社長ブログ

ID/パスワード流出の際にも安心!なりすましログインを防ぐにはSMS認証

石野幸助

石野幸助

4 min read

昨年あったベネッセショックは皆さん、鮮明に覚えていらっしゃると思います。

ベネッセの業務を委託されていた会社のSEが、個人情報を持ちだして名簿業者に売りさばいていたというもので、ベネッセの株価に影響が出るほどで、1つの社会現象と言っても過言ではないのではないでしょうか。

今日のニュースで、2014年の個人情報漏洩は10億件を超えたというのが目につきました。日本国内ではなく全世界レベルでということですがね。

僕も携帯電話番号という、極めて重要なデータを取り扱うビジネスを行っていますので、セキュリティ対策などは十分に配慮・対策をしているのですが、10億件も漏洩してるって現実を見ると、もはや漏洩を0にするのは極めて難しいこともわかります。

INSTでは、入社の際(まだ退社がないのですが、基本的には退社時にも)に、個人情報の取扱に関する誓約書を提出頂いています。持ち出したり販売したり漏洩させたりしませんよ、というものです。

また、ID/パスワードの流出も頻繁に取り上げられてますね。Dropboxも700万件流出したことがあるとか。個人情報の漏洩ももちろん怖いですが、ちょこっと調べたら、僕がどこに住んでなんて名前でどんな家族構成かなんてわかってしまうような気がするので、我が家でもベネッセからお詫び分が届きましたが、そんなに気にしてはいませんでした。

それよりID/パスワードの流出のほうがより危ないと思います。おそらくですが、どんなサービスでも共通のID(メールアドレス)とパスワード(3つ4つくらいのパターン含む)を使っている人は多いのではないでしょうか?

例えば、あるサイトのIDとパスワードが流出してしまったとすると、同じIDとパスワードでログイン出来るサイトでもなりすましログインされて不正に利用されてしまう可能性がありますよね。サイト運営者側で流出させてしまったりしたらどうしようもありませんし、ユーザーがID/パスワードを書いた紙を落としてしまって流出ということだって考えられます。(いますよね、たまにポストイットにID/PW書いてPCのディスプレイに貼ってる人とか)

ですが、ID/パスワードが流出してしまった時も、運用サイトがSMS認証による端末認証を行っていれば、なりすましログインをかなりの確率で防ぐことが出来るのです。


仕組みは以下のようになります。

11


Aさんはスマホを使ってECサイトに新規登録をします。

11


その際にECサイトは「端末IDを保有した上で」SMS認証を要求します。

そうすると、ECサイトが
Aさんは090-1234-5678という携帯番号で、端末IDがiPhone6_001という端末を使っている。
という情報を記憶します。

18



これで、ECサイトはAさんがログインしようとした時に、端末とAさんのID/PWの整合性がとれた時にだけ、ログインを許可します。

なので、Aさんがパソコンを使ってログインしようとすると

55



端末IDが違うわけですから、ECサイトは「この端末からのアクセスははじめてだ」と判断して、「Aさんじゃないんじゃないの?」と疑います。

49



なので、番号が認証されてAさんが保有していることが保証されている090-1234-5678の携帯電話にPINコードなどを送ります。ログインしようとしたPCには「この端末からのログインは初めてですので、登録いただいている携帯電話番号にPINコードつきのSMSをお送りしますので、 そのPINコードを入力してください」と表示されます。

05


そのPINコードが合っていた場合、初めてECサイトが新しいパソコンからログインしようとしたAさんを本物のAさんだと認識して、ログインが許可され、かつそのパソコンの端末IDを新たに記憶します。端末IDが記録されましたので、Aさんは新しいパソコンでもECサイトを使えるようになったわけです。

ここで言いたいのは、これだけID/PWが漏洩してしまっている世の中で、「ID/PWが合っているから、この人は利用者本人だ」と判別するのは少し危険じゃないか?ということです。 以前もSMS認証について書いた時に書きましたが、多要素認証が必要になってきていると思います。

こうすることで、例えばAさんのID/PWが漏洩してしまったとしても、そのID/PWを入手した悪い人はAさんの端末を保有しているわけではないので、ログイン出来たとしてもSMS認証を求められて先に進めなくなる、というわけです。

35



SMS認証を導入しただけで、ID/PWの漏洩対策にもなります。業務用アプリケーションでの導入は進んでいますが、よりカジュアルなECなどでも導入が進んでいくと、なりすまし被害が少ない、安心できる世の中になりそうですね。

