ここから本文です

あらゆる個人情報を奪われたIT記者が犯した“痛恨のミス”

ITmedia エンタープライズ 7月26日(火)16時11分配信

 先日、ちょっと興味深いブログ記事を読みました。

 海外でクレジットカード番号が流出した事件があり、コールセンターから「あなたの番号が流出した可能性がある」と電話がかかってきたというもので、そのときに「あなたの生年月日を教えてください」と聞かれたというのです。

【画像】痛恨のミスをおかさないためにお勧めの方法

 いきなりそんな電話がかかってきて生年月日を聞かれたら、皆さんはどうしますか? 実際にどう対応すべきか知りたい方は、カスペルスキーのブログ記事をご覧ください。

 しかし、あらためて考えてみると私たちは、対面ではなくネットや電話を経由した「あなたは誰ですか?」という問いかけに対して無防備な感があります。しかし、これは意外と重要なことであり、気を配らなくてはならない問題だと思っています。

●ネットサービスの「本人確認」

 冒頭の本人確認の話は結論から言うと、銀行やクレジットカードなど、金融系をのぞく多くのネットサービスの本人確認は「メールアドレス」で行うケースがほとんどです。パスワードを忘れたとき、サービスに登録されているメールアドレスにパスワードリセットの案内が送られますよね。つまり、メールアドレスを持っていることが、本人確認の鍵になります。

 ちょっと手の込んだところだと、それに「生年月日」や「電話番号の下4桁」を加えてくるかもしれません。ただ、逆に考えると、これらの情報を手にした場合、ネット越しでは「本人」として認められる可能性があることが分かります。

 2012年、ちょっとした事件が起きました。アメリカのメディア、Wired.comの記者、マット・ホーナン氏がTwitter、Googleアカウント、Apple ID、アマゾンなどのアカウントを次々に乗っ取られたのです。これは、各社の「本人確認」の認識違いが引き起こした、とても複雑で“シンプル”なものでした。

 とあるサービスにおいて、本人確認で必要だったものは「請求先住所」と「クレジットカードの下四桁」。しかし、このクレジットカードの下四桁は、Webサービスによってはマスキングされていない場合も多いですよね。つまり、あるサービスで「本人確認のために必要な秘密の番号」は、別のサービスでは「公知の番号」として扱われることもあるのです。ハッカーは鮮やかな手段でこれを入手し、まんまと「本人」になりすましたというわけです。


 バラバラのパズルを組み立てるような感覚で、一見強固に見える「本人確認」の論理的バグを突く――。この手の攻撃があり得ることは、知っておいた方がいいかもしれません。

●やっぱり鍵は「メールアドレス」、全力で守ろう

 しかし、このケースにおいてもパスワード再設定の情報はやっぱり、「登録しているメールアドレス」です。中には新しいパスワードを口頭で教えるようなサービスもありますが、それはそれでちょっと別の問題をはらんでいます。そのため、パスワード再設定のためのリンクを含む、メール本文を全力で守るという考え方が重要でしょう。

 メインで使っている(IDとして登録している)メールアドレス、そしてサブで設定しているメールアドレスについては、面倒ですが確実に「2段階認証」を設定しておくことです。

 2段階認証はこのコラムでも何回か取り上げていますが、現在はスマートフォンを利用した簡単な仕組みが登場しつつあります。特にGmail(Googleアカウント)でスタートした「スマートフォンプロンプト」はとても便利です。


 今まではスマートフォンのアプリを起動し、30秒で切り替わる6桁の数字をワンタイムパスワードとして表示させ、それを入力する必要があったのです。しかしスマートフォンプロンプトの設定を行うと、その作業が不要になります。

 スマートフォンプロンプトを設定すると、PCなどでログインした際に、このような画面が出てきます。

 次に、指定したスマートフォン側に「プッシュ通知」が飛んできます。

 スマートフォンのロック画面を指紋認証などで解除し、ログインするために「はい」をタップすれば、PC側のログインが完了する――という仕組みです。

 これなら、スマートフォンを「鍵」として使って、より安全に簡単にログインできます。このような2段階認証を設定していれば、万が一、パスワードが漏れたとしても、スマートフォンさえあれば不正ログインを防ぐことができるのです。

 メールへの不正アクセスを防ぐことができれば、Webサービスの「本人確認」が何らかの方法で破られ、アカウントを乗っ取るべくパスワードが初期化されたとしても、最後の砦である「メールアドレス」を乗っ取られる可能性を下げることができます。

 これまでは「金融系などお金に関係するアカウントは確実にパスワードを変える」ということをお勧めしていましたが、昨今の状況を考えると「“人生に関係する”メインのメールアカウントは確実に2段階認証を使う」ことも重要かもしれません。

最終更新:7月26日(火)16時11分

ITmedia エンタープライズ