お問合せ・取材依頼
このブログについて

menu

ID/パスワード流出の際にも安心!なりすましログインを防ぐにはSMS認証

2015.04.24
社長ブログ

昨年あったベネッセショックは皆さん、鮮明に覚えていらっしゃると思います。

ベネッセの業務を委託されていた会社のSEが、個人情報を持ちだして名簿業者に売りさばいていたというもので、ベネッセの株価に影響が出るほどで、1つの社会現象と言っても過言ではないのではないでしょうか。

今日のニュースで、2014年の個人情報漏洩は10億件を超えたというのが目につきました。日本国内ではなく全世界レベルでということですがね。 

僕も携帯電話番号という、極めて重要なデータを取り扱うビジネスを行っていますので、セキュリティ対策などは十分に配慮・対策をしているのですが、10億件も漏洩してるって現実を見ると、もはや漏洩を0にするのは極めて難しいこともわかります。

INSTでは、入社の際(まだ退社がないのですが、基本的には退社時にも)に、個人情報の取扱に関する誓約書を提出頂いています。持ち出したり販売したり漏洩させたりしませんよ、というものです。

また、ID/パスワードの流出も頻繁に取り上げられてますね。Dropboxも700万件流出したことがあるとか。個人情報の漏洩ももちろん怖いですが、ちょこっと調べたら、僕がどこに住んでなんて名前でどんな家族構成かなんてわかってしまうような気がするので、我が家でもベネッセからお詫び分が届きましたが、そんなに気にしてはいませんでした。

それよりID/パスワードの流出のほうがより危ないと思います。おそらくですが、どんなサービスでも共通のID(メールアドレス)とパスワード(3つ4つくらいのパターン含む)を使っている人は多いのではないでしょうか?

例えば、あるサイトのIDとパスワードが流出してしまったとすると、同じIDとパスワードでログイン出来るサイトでもなりすましログインされて不正に利用されてしまう可能性がありますよね。サイト運営者側で流出させてしまったりしたらどうしようもありませんし、ユーザーがID/パスワードを書いた紙を落としてしまって流出ということだって考えられます。(いますよね、たまにポストイットにID/PW書いてPCのディスプレイに貼ってる人とか)

ですが、ID/パスワードが流出してしまった時も、運用サイトがSMS認証による端末認証を行っていれば、なりすましログインをかなりの確率で防ぐことが出来るのです。

仕組みは以下のようになります。

11
 Aさんはスマホを使ってECサイトに新規登録をします。

11
その際にECサイトは「端末IDを保有した上で」SMS認証を要求します。

そうすると、ECサイトが
Aさんは090-1234-5678という携帯番号で、端末IDがiPhone6_001という端末を使っている。
という情報を記憶します。 
 
18

これで、ECサイトはAさんがログインしようとした時に、端末とAさんのID/PWの整合性がとれた時にだけ、ログインを許可します。

なので、Aさんがパソコンを使ってログインしようとすると
55
 
端末IDが違うわけですから、ECサイトは「この端末からのアクセスははじめてだ」と判断して、「Aさんじゃないんじゃないの?」と疑います。

49

なので、番号が認証されてAさんが保有していることが保証されている090-1234-5678の携帯電話にPINコードなどを送ります。ログインしようとしたPCには「この端末からのログインは初めてですので、登録いただいている携帯電話番号にPINコードつきのSMSをお送りしますので、 そのPINコードを入力してください」と表示されます。

05
そのPINコードが合っていた場合、初めてECサイトが新しいパソコンからログインしようとしたAさんを本物のAさんだと認識して、ログインが許可され、かつそのパソコンの端末IDを新たに記憶します。端末IDが記録されましたので、Aさんは新しいパソコンでもECサイトを使えるようになったわけです。

ここで言いたいのは、これだけID/PWが漏洩してしまっている世の中で、「ID/PWが合っているから、この人は利用者本人だ」と判別するのは少し危険じゃないか?ということです。 以前もSMS認証について書いた時に書きましたが、多要素認証が必要になってきていると思います。

こうすることで、例えばAさんのID/PWが漏洩してしまったとしても、そのID/PWを入手した悪い人はAさんの端末を保有しているわけではないので、ログイン出来たとしてもSMS認証を求められて先に進めなくなる、というわけです。

35
 
SMS認証を導入しただけで、ID/PWの漏洩対策にもなります。業務用アプリケーションでの導入は進んでいますが、よりカジュアルなECなどでも導入が進んでいくと、なりすまし被害が少ない、安心できる世の中になりそうですね。

SMS認証について、ご導入をご検討の際は、SMS認証.comを運営するINSTまで、まずはご相談ください。

それでは。

Kosuke 

投稿タグ

この記事を書いた人

INST代表 石野 幸助
人材7年→IT3年→起業して10年目の千葉で働くIT社長。「連絡が取れない」を解決し、コンタクト率UPによる売上向上支援がミッション
◆導入実績500社超のSMS配信SaaS INST Messenger
◆Web問合せの1次対応を自動化する電話BPaaS INST 3BD
◆ポッドキャスト番組 突撃!隣の人材ビジネス配信中!










    この記事を読んだ人へのおすすめ

    Tags

    採用担当 ポジショントーク システム開発 総務省 リモートワークの弊害 MNP 強行開催 アミューズキャピタル 評価 内定塾 出会って◯秒 フォーム営業 新規上場 本社移転 携帯キャリア 評価基準 東京オリンピック オリンピック 個人営業 経営の悩み オンライン営業 煽り見出し Googleカレンダー 寂しがり屋 法人営業 キャリアメール 個人向けビジネス コンフィデンス 支払い
    株式会社INST