二段階認証のやり方で安全性が変わる！？　あなたの二段階認証は大丈夫？

皆さんは、オンラインサービスにログインするときに2段階認証にされていますか？

パスワードは、携帯電話・クレジットカードなどをはじめ、ありとあらゆるサービスで導入されています。

今回はそんな、「二段階認証のやり方よって安全性は違う！」についてご紹介します。

そもそも「二段階認証」ってなに？

二段階認証

個人的に気になっているのは、国会議員の中でそもそも「二段階認証」という言葉をどれだけの人が知っているのか？そして、実際に利用しているのか？

そんな不安があります。

さて、この2段階認証は使う側（私）からすれば、「パスワードを2回も入力しないといけないので、かなり面倒くさい！」ということが本音です。

私の場合は、いくつか「ポイントサイト」を利用しているので、一定のポイントが溜まったらお金や商品、サービスなどさまざまなものに交換できるのですが、ポイントを交換する度に二度の認証が必要となります。

→ポイントサイトというのは、アンケートやゲーム、ＣＭ視聴などによってポイントを溜めて、さまざまな商品と交換できるサービスのことです。

ここまでの説明で、二段階認証について何となく分かってきたでしょうか？

つまり、「二段階認証」というのは「本人確認のために2度の認証が必要になる！」つまり、どんな方法であれ、2回パスワードを入力すれば二段階認証となります。

→例えば、暗証番号+秘密の答え（「好きな芸能人は？」など）でも2段階認証となります。

ただし、混同しやすい認証方法として「二要素認証」というものがあります。

二要素認証

「二要素認証」というのは、二段階認証の１つですが「2度の確認方法がより限定」されています。

二段階認証というだけなら、とりあえずパスワードの入力がどういう形であれ2回必要になります。そういう意味では、二要素認証も二段階認証の１つとなるため、混同されがちになりますが認証の安全性がまったく違います。

「二要素認証」というのは、本人確認に異なる方法を2つ組み合わせる方法です。

1. 知識：本人が知っている（設定した）パスワードを入力→暗証番号など
2. 所有：本人の所有物が必要　　　　　　　　　　　　　→キャッシュカード・スマホなど
3. 生体：本人だけがもつ特徴　　　　　　　　　　　　　→指紋・顔・静脈など

これら3つのうち、2つが組み合われている認証方法を「二要素認証」といいます。

最近では生体認証も当たり前になっているため、まるで「アニメ　ルパン三世」のような世界観ですよね。これが、大企業だけでなく個人で利用できる社会というのも喜んでいいのかどうか・・・

話しがそれましたが、代表的なもので言えば誰もが利用したことがある銀行のＡＴＭです。お金を下ろすときに、知識：「暗証番号」と所有：「キャッシュカード」が必要ですよね。

つまり、私達の生活では実は昔から利用されていた方法でもあります。この方法を、ネットの中でも取り入れたものが「二要素認証」です。

つまり、パスワードだけが分かっていても本人が所有しているカードがなくては意味がありません。ちなみに、「顔認証」と「静脈認証」の組み合わせは同じ生体認証ですので二要素認証ではありません。

《まとめ！》

• 1段階目：自分で設定したパスワードを入力する！（1要素認証）
• 2段階目：もう一度認証が必要！

2段階認証は、「方法に関わらず認証プロセスが2段階ある！」ということです。そして、「二要素認証」というのは、二段階認証の１つですが、「知識」「所有」「生体」の3つのうち2つを組み合わせている認証と言うことになります。

2段階認証の種類

ちなみに、1段階目の認証というのは私の場合で説明すれば、例えばポイントサイトで換金するときに使用する「1つ目のパスワード」のことです。

この1つ目のパスワードは、自分で設定しているため他の人に知られてしまえば、誰もが1段目のパスワードを解除できてしまいます。

つまり、1段階の認証しかなければ、この時点で「せっかくためた私の10,000円分のポイントが無くなった！」ということになります。→私のパスワードを盗み盗った誰かに奪われる。

