キャッシュレス、フィンテック(FinTech)が盛り上がる今の時代においてますます、金融機関のセキュリティが重要である、と強調されるようになりました。
現在、様々なセキュリティ対策が取り入れられています。例えば、生体認証、二段階認証、ワンタイムパスワードが主流で使われていることは皆さんご存知だと思います。
しかし、時折テレビや新聞で取り沙汰される情報漏洩やハッキングのニュースを耳にすると、それらの認証方法は本当に安全なのか不安になってしまいますよね。
今回は、これまでの金融機関で利用されていた認証方法に一石を投じ、新しい認証手段「スーパー乱数表」を開発した藤井氏にお話を伺いました。
バンクガード株式会社 代表取締役社長 藤井治彦氏
早稲田大学大学院理工学研究科出身、博士(工学)
卒業後はNTT研究所で認証と暗号の研究に従事し、セキュリティ対策の専門家として活躍。二経路認証の発明者(特許第3497799号)、スーパー乱数表の発明者、総務省等協賛テレコムシステム技術賞。特許庁協賛 発明大賞奨励賞受賞
目次
金融機関のセキュティ対策は不完全!?認証に必要な安全対策とは
そもそも、金融機関はどのようなセキュリティの脅威に備えなければいけないのでしょうか?藤井さんは主に三つの脅威に対処をしなければならないと言います。
- 中間者攻撃
- フィッシング攻撃
- 乗っ取りによる不正操作
それぞれのセキュリティの脅威について見ていきましょう。
中間者攻撃によるパスワードの傍受
中間者攻撃とは、二者間での通信のやりとりに第三者が介入し、通信の内容を傍受されてしまうことを言います。
通信途中のパスワードも傍受されてしまうリスクがあるため、この中間者攻撃対策は重要なセキュリティ課題の一つです。
フィッシング攻撃による情報漏洩
フィッシングという単語自体は聞いたことがあると思います。文字通り、「釣られる」という意味を表します。
ネットユーザーを本物のサイトであるかのような偽サイトに誘導し、パスワードやユーザーIDを入力させる手口のことを指します。
乗っ取りによる不正操作
いわゆるハッキングのことです。パソコンやスマートフォンを遠隔操作し、情報を盗み取ります。
二段階認証も遠隔操作で破ることができるので、一度乗っ取られてしまうと巨額の損失を発生させてしまう危険性があります。
以上の三つを踏まえてセキュリティ対策を講じる必要があるのです。
金融機関の認証のありかたを変える新セキュリティシステムを開発
さきほど説明した3つの課題を踏まえると今のセキュリティシステムは厳密には安全でないと、藤井さんは言います。
藤井: 今ネットバンク系のいろんなセキュリティ技術が出てきているのですが、正確に言うと安全ではありません。
今までよりもはるかに安全なセキュリティ対策を講じていくために、藤井さんは三つの課題を「スーパー乱数表」という形で解決しました。
藤井: スーパー乱数表はカードという形式で管理されるのでインターネットで流出するというようなことはありません。したがって、たとえスマホが乗っ取られても不正入金が行われる可能性は極めて低くなります。
スーパー乱数表は、現在28の信用金庫で導入されています。それ以外にも日経新聞含む大手メディアで取り上げられたり、シンガポール金融庁にサポートすべき5社として選ばれるなど、数多くの実績を挙げています。
スーパー乱数表とはどのような技術なのか?
では、スーパー乱数表とはどんな技術なのでしょうか。
以下は実際のスーパー乱数表の画像になります。表面には英語と数字からなる列と行があり、それぞれのマスには画像が書かれています。
簡単に説明すると、システムがランダムで指定したマス目の画像を手元のスーパー乱数表から選び、選択することで認証を行う方法です。実際の使用手順を流れに沿ってご説明します。
1.ログイン時(本人認証)
パスワード、ログインIDを入力し、指定された、スーパー乱数表に書かれている画像を選び、選択します。この場合だとCの5列目の画像を選択します。
2.振込時(取引認証)
取引認証(中間者攻撃対策)も可能です。振込先銀行、預金種別、口座番号を選択します。口座番号の数字に該当するスーパー乱数表記載の画像をクリックします。この場合だと、B行の9列を選択することになります。
手順はたったこれだけです。使い方は至ってシンプルです。しかしこれだけで十分セキュリティ対策になるというから驚きです。
なぜスーパー乱数表が強固なセキュリティ対策になるのか?
