ゆうちょ銀行の多要素認証
9月に表面化した「ドコモ口座詐欺」は、被害額が大きいゆうちょ銀行の不正送金問題に発展しました。そして一連の問題は、インターネットバンキングが脆弱性に覆われていことを世間に知らしめました。
ゆうちょ銀行のデビットカード「mijica(ミヂカ)」での送金は、会員サイトへのログインIDとパスワード(8桁〜)に加え、カードの裏面に記載されたカードID(5桁)が必要です。
パスワードに代表される認証方式は人の記憶に依存します。認証する要素としては、記憶のほか、所持と属性があります。この3つを「認証の3要素」と呼びます。
要 素 | 認証方式の例 |
---|---|
記 憶 | パスワード認証/暗証番号(PINコード)等 |
所 持 | 端末認証/ICカード認証 等 |
属 性 | 生体認証(指紋認証/顔認証 等) |
mijicaの送金は、ログインIDとパスワードの記憶による認証と、カードの裏面にあるIDの所持による認証が必要です。
このような複数の要素を組み合わせた認証を「多要素認証」と呼びます。多要素認証は、ゆうちょ銀行問題の報道により、知られるセキュリティ用語となりました。
多要素認証をしているにも関わらず、不正利用された要因とされるのが、カードの裏面に記載されたカードIDを入力する際に、何度間違えてもアカウントロックがかからない仕組みとなっていたことが挙げられています。
これはリバースブルートフォース攻撃の脅威です。
- ブルートフォース攻撃:パスワードを破る際に考えられる全てのパスワードの組み合わせを試行することで、システムに不正ログインをする攻撃。
- リバースブルートフォース攻撃:ブルートフォース攻撃のようにパスワードを変化させるのではなく、パスワードは固定として、IDの全ての組み合わせを試行する攻撃。
IDが5桁の数字ということは、最大 105=10,000回の試行で不正ログインに成功することになります。
ブルートフォース攻撃(リバースブルートフォース攻撃)への対策で有効なのは、ログインの失敗回数のしきい値を設けて、それを超えたらアカウントロックをすることです。これはセキュリティ対策の基本ですので、それがされていないのは問題(というか論外)です。
超高齢社会の情報セキュリティリテラシー
ただ、この問題の本質は、認証を強化することで片付くような類でないと思います。
認証を強化して、情報セキュリティリテラシーの低い高齢者が、ついて来れるのでしょうか!?
多要素認証どころか、IDとパスワードさえ記憶出来ず、手帳にメモをしている高齢者はたくさんいます。特に高齢者が多く利用する地銀やゆうちょは、いま以上に認証を強化したら、わけのわからない事態になると思います。
日本は2007年に超高齢社会(65歳以上の人口の割合が全人口の21%以上となる社会)へ突入しました。2025年には約30%に達すると見られています。
もちろん、高齢者が必ずしも情報セキュリティリテラシーが低いとは限りません。しかし、会社を定年退職された方が最新の情報セキュリティを学ぶ機会はほとんどありません。高齢者向けのIT講習も開催されていますが、情報セキュリティに特化した内容を積極的に学ぶとは思えません。なぜならITはまず使えるようになることが先決です。情報セキュリティはその先にあるスキルだからです。
攻撃者は情報セキュリティリテラシーの低い高齢者に容赦なくつけ込みます。攻撃者にとって高齢者を騙すのは、赤子の手をひねるようなものです。
ゆうちょ問題の本質は認証機能の脆弱性ではなく、超高齢化社会にある日本のセキュリティリテラシーの低さの問題だと思います。
所有欲求と存在欲求
会社の先輩から、早期退職の連絡ハガキが来ました。
その先輩は長年、横浜を拠点としてグローバル企業を対象とした人事パッケージの導入に携わっていました。
IT業界から農業への転身・・・先輩がどんなきっかけで転身を決意したのか、気になりました。コロナ禍で東京に近い地方への移住が加速していると聞きます。環境の良さを前面にして自治体も呼び込みをかけているようです。確かに11月27日の東京での新型コロナが過去最多の570人感染というニュースを見ると、地方移住したい気持ちになるのはよく分かります。
人間の欲求には豊かさを実感する「所有欲求」と、人間と自然の調和で心を満たす「存在欲求」があります。
グローバル企業を相手としたITビジネスは、お金という「所有欲求」を満たすでしょう。地方の農園でのブドウ作りは、ITビジネスに比べ、収入は減るかもしれませんが「存在欲求」を満たすかもしれません。
どの人間も誰かを必要とします。そして、誰かに必要とされる存在です。身近にいる弱者への配慮を心がけることが、人間の存在意義に繋がるでしょう。もし、身近にセキュリティリテラシーの低い高齢者がいれば、その方に対する支援を周りの方が行ってあげることが必要だと思います。
お金では買えない人と人のつながりから、問題解決の糸口を見いだせることが出来たらと思います。