７Payのセキュリティ問題と、中国・生体認証決済でわかった多要素認証の重要性

安全なのは二要素認証であり、二段階認証ではない

 中国では顔（静脈）に加えて、QR決済アプリに登録されている携帯番号の入力が要求されました。これは一段階の行為ですが、「二要素認証」になります。一方で「パスワード＋秘密の質問」もしくは「第1パスワード＋第2パスワード」は、単要素認証に過ぎません。

 認証とは、何らかの情報によって対象の正当性を確認する行為のことを指します。セキュリティの文脈では、「あなたは本人ですか？」という確認です。

 この何かをユーザーに対して複数種類の要素で要求することを多要素認証と言います。要素が2つなら、二要素認証というわけです。この要素は、本人だけに属する情報である必要があります。そして、その要素は大きく分けて次の3つになります。

①　あなたは何を知っている？（knowledge factor：知識要素）

 本人しか知らない情報で認証する、最も基本的な要素です。暗証番号、パスワードは、この目的で使用されるものです。

 パスワードを他人に知られた時点で認証の要素として成立しなくなります。「サイトごとに違うパスワードを使いましょう」という推奨は、同一パスワードを使っていると、どこかのサイトで情報漏洩が発生した時に簡単に侵入されてしまうからです。

 本人の記憶による要素のため、忘れたときは再発行する手続きが発生します。日本で起きた7Pay問題は、この再発行手続きの穴を突かれたものです。

 なお、個人的な経験による「合い言葉」は忘れにくいという特性がありますが、他人に知られた場合、パスワードのように再発行ができないという欠点があります。

②　あなたは誰？（inherence factor：生得要素）

 家族・友人・同僚は、あなたの顔を見ただけで認証が完了します。テクノロジーの進化で同じようにユーザー本人の指紋や静脈、虹彩、外貌、音声などを使う生体認証が広がることが予想されます。情報を盗むことが難しいことが特徴ですが、誤認識の可能性は残ります。

③　あなたは何を持っている？（possession factor：所持要素）

 運転免許証、保険証といった身分証明書が最も一般的です。発行に身分証明が必要なクレジットカード、携帯電話なども該当します。これらは盗まれると認証の前提が崩れます。磁気カードはスキミングで複製できてしまうため、ICカードへの移行が進んでいるのは、ご存じの通りでしょう。

 役所や金融機関の本人確認で、免許証なら1種類で済むところが保険証だと他に住民票などが必要になるのは、写真付きの免許証であれば「あなたは誰？」も満たして、二要素認証になるためです。身分証明書として免許証が重宝されるのは、そういった理由からです。

 ネットの世界では、「セキュリティトークン」がこの要素に該当します。これは、登録してある携帯電話のSMS（ショートメッセージサービス）認証が一般的でしょう。

 その他でも、例えば、店舗で「要素③：クレジットカードを出す＋要素①：暗証番号4桁」の二要素認証は、日常使っている多要素認証です。同様に、先ほど紹介した「WeChat pay」と「Ali pay」の顔認証決済は、「要素②：顔（静脈）＋要素①：携帯番号」の二要素認証です。

 Webサービスで最も一般的に使われている認証は、新規端末や一定期間空いたログイン時に、「要素①：IDとパスワード」を入力した後、携帯電話へSMSで「③ワンタイムパスワード（セキュリティトークン）が送られてくるパターンです。

 これも要素①と要素③の二要素認証です。単に作業が二段階であることが重要なのではなく、二要素で認証していることが重要なのです。

 なお、第④の要素として位置情報も考えられていますが、現時点では偽装が容易にできるため、上記の三要素が有効だと考えられています。では続いて、7payの認証において何が問題だったのかを考えてみましょう。