なぜこのスーパー乱数表がセキュリティ対策になるのでしょうか?ここでは先ほど説明した3つのセキュリティ課題に対して以下に有効かを以下のように話していただきました
藤井: 1番重要、かつ、みなさんが気になるのは「なぜ、絵なのか」ということなんですよ。数字だとキーボードですべての欄を入力させるフィッシング攻撃が可能なんですよ。しかしこれが絵だといれられない。
1:中間者攻撃対策
乱数表の指定箇所は毎回変わります。特に振込に関しては振込先口座によって乱数表の指定箇所が変わります。
何度も使えるパスワードと違って、仮に乱数表の記号を傍受できたとしても、中間者が自分の口座に送金するためには、また違う乱数表の画像を入力しなければならないので、不正入金が困難になります。
2:フィッシング攻撃対策
スーパー乱数表は数値ではなく画像という形式で入力していきます。フィッシングは数値を入力させることによってパスワードを盗む攻撃なので画像形式だとこの手法は用いることが出来ません。
また、振込先に応じて入力すべき画像が異なり、一定のルールがない分不正利用ができないという仕組みになっています。
このようにしてフィッシング攻撃から守ることが出来るのです。
3:乗っ取り対策
スーパー乱数表はカードという形式で管理されるのでインターネットで流出するというようなことはありません。
したがって、たとえスマホが乗っ取られても不正入金が行われる可能性は極めて低くなります。
技術だけではないシンプルな使いやすさも好評の要因
スーパー乱数表の魅力は、各認証プロセスにおけるセキュリティを高めるだけではなく、導入のしやすしさや使いやすさといった実用性にもあると言います。
藤井:導入コストとして印刷コストもあるんですが、おそらく競合と比較しても遜色ないです。そしてパスワード発行のハードウェアに比べると相当安いです。アプリに対しても価格帯をあわせて提供できるんですよね。SMS認証の通信料金と比べても遜色ないです。
スーパー乱数表は印刷コストはかかるものの、それでもワンタイムパスワードといったような、ハードウェアを必要とする認証方法よりは相当安いと藤井さんは言います。
特別な端末を用いるわけではないので、コストを下げて運用できるのが最大の魅力であるとわかります。
藤井:導入いただいている信金各行では、個人に利用していただいているのですが、導入してからこれまで一度も使い方などの問い合わせが一つもないんですよ。
乱数表をみて指定された記号を入力するだけなのでとてもシンプル。現に信金からバンクガード株式会社さんの方に一回もスーパー乱数表に関する問い合わせが来たことがないといいます。
こういった問い合わせも、導入する企業からすればコストとなり得ます。このような導入ハードルの低さもスーパー乱数表の魅力の一つとも言えるでしょう。
ちゃんと使えるFinTech(フィンテック)を実現したい
藤井:売りはシンプルイズベスト、ちゃんと使えるフィンテック。そういった形を目指したいですね。
藤井さんはスーパー乱数表のようなシンプルで分かりやすく、かつ十分効力を発揮するような製品を目指していきたいと強調しました。
新しいセキュリティ対策と聞くと巨大なプロジェクトで膨大なコストと労力が必要、というイメージがどうしても先行してしまいます。スーパー乱数表は、導入する金融機関にとっても、実際に利用する個人にとってもシンプルかつ優しい方法でセキュリティ対策を導入できます。
暗号資産(仮想通貨)取引所のセキュリティ課題と解決法を聞いてみた
藤井:今、暗号資産(仮想通貨)取引所は毎日ハッキングされちゃってるんですよ。なんでかというと、SMS認証を使っているから。
暗号資産(仮想通貨)、というとハッキング事件のイメージがまだまだ強い方も多いのではないでしょうか。直近でも大手暗号資産(仮想通貨)取引所の通貨流出が起こるなど、まだまだセキュリティ面の不安が残る取引所も多いです。
藤井さんはその原因が「SMS認証」にあると言います。
藤井:ネットバンクにも、取引所にも必ずある、「電話番号変更ページ」ここがハッカーに狙われるんです。
SMS認証とは、電話番号を入力しそこにショートメッセージでパスワードを送るという、いまや定番となった2段階認証の方式の一つです。
この中の「電話番号変更ページ」をハッキングすることで、ユーザーはID・パスワードのみの1段階の「記憶」のみで認証することになります。この状況では容易にフィッシングができてしまうのです。
それではこの課題は、どのように解決できるのでしょうか。
藤井:スーパー乱数表のような「所有物」を「配る」これしかないんですよね
このようなハッキングを防ぐには、オンラインの手が及ばないカードなどを一枚一枚配ることによる「所有物認証」が有効であると藤井さんは言います。
所有物認証の中でも絵を用いることで特に高いセキュリティを誇るバンクガードのスーパー乱数表が広まれば、フィンテック業界、さらには取引所のセキュリティ課題の解決にも大きく寄与する可能性があるのではないでしょうか。
編集後記
「ちゃんと使えるフィンテック」という言葉が非常に印象的でした。新しい技術やサービスは使われてこそ始めてその効力を発揮します。
今後、フィンテックサービスについて調査する際にも大事にしたい視点を学ばせていただきました。
貴重な時間を割いてインタビューを引き受けてくださった藤井さんに厚く御礼申し上げます。ありがとうございました。
働いてお金を増やす