ニュース 2019.02.20 パスワード最前線(1) 破られる「ワンタイムパスワード」、突破を阻止する「セキュリティキー」

　現在主流のパスワード認証は、何らかの方法で攻撃者にパスワードを入手されたり、安易なパスワードを推定されたりすると、本人になりすましてログインされてしまう。そこでもう一段階別の認証を追加し、パスワードが破られても侵入できないように強化するのが「二段階認証」だ。

　二段階目の認証には、専用のハードウェアやアプリ、メール、SMS、音声通話などを使い、認証に使用する数桁の数字（以後、認証コードと呼ぶ）をそのつど送ったり生成したりするのが一般的だ。認証コードは、数十秒から数分で無効になる使い捨てのワンタイムパスワードなので、盗んだものを後で使おうとしても役に立たない。

　ところが、盗んだ認証コードを即座に使用する、リアルタイム攻撃には脆弱で、簡単に破られてしまう。昨年から頻発している通信会社や銀行を装うフィッシング、SMSやメールを盗み取るマルウェア感染で、この方法が用いられているほか、銀行や仮想通貨の取引所の関係者を装い、電話で聞き出す手口も使われているという。

▼2段階認証を突破しようとするフィッシングサイト：NTTドコモ（左上）、ソフトバンク（右上）、au（左下）、三井住友銀行、(右下)

　認証コード（ワンタイムパスワード）は、公式サイトにログインする時や、ネットバンキングで送金する時など、限られた場面でしか使用しない。電話で尋ねるようなことはなく、公式サイトと公式アプリ以外で入力を求められることもないので、偽者に騙されないよう細心の注意をはらっていただきたい。

　一部のサービスでは、2段階目の認証にFIDO（Fast IDentity Online：ファイド）のU2F（Universal 2nd Factor：ユーツーエフ）という仕様に準拠した、「セキュリティキー」と呼んでいる物理的なキーを使用することができる。これは、端末のUSBポートに挿したり、無線のBluetoothやNFC経由で接続したりする認証専用の小さな機器で、対応サービスのアカウントに登録すると、これを使用して2段階目の認証が行えるようになる。

▼セキュリティキー（指先で触れている青い長方形）をUSBポートに挿入して使用する（写真出所：https://www.yubico.com/press/images/）

　1段階目のパスワード認証が通ると、2段階目の認証コードの入力画面の代わりに、セキュリティキーの操作を促す画面が表示される。指示に従って操作すればログイン完了だ。

▼Googleアカウントの2段階認証プロセス：コード入力の場合（左）、セキュリティキーの場合（右）

　セキュリティキーを使う2段階認証では、ログインできるのは、アカウントに登録したセキュリティキーを接続している端末のみ。認証コードのように攻撃者に横取りされて使われることはなく、騙されたユーザーの操作で攻撃者の端末をログインさせてしまうようなことにもならない。ログイン情報と物理キーの両方を盗まれない限り、アカウントは守られる。

　2段階認証にセキュリティキーを利用できるサービスは、グーグル、フェイスブック、ツイッター、ドロップボックスなど。ブラウザは、Google Chrome、Opera、Firefox、Microsoft Edgeが対応している。

　FIDOにはもうひとつ、機器側で指紋や暗証番号などを使って認証を行う、UAF（Universal Authentication Framework：ユーエーエフ）という仕様がある。これを使い端末側で認証を行うことで、パスワードなしで利用できるサービスが出始めている。

　続編となる次の記事では、マイクロソフトやヤフーが提供する「パスワードレス認証」をご紹介する。さまざまなネットサービスが、パスワードなしで安全に利用できる日が来るかもしれない。

TEXT：現代フォーラム／鈴木直美