Web認証におけるセキュリティ対策

Web認証に対するサイバー攻撃が増加

個人情報を盗み取ろうとしたり、迷惑行為を仕掛けたりなど、WebサイトやWebサービスに対するサイバー攻撃が増えており、特にログイン時の認証処理に対する攻撃が頻発しています。Web認証のセキュリティ対策が十分でなければ、アカウントの乗っ取りや、サービス運営側も管理権限などを奪われるリスクがあります。

Web認証に対する各種サイバー攻撃

ID/パスワードによる認証では、この２つを入手されてしまうと、情報の閲覧やサービスの悪用などの被害に遭います。手当たり次第にパスワードを試す「総当たり攻撃」、パスワードになりやすい「辞書に載っている意味のある単語」を使ってログイン試行を繰り返す「辞書攻撃」など、各種サイバー攻撃により、ID/パスワードは漏洩してしまいます。

1つのパスワードに的を絞り、IDを変えることによって不正ログインを試みる「逆総当たり攻撃」も危険です。総当たり攻撃はシステム側が異常を検知して自動的にロックする対策で防御することができますが、「逆総当たり攻撃」は、アカウントを次々乗り換えるので、継続して攻撃を受けることになります。

さらに、不安をかきたてるような偽の情報を送りつけ、巧みにIDとパスワードを聞き出す方法や、公式ページを装った偽サイトを使って個人情報をだまし取る方法もあります。ログアウトしなかった場合に一定期間ログイン状態が保持される機能を悪用されるケースもあります。

Web認証はID/パスワードだけじゃダメ？

情報管理の厳しい部門で働くスタッフを除き、ID/パスワードによる認証は、個人での管理さえしっかりしておけば大丈夫と考えている人も少なくありません。しかし、「総当たり攻撃」や「辞書攻撃」などのサイバー攻撃を受ければ、IDとパスワードを十分に管理していたとしても、高い確率で認証情報が漏洩してしまいます。

また、ID/パスワードによる認証は、人間の能力に頼ったものです。アカウントを複数所持する人も珍しくなく、さまざまなWebサイトやWebサービスで認証を求められます。IDとパスワードを使い回すことなく、複数のパスワードを適切に管理することは極めて難しくなってきており、IDとパスワードだけでセキュリティを保つには限界がきていると言えます。

セキュリティ対策としては二段階認証・二要素認証が効果的

ID/パスワードによる認証だけでは限界があるといっても、いますぐやめてしまう必要はありません。ID/パスワードに加え、二段階認証や二要素認証にすることで、WebサイトやWebサービスの認証をより強化することができます。

二段階認証は、認証プロセスを2段階に分けて行います。SNSなどのオンラインサービスで使われることが多い「SMS認証」では、IDとパスワードを入力して認証を行った後、ショートメッセージサービス（SMS）を使って送信された認証コードを、認証プロセスの画面に入力します。認証コードをスマホのショートメッセージではなく、登録しているメールアドレスに送る場合もあります。

一方、二要素認証とは、２種類の認証要素を組み合わせて認証を行うことです。銀行口座の振込時に使われるワンタイムパスワードを表示するトークンや乱数表を使ったり、生体認証を組み合わせる方法も増えています。ATMでの暗証番号と静脈認証との組み合わせも二要素認証です。

このように、「ユーザだけが知っている」認証要素であるパスワード、「ユーザだけが持っている」トークン、「ユーザ自身の身体的特徴」である生体情報など、複数の認証要素を組み合わせることが効果的です。２つ以上の認証要素を組み合わせることも可能で、「多要素認証」と呼ばれる場合もあります。

最新のWeb認証事例

最近は、ユーザ自身の身体的特徴を活用したバイオメトリクス（生体）認証が主流になっています。指紋や静脈パターン、顔認証、眼の網膜や虹彩などの身体的特徴を利用して高精度に認証します。PCやスマートフォンなど、指紋や虹彩による生体認証機能が付属している機器も増えています。

バイオメトリクス（生体）認証は安全性が高いのですが、基本的には端末にログインする「ローカル認証」なので、端末からインターネットのサイトにログインする「ネットワーク認証」までは行えません。そこで最近注目されているのがパスワード不要の認証のしくみを標準化した規格「FIDO(Fast IDentity Online)」です。

FIDOは本人確認とサーバ認証を分けており、ネットワークに認証情報を流さずサーバにも保管しないので、パスワードなどの機密情報が漏洩するリスクがありません。

FIDOは、生体認証（UAF）と二段階認証（U2F）という大きく2つの規格で構成され、さらにこれらを拡張したFIDO2（Web認証）対応サービスも始まり、FIDO2に対応したサービスと対応ブラウザを利用すれば、Web上でのパスワードレス認証も可能です。

Yahoo! JAPANが2018年10月からFIDO2を活用したログイン機能の提供を開始した他、Microsoft、Dropboxといったクラウドサービスも対応済み、またGoogle Chrome、Microsoft Edge、Mozilla Firefoxなどのメジャーなブラウザも対応しています。

また、メガバンクのインターネットバンキングやがん保険での診断給付年金の即時支払いサービスなど、金融機関や金融系サービスでの各種Webサービスの認証やオンライン決済サービスの認証において導入が増えてきており、利用者の利便性向上とセキュリティリスクの軽減が進んでいます。

※本記事に記載されている他社の会社名、製品・サービス名は、各社の登録商標または商標です。