を取得する手口と同様です。たとえ携帯電話の契約時に本人認証を厳しくしたとしても、そのリスクを犯して余りある不正行為による利益がある場合、高額な手数料を払っても、犯罪を犯そうとする輩は湧き出てくるでしょうし、その手数料に目がくらんで安易に手を貸す愚かな人も後を絶たないでしょう。不正行為による利益が多額でなくなり、犯罪者にとって割に合わない仕組みや工夫を作ることが望まれます。 」』
『高橋暁子 | ITジャーナリスト
「オークションサイトやフリマアプリ、Twitterなどで「SMS認証代行」という出品を見かけます。
出品者は、通話機能のない格安SIMを複数購入し、SMS認証を代行して対価を得ているのです。
購入者の目的は、オークションサイトやフリマアプリなどで複数のアカウントを使う、詐欺に利用するなど様々です。
サービス側は本人確認のつもりでSMS認証を必須としているにも関わらず、このような行為によって信頼性が揺らいでいるというわけです。
SMS認証だけではこのようなリスクがあることは自明だったので、この機会にぜひ対策をしていただきたいです。」』
いたちごっこといいますか、どこまでやればいいのって頭の痛い話ですわ。だからセキュリティ対策、リスク対策では、どこまでリスクを許容するのかって考えて線引きします。
もっともドコモさんは、似たような発想で、被害額が少ないからサービス止めないって判断をしたのかもしれませんが、それでイメージがどこまで傷ついたのかしら。
余談ですが、SMSは危険だという警告は、何年か前から既に出ています。
NISTが警告、SMSでの二段階認証が危険な理由(ZDnet JAPAN)
https://japan.zdnet.com/article/35095393/
SMSの通信は、傍受されるのだといいます。
上記産経記事の例では、携帯電話の不正入手など実社会での手口を使ってセキュリティを突破していますが、この記事のような傍受をする仕組みがあれば、誰かが銀行等へのログインで発信されたSMS通信を傍受し、成りすましてログインするということがネット上だけで出来てしまいます。
SMSで送られてくるキーは、一定時間で無効になりますが、それなら、リアルタイムにターゲットの行動を監視しつつ、SMSも傍受しつつ、成りすまして不正ログインするというスパイ映画のようなことは成り立ちます。労力が見合わないので、まだやられてないでしょうけど。
今回の事件を機に日本ではSMSが必須なんて流れになりそうですが、それが普及するころには、SMSは危険なんてネット社会になっているかも。だからどうせやるなら、一足飛びにSMSの先の技術を使った仕組みにするべきなんだろうと思います。
最近のコメント