ID/パスワード流出の際にも安心!なりすましログインを防ぐにはSMS認証

昨年あったベネッセショックは皆さん、鮮明に覚えていらっしゃると思います。

ベネッセの業務を委託されていた会社のSEが、個人情報を持ちだして名簿業者に売りさばいていたというもので、ベネッセの株価に影響が出るほどで、1つの社会現象と言っても過言ではないのではないでしょうか。

今日のニュースで、2014年の個人情報漏洩は10億件を超えたというのが目につきました。日本国内ではなく全世界レベルでということですがね。 

僕も携帯電話番号という、極めて重要なデータを取り扱うビジネスを行っていますので、セキュリティ対策などは十分に配慮・対策をしているのですが、10億件も漏洩してるって現実を見ると、もはや漏洩を0にするのは極めて難しいこともわかります。

INSTでは、入社の際(まだ退社がないのですが、基本的には退社時にも)に、個人情報の取扱に関する誓約書を提出頂いています。持ち出したり販売したり漏洩させたりしませんよ、というものです。

また、ID/パスワードの流出も頻繁に取り上げられてますね。Dropboxも700万件流出したことがあるとか。個人情報の漏洩ももちろん怖いですが、ちょこっと調べたら、僕がどこに住んでなんて名前でどんな家族構成かなんてわかってしまうような気がするので、我が家でもベネッセからお詫び分が届きましたが、そんなに気にしてはいませんでした。

それよりID/パスワードの流出のほうがより危ないと思います。おそらくですが、どんなサービスでも共通のID(メールアドレス)とパスワード(3つ4つくらいのパターン含む)を使っている人は多いのではないでしょうか?

例えば、あるサイトのIDとパスワードが流出してしまったとすると、同じIDとパスワードでログイン出来るサイトでもなりすましログインされて不正に利用されてしまう可能性がありますよね。サイト運営者側で流出させてしまったりしたらどうしようもありませんし、ユーザーがID/パスワードを書いた紙を落としてしまって流出ということだって考えられます。(いますよね、たまにポストイットにID/PW書いてPCのディスプレイに貼ってる人とか)

ですが、ID/パスワードが流出してしまった時も、運用サイトがSMS認証による端末認証を行っていれば、なりすましログインをかなりの確率で防ぐことが出来るのです。

仕組みは以下のようになります。

11
 Aさんはスマホを使ってECサイトに新規登録をします。

11
その際にECサイトは「端末IDを保有した上で」SMS認証を要求します。

そうすると、ECサイトが
Aさんは090-1234-5678という携帯番号で、端末IDがiPhone6_001という端末を使っている。
という情報を記憶します。 
 
18

これで、ECサイトはAさんがログインしようとした時に、端末とAさんのID/PWの整合性がとれた時にだけ、ログインを許可します。

なので、Aさんがパソコンを使ってログインしようとすると
55
 
端末IDが違うわけですから、ECサイトは「この端末からのアクセスははじめてだ」と判断して、「Aさんじゃないんじゃないの?」と疑います。

49

なので、番号が認証されてAさんが保有していることが保証されている090-1234-5678の携帯電話にPINコードなどを送ります。ログインしようとしたPCには「この端末からのログインは初めてですので、登録いただいている携帯電話番号にPINコードつきのSMSをお送りしますので、 そのPINコードを入力してください」と表示されます。

05
そのPINコードが合っていた場合、初めてECサイトが新しいパソコンからログインしようとしたAさんを本物のAさんだと認識して、ログインが許可され、かつそのパソコンの端末IDを新たに記憶します。端末IDが記録されましたので、Aさんは新しいパソコンでもECサイトを使えるようになったわけです。

ここで言いたいのは、これだけID/PWが漏洩してしまっている世の中で、「ID/PWが合っているから、この人は利用者本人だ」と判別するのは少し危険じゃないか?ということです。 以前もSMS認証について書いた時に書きましたが、多要素認証が必要になってきていると思います。

こうすることで、例えばAさんのID/PWが漏洩してしまったとしても、そのID/PWを入手した悪い人はAさんの端末を保有しているわけではないので、ログイン出来たとしてもSMS認証を求められて先に進めなくなる、というわけです。

35
 
SMS認証を導入しただけで、ID/PWの漏洩対策にもなります。業務用アプリケーションでの導入は進んでいますが、よりカジュアルなECなどでも導入が進んでいくと、なりすまし被害が少ない、安心できる世の中になりそうですね。

SMS認証について、ご導入をご検討の際は、SMS認証.comを運営するINSTまで、まずはご相談ください。

それでは。

Kosuke 

導入400社突破!連絡が取れないを解決するINSTのSMS送信メソッドを刷新!

大好評を頂いた”効果が出るSMS送信”完全マニュアルをリニューアルいたしました。新サービスの利用方法、なぜそのSMSが効果がでるおか?御社の「連絡が取れない」を解決する秘訣がここに。

記事が面白かったらFacebookページへのいいね!をお願いします