キャッシュレス決済の不正アクセスの被害が増えたことで、「二段階認証」と呼ばれるセキュリティ対策が注目されています。二段階認証の技術は、すでにオンラインバンキングなどの様々なWebサービスやシステムなどで利用されています。
この記事では二段階認証の仕組みや、そのメリット、デメリットのほか、よく混同される「二要素認証」との違いついて解説します。
二段階認証とは?
二段階認証とは、Webサービスやシステムなどにログインする際に本人確認を2回実施することで、セキュリティの強化を図る仕組みです。この仕組みでは、一般的に1回目の認証はIDとパスワードで本人確認を実施し、2回目の認証の多くは下記いずれかの方法で行われます。
- 「ペットの名前は?」など事前に設定した秘密の質問に対する回答
- メールやスマートフォンのSMSなどに送付される認証コードを入力
二段階認証と二要素認証との違い
二段階認証と似た用語に「二要素認証」があります。どちらもシステムやWebサービスなどにログインする際に2回本人確認を行う点は同じですが、厳密には意味が異なります。
二段階認証は、2回本人確認を行えば、認証要素は特に指定されません。例えば、1回目の認証をIDとパスワードの入力、2回目の認証は秘密の質問に回答するなど、2回続けて本人が持つ知識情報で認証できます。
一方で二要素認証は、2回行う本人確認の認証要素が指定されています。例えば1回目がIDとパスワードの入力、2回目が指紋認証など、それぞれ異なる要素で認証しないと成立しません。
具体的には、以下の表にあるような「認証の3要素」のうち2つ以上の要素を利用して、Webサービスやシステムなどにアクセスする際の本人確認を行います。二段階認証と二要素認証の違いは、同じ認証要素の本人確認で成立するか否かで理解しておけば分かりやすいでしょう。
■認証の3要素
要素 |
意味 |
認証方式 |
知識要素 |
本人だけが知りうる情報 |
・ID・パスワード ・秘密の質問 ・暗証番号(PINコード)など |
所有要素 |
本人が所有する情報 |
・SMS認証 ・アプリ認証 ・ICカード ・キャッシュカード ・トークン(ワンタイムパスワードを生成する機械)など |
生体要素 |
本人の身体情報 |
・顔 ・指紋 ・虹彩 ・GPS(位置情報)など |
二段階認証が必要とされる背景
二段階認証が必要とされるようになった背景には、近年ますます深刻化するサイバー攻撃によるセキュリティ侵害があります。オンラインでの買い物やキャッシュレス決済などの普及によって、現在はWebを介してあらゆるサービスをスマートフォンなどのモバイルデバイスから気軽に利用できるようになっています。
これらのサービスを利用するには、例外なく本人を認証するためのIDとパスワードの登録が必要です。しかし、トレンドマイクロ社の調査によると、Webサービス利用者の80%以上が覚えやすい同じパスワードを使い回しているのが実情だといいます。同じパスワードを使い回す理由としては、「異なるパスワードを設定すると忘れてしまう」「考えるのが面倒」が上位を占めています。
出典:トレンドマイクロ社「パスワードの利用実態調査 2020」
このようにIDとパスワードを使い回している状況では、パスワードリスト攻撃の被害にあう確率が高くなります。パスワードリスト攻撃とは、何らかの手段で特定のWebサービスのIDとパスワードを入手し、別のWebサービスでの不正アクセスを試みるものです。
また現在の技術では、「誕生日の数字4桁+名前(ローマ字)」のような単純な英数字のパスワードは、1時間以内に解析することも可能です。このようにサイバー攻撃の技術がますます進化する中で、従来のIDとパスワードだけの認証方式では、もはや深刻なセキュリティ被害を防止するのは不可能といっても過言ではありません。
二段階認証を行うメリット
二段階認証を行うことで、1つ目のIDとパスワードによる認証方式が突破されても、2つ目の認証で不正アクセスをブロックできる可能性が高まります。
また、二要素認証で複数の認証要素を組み合わせれば、より強固なセキュリティ対策が実現し、不正アクセスやなりすましなどの深刻な被害を最小限に抑えることが可能です。
二段階認証を行わないデメリット
二段階認証を行わないと、不正アクセスやなりすましなどの被害に遭うリスクが高くなります。2019年7月に発生した7payの不正アクセスの原因は、IDとパスワードのよる単一認証であったため、パスワードリスト型攻撃を受けた可能性が高いと言われています。
