ODN







特集コンテンツ
インターネットサービス利用者なら知っておきたい

認証方法とアカウントを保護するための6つの自衛策

2019/09/26
インターネットサービス利用者なら知っておきたい 認証方法とアカウントを保護するための6つの自衛策

インターネットサービスのアカウントを不正利用される被害が相次いでいます。サイバー犯罪者はさまざまな方法で他人のIDとパスワードを盗み出したり、探り当てたりしてサービスに不正アクセスし、金銭や情報を不正に取得しようとしています。第三者によるアカウントの不正利用を防ぐための6つの自衛策を紹介します。

パスワード以外の認証方法とは?

SNSやクラウドストレージ、ショッピングサイト、ネットバンキングなど、ほとんどのインターネットサービスにログインするときはパスワード認証が求められます。これは、ログイン時に利用者本人だけが知るIDとパスワードを入力することで認証を得る方式です。

ただ、パスワード認証は必ずしも安全とは言えなくなっています。IDとパスワードを第三者に盗まれたり、探り当てられたりしてしまうと認証を破られてしまうためです。

実際、IDとパスワードをだまし取られ、各種インターネットサービスのアカウントを不正利用される被害が後を絶ちません。その手口の最たるものがフィッシング詐欺です。このほか、アカウントを乗っ取る手口にはプログラムによってパスワードに使用できる文字種の組み合わせを片っ端から試していく総当たり攻撃もあり、IDとパスワードだけで本人か否かの認証の精度を担保することは難しくなっています。

金融機関などの高いセキュリティが求められるインターネットサービスを中心にパスワード認証の弱点を補完する認証方式の採用が進んでいます。どのようなものがあるか見ていきましょう。

二要素認証とリスクベース認証とは

●パスワードだけではログインできない二要素認証

二要素認証は、2つの異なる認証の要素を組み合わせることで本人認証の精度を高める方式です。認証の要素は、「記憶」「所持」「生体情報」の3つに分類されます。3つの要素を組み合わせる方式は「多要素認証」と呼ばれます。

記憶:本人のみが知っている情報によって利用者を認証します。パスワードやPIN、秘密の質問(「母の旧姓は?」「出生地は?」「ペットの名前は?」など)の回答などがこれにあたります。
所持:本人のみが所持している物によって利用者を認証します。ICカードやキャッシュカード、乱数表、トークン(一定時間おきに変更され、一度しか使えないワンタイムパスワードを生成する機器)などが該当します。スマホをトークンとして使用する場合は、SMS(ショートメッセージサービス)や認証用アプリなどで取得できる認証コードを入力します。
生体情報:本人の身体的特性にもとづく情報によって利用者を認証します。指紋や顔、静脈パターン、虹彩などがこれに該当します。

多くのネットバンキングなどの金融系Webサービスでは、記憶と所持の2つの要素を組み合わせた二要素認証が採用されています。送金などを行う際はIDとパスワードだけでなく、乱数表で指定された枠内の英数字や、事前に登録したスマホなどで取得できる認証コードの入力も必要になります。そのため、第三者によるログインはIDとパスワードのみの認証方式と比べて難しくなります。

●普段とは異なる機器からパスワードが入力されたときに役立つリスクベース認証

リスクベース認証は、普段と異なる IP アドレスや OS 、Web ブラウザから認証要求(IDとパスワードによるログイン)があったときなど、第三者による不正アクセスのリスクが高いと判定された場合のみ追加の認証を求める方式です。追加の認証方法としては、あらかじめ設定された秘密の質問への回答を求めたり、事前に登録されたデバイスに届く認証コードを入力させたりするなどのパターンがあります。

Apple IDでは、記憶と所持の2つの要素を組み合わせた2ファクタ認証を提供しています。リスクベース認証も採用しており、新しく購入したデバイスではじめてAppleのサービスにログインした場合のみ、事前に登録したスマホなどで取得できる認証コードの入力が必要になります。信頼できるデバイスに追加されると、次回以降のログイン時に追加認証を求められることはありません。

アカウントの不正利用を防ぐための6つの自衛策

フィッシング対策協議会が2019年2月、何らかの個人認証を実施しているインターネットサービス事業者(10業種・308名)を対象に行ったアンケート調査では、76.9%がパスワード認証しか行っていないことがわかりました。一方、二要素認証やリスクベース認証を採用していると回答したインターネットサービス事業者は21%にとどまり、複合的な認証方式の採用に遅れが見られます。