SMS認証について、ご導入をご検討の際は、SMS認証.comを運営するINSTまで、まずはご相談ください。


それでは。

Kosuke

この記事をシェアする

X LINE Facebook Threads

60分無料オンライン相談受付中。

業務プロセスの自動化・AI化で収益性・サービス満足度向上を支援します。

INSTの人材ビジネス業務プロセスコンサルティング
INST 3BD

あわせて読みたい

【導入事例】ミライユ様 | 面談率108%、決定率120%!トライアルの実証実験から、全事業部へ展開へ。

【導入事例】ミライユ様 | 面談率108%、決定率120%!トライアルの実証実験から、全事業部へ展開へ。

INST 3BD導入事例インタビュー:ミライユ様 人材紹介は「応募が入ってから、どれだけ早く・確実に面談へつなげられるか」で成果が大きく変わります。一方で、時間外応募への即時対応や、架電の追いかけ業務は現場負荷が高く、運用の属人化も起きがちです。 今回は株式会社ミライユ様に、INST 3BDのトライアル導入(実証実験)から、効果検証を経て利用範囲を拡大するに至った経緯を伺いました。 お話を伺った方 株式会社ミライユ様 取締役 鈴木様 インタビュアー:株式会社INST 石野 導入の背景:時間外応募対応と、現場の架電負荷 石野:まず、INST 3BD導入前に感じていた課題感を教えてください。 鈴木様:人材紹介の現場だと、応募が入っても連絡がつかないケースが一定数あります。繋がるまで追いかけ架電をするので、どうしても繋がりづらいかたがリストに残っていくため、工数がかかってしまいます。 一方で、タイミングよく繋がった人は意向が高いので、そこを確実に面談につなげたい、というのが大きいですね。 実証実験:3BDを使うチーム/使わないチームで比較 ミライユ様では、INST

By 石野幸助
INST Blogをリニューアルしました!

INST Blogをリニューアルしました!

INST石野です。 ずっとやりたいと思っていた、旧ブログ(10年前に作ってもらったWordPress)をフルリニューアルしました。しかもひとりで。 リニューアルの背景 御存知の通り、INSTは創業すぐに僕がこのブログを書き始めて、それをほとんどの集客源に法人顧客の開拓を進めてきました。 その昔は炎上したり、バズったりと色々書いていたのですが、AIの登場もあって、ブログを書く手が進まなくなり、Podcastにシフトしたりして色々やっておりました。 AIの登場でなぜブログを書かなくなったのか?というのは、生成AI登場以降はネット上のコンテンツの殆どがAIが生成したものになってしまい、人間が書いたブログなんて書ける量も決まっているし、どんどん埋もれてしまっていくのではないか?と思ったからです。 本当にブログはもうオワコンなのか? ブログはもうオワコンなのか? 世間一般的にはそうなのかもしれないです。あまりブログを書く人も多くなくなりましたし、その昔は「アルファブロガー」という言葉もありましたが(懐かしいw)、今では「インフルエンサー」という括りになり、発信

By 石野幸助
アウトバウンドコールはフォーム営業と同じ位置づけになるかも、という話

アウトバウンドコールはフォーム営業と同じ位置づけになるかも、という話

inst石野です。 電話コミュニケーションを自動化するサービスを作って、日々クライアント企業に向かい合う中で「この後の電話コミュニケーションはどうなるのか?」と毎日考えています。 スマホへのコールも今後AIが1次受付をすることになりそう 以前ブログにも書いたiOSにおけるSiriブロックの話ですが、近い将来Androidにも適合される可能性が高いなと思っています。 そもそも、スマートフォンというデバイスは、「もしもし、はいはい」が基本機能であった携帯電話が進化した結果生まれたものですが、スマートフォンは個人が手にすることができるほとんどの情報の流入経路になっただけでなく、決済やテキストによるコミュニケーションにも欠かせないものになり、もはや当初のメイン機能であった「通話する」という機能はオマケというのも申し訳ないくらい、むしろ「お荷物」的な機能に成り下がってしまった、と言っても過言ではないでしょう。 スマートフォンで音声通話をしてしまうと、ほとんどの「ながらスマホ」は不可能になります。まあ運転しながらハンズフリーで通話することくらいは可能ですが、ハンズフリーで通

By 石野幸助
相手が電話に出ない時に送る「電話しました」メールは効果的なのか?

相手が電話に出ない時に送る「電話しました」メールは効果的なのか?

inst石野です。 本日(2022年1月21日)より、1都12県にまん延防止等重点措置、いわゆる「まん防」の適用が開始されました。 コロナウイルスの感染拡大防止が目的ではありますが、やっと客足が戻ってきた飲食店・居酒屋・レストランなどの経営者の方々はやりきれない思いでしょう。 オフィスワークをする我々にはそこまでクリティカルな影響はないような気もしますが、このタイミングでまた在宅勤務の比率が高まり、電話でのコミュニケーションが仕事上発生するインサイドセールスや営業職の方々は、03や045、043などの市外局番から始まる電話番号ではなく相手方の担当者の携帯番号へ電話する機会が増えたのではないかと思います。 相手が電話に出なかったら送る「電話しました」メールは効果的か? 業務オペレーション上、相手が法人・個人に関わらず、「相手が電話に出なかったらメールを送っておく」というのはポピュラーであり、ビジネス上のコミュニケーションをスムーズにするためのセオリーのような位置付けにあることは確かです。 特に在宅勤務が増えているので会社に電話したら、担当者以外の誰かが出て「伝言をお願

By 石野幸助