これが、1段階（1要素）認証の危険性です。

こんなことを防ぐために、「もう1段認証を使おう！」というのが2段階認証です。

それでは、「二段階認証」と「二要素認証」には具体的にどんな方法があるのか見ていきましょう！

トークンによる認証

「トークン」というのは、一度限り有効な時間制限のあるパスワード（ワンタイムパスワード）を生成する仕組みのことです。

この方法は、銀行や携帯電話会社などのwebサイトやアプリのログインや実際の手続き（ネットバンキングなど）にも使われています。

このトークンには2種類があります。

• ソフトウェアトークン：パソコンやスマホなどに専用アプリをインストールして利用するトークン。

私の場合なら、ビットコインのサイトにログインするときに、暗証番号が一定時間表示されるアプリの暗証番号を入力して、二要素認証を行っています。

＊本人の「知識」と「所有物（パソコンやスマホ）」を組み合わせているため、二要素認証。

• ハードウェア・クーポン

カード型・キーホルダー型の機器にパスワードを表示させて利用するトークン。

→この暗証番号は、一定の時間が経過すると別の暗証番号にどんどん切り替わっていくため、切り替わる前にすぐに入力する必要があります。

＊本人の「知識」と「所有物（パスワードを表示させる機器）」を利用しているため二要素認証。

ＳＭＳ（ショートメッセージサービス）による認証

こちらは、使い慣れている方が多いのではないでしょうか？

「ＳＭＳ」というのは、携帯電話などで短いメッセージを送受信できる機能のことです。つまり、設定された電話番号にショートメッセージとしてワンタイムパスワードを送信する認証方法です。

• 携帯電話が手元にない場合
• サービスに電話番号を設定していな場合

こういった場合は、そもそもこのシステムを利用することができません。

＊本人の「知識」と「所有物（携帯電話）」を利用しているため二要素認証

電話による認証

基本的に、自動音声によって読み上げられたワンタイムパスワードをwebサイトやアプリに入力していきます。（電話による通知内容はサービスによって異なる）

＊本人の「知識」と「所有物（携帯電話）」を利用しているため二要素認証。

ということで、全て「二要素認証」でした・・・

他にも、「マトリクス認証」といって、乱数表を使った認証のやり方などもあります。例えば、私が使っている住信SBIネット銀行株式会社では、配布された「認証番号カード」に書かれている乱数表が必要になります。

このように、「二要素認証」と一言でいっても、認証のやり方は１つではありません。

「2段階認証のなかでも二要素認証にすれば安心！していない方はすぐにでも実行して下さいね！」という締めくくりで終わることができればよかったのですが、この2要素認証ですら突破される事件がすでに発生しています。

次回は、二要素認証がすでに突破されている現状について、その拡大している被害とともにご紹介します。

最後に

個人情報は、もれてしまうと大変なことになる情報がたくさんあります。特に、お金に関わる個人情報がもれてしまうと取り返しが付かなくなるかもしれません。

今回紹介した、「二要素認証はすでに突破されているから意味がない！？」ということではありません。

大切なことは、どうやって突破しているのか？

どんな対策があるのか？

そういった事実を確認した上で対処を実践していくことです。

「三匹の子豚」のお話が例にされることがよくありますが、このお話では「藁の家→木の家→レンガの家」が登場しますよね。ですが、今ではさらに高層マンションや耐震・免震・制震といった地震対策など、さまざまな工夫がなされています。

→家は、日々どんどん強化されています。（「地震がきたら意味がない」と考えて、レンガの家を選ぶ人はいないですよね・・・）

同じように、セキュリティーもどんどん強化さていますが、脆弱な所から崩されていきます。ですから、今できる対策は絶対に必要です。

そして、二段階認証だから安全ではないため過信しないようにご注意下さい！

参考

NTT西日本公式ホームページ：ネットの知恵袋
→https://flets-w.com/user/point-otoku/knowledge/security/security24.html

アシト：二段階認証と二要素認証の違い
→https://www.ashisuto.co.jp/security_blog/article/201911-authentication.html