インターネットサービス提供事業者に対する「認証方法」に関するアンケート調査結果
https://www.antiphishing.jp/news/pdf/wg_auth_report01_20190701.pdf

このため、インターネットサービス利用者は第三者によるアカウントの不正利用を防ぐための自衛策を講じることが必要です。そのポイントを確認しておきましょう。

1.詐欺の手口や狙いを知る

詐欺の手口や狙いを知ることは、自衛策の基本です。たとえば、メールやSMS、SNS内のURLリンク、ネット広告などからたどり着いたWebサイトで何らかの情報入力を促された場合、フィッシング詐欺の疑いが濃厚です。認証用アプリも必ずGoogle PlayやAppStoreなどの公式ストアから入手してください。日頃からセキュリティ事業者や関連団体などが公表する注意喚起情報に目を通しておきましょう。

フィッシング対策協議会
https://www.antiphishing.jp/

警視庁サイバーセキュリティ対策本部
https://twitter.com/MPD_cybersec

2.同一のIDとパスワードを使い回さない

サイバー犯罪者は、フィッシング詐欺などにより不正に入手した認証情報(IDとパスワード)をリスト化し、それらを用いて各種サービスへのログインを試みます。このため、複数のサービスに同一のIDとパスワードの組み合わせを使い回していると、アカウントを芋づる式に乗っ取られるリスクを高めてしまいます。メールアドレス以外をIDとして使用できる場合は、固有の文字列に変更しておきましょう。

3.第三者に推測されにくいパスワードを設定する

利用するインターネットサービスが増えれば増えるほどパスワードの管理が煩雑となるため、第三者が容易に推測できる単純なパスワードを設定しがちです。さらに、サービスの中にはアルファベットの大文字、小文字、数字、記号などの文字種のランダムな組み合わせや、長い文字列をパスワードとして設定できないものもあります。設定できる可能な範囲で、サービス毎に第三者に推測されにくいパスワードを設定するように心がけてください。自身での管理や設定が難しい場合は、固有のパスワードを自動で作成、管理してくれるパスワード管理ソフトを利用するのも一案です。

4.より安全なインターネットサービスを利用する

セキュリティを考慮して設計されたインターネットサービスを優先的に利用しましょう。クレジットカードなどの重要な情報がひもづくサービスでは、二要素認証やリスクベース認証といった不正ログイン対策などを利用できることが望ましいでしょう。同様のサービスが複数あった場合は、サービス内容に加え、セキュリティを強化するための取り組みについても比較した上で選択してください。

5.可能な限り都度ログインする

自分以外も利用する可能性のあるデバイスでサービスの利用を終えたら、必ずサービスからログアウトしましょう。ログインしたままにしていると、第三者にアカウントを不正利用されるリスクが高まります。また、悪意のある第三者以外にも、家族が無断で利用し、トラブルに発展する場合もあります。不要なトラブルを回避するためにも、ログアウト、あるいは決済時に認証が必要になる設定に変更しておきましょう。また、Google ChromeなどのWebブラウザは、IDやパスワードの入力欄(フォーム)などに一度入力された文字列を保存する機能を備えています。これを無効にし、Webブラウザにすでに保存されているパスワードも削除しておきましょう。
このような対策は、デバイスの紛失や盗難時にも有効です。自分だけが使っているデバイスでも、金銭や個人情報がひもづく重要なサービスでは、できるだけ都度ログインするように心がけましょう。

6.使わなくなったサービスを解約する

使わなくなったサービスをそのまま残していても不正利用や情報漏えいのリスクになるだけです。クレジットカードや銀行口座などの金銭がらみの情報や個人情報を削除、あるいはダミーの情報を上書きした上でサービスを解約しましょう。

※不審な取引を見つけたら…
クレジットカードの利用明細やショッピングサイトの購入履歴、決済アプリの利用履歴などを定期的にチェックすることも大切です。万一、身に覚えのない不審な取引を確認した場合、直ちに各窓口に速やかに届け出をし、損害を拡大させないようにしましょう。

コンテンツ提供: トレンドマイクロ「is702」
  • ウイルスバスターマルチデバイス
  • InetnetSagiWall for マルチデバイス月額版