また、2020年9月に発生したドコモ銀行の不正アクセス事件も、被害が報告された11の銀行で二段階認証が実施されていないことが判明しました。
IDとパスワード以外の二段階認証の種類
ここからは、IDとパスワード以外でよく使われる二段階認証の方法をいくつか紹介します。SMSを使った二段階認証
利用者のスマートフォンのSMSに認証コードを送る方法です。IDとパスワードを入力した後に、利用者のスマートフォンのSMSに届いた認証コードを入力しないとログインができません。認証コードはスマートフォンの持ち主でないと知ることができないので、第三者からの不正アクセスを防止できます。音声通話による二段階認証
利用者の電話番号に直接連絡し、自動音声で認証コードを伝える認証方法です。IDとパスワードを入力した後のログイン方法は、SMSと使った二段階認証と同じです。音声通話による二段階認証も、スマートフォンの持ち主でないと認証コードを知ることができないので、不正アクセスを防止する効果があります。Eメールによる二段階認証
利用者のメールアドレスに認証用のワンタイムパスワードやURLを送る方法です。IDとパスワードを入力後は、メールで案内されたワンタイムパスワードなどを入力してWebサービスやシステムなどにアクセスします。
この方法もセキュリティを高める効果はあるものの、メールにアクセスするIDとパスワードが第三者に知られていたら、二段階認証の効果を発揮できないので注意が必要です。
物理デバイスによる二段階認証
近年、セキュリティキーと呼ばれる物理デバイスを使った二段階認証を採用するWebサービスが増えています。物理デバイスによる二段階認証を設定するには、事前にWebサービスのアカウント情報とセキュリティキーを紐づけなければなりません。
設定後はIDとパスワードを入力後に表示されるメッセージに従い、端末のUSBポートにセキュリティキーを挿入することで、Webサービスにアクセスできます。ただし、セキュリティキーを紛失すると本人ですらログインできないリスクもあります。
二段階認証の問題点
二段階認証は高度なセキュリティが保てる一方で、いくつか問題点もあります。フィッシング詐欺には通用しない
近年、二段階認証を突破するフィッシング詐欺によるネット銀行の不正送金やYouTubeアカウントの不正利用などが多数報告されています。具体的な詐欺の手口は、サイバー犯罪者が金融機関などを装った偽メールを送り、メール内に書かれているURLをクリックさせ、表示された偽サイトで口座番号などの個人情報を取得するというものです。
こうした詐欺の被害は、下記の方法で防ぐことができます。
- 身に覚えのないメッセージのリンクを開かない
- 専用のWebサービスやシステムを利用する 画像
パスワードの強度が低いと突破される
二段階認証を設定しても、パスワードの強度が低いと突破される可能性があります。特に以下を利用したパスワードは、不正アクセスの被害を受けやすいと言われています。
- 氏名や誕生日など個人情報を使用
- 98765432、abcdefgなど繰り返しの文字列
- 著名人やキャラクターなどの名前
不正アクセスのリスクを防ぐためにも、「大小英字+記号+数字」を組み合わせた12文字以上の複雑なパスワードを設定することが推奨されています。
設定を面倒に思う人もいる
フィッシング対策協議会が実施したアンケート調査によると、22.8%の利用者が「二段階認証が面倒」と回答しています。確かにセキュリティを強化すればするほど、利用者にとってはWebサービスやシステムの使い勝手が損なわれる面も否定できません。
しかし、不正アクセスに被害を受けると、個人情報や機密情報が流出するだけでなく、サービスを提供する側の企業の社会的信用が低下し、最悪の場合、営業活動の停止に追い込まれる恐れもあります。こうしたリスクを考えると、深刻なセキュリティ被害を避けるためにも、多少手間がかかっても二段階認証は設定すべきでしょう。
終わりに
近年、サイバー攻撃はますます巧妙かつ複雑になり、重要な機密情報を守るためにも二段階認証はもはや不可欠なセキュリティ対策と言えます。しかし、二段階認証も決して万能ではありません。また、複数の認証要素を組み合わせてより強固なセキュリティ対策を実現できる二要素認証でさえ、容易に突破するサイバー攻撃が多数報告されています。
セキュリティ対策を見直す際は、1つの方法に依存することなく、それぞれの仕組みをよく理解した上で、自社の業務に最適なセキュリティ対策を行うことが、これからますます重要になります。