「2段階認証の問題点とは何か?」
と調べている方へ結論からお伝えすると、大きく分けて3つの問題があります。
- フィッシング詐欺に対応できない問題
- コストの問題
- ユーザビリティの問題
「2段階認証さえあれば安心」という過信や、「2段階認証がベスト」という決めつけには、リスクがあります。
にもかかわらず、2段階認証の問題点は正しく認識されていないのが現実です。
そこで本記事では、ログイン機能を持つWebサイトやアプリの運営者なら知っておくべき「2段階認証とその問題点」について、わかりやすくまとめました。
本記事のポイント
- そもそも2段階認証とは何か?の基本からわかる
- 2段階認証の問題点を具体的に解説
- 問題にどう対応すべきか対策をお伝え
「2段階認証の問題点を知りたい」
「自社サイトやアプリにベストなセキュリティ対策を見極めたい」
…という方におすすめの内容となっています。
この解説を最後までお読みいただければ、2段階認証の基本や問題点が把握できるのはもちろん、セキュリティ施策を検討する糸口が得られます。被害やトラブルを未然に防ぐと同時に収益性も確保する、戦略的なセキュリティ対策の知識を身につけていきましょう。
1. そもそも2段階認証とは何か?基本の知識
最初に「そもそも2段階認証とは何か?」の概要を簡単に見ておきましょう。そのほうが、2段階認証の問題点が理解しやすくなるためです。
1-1. 認証段階が2ステップある認証のこと
2段階認証とは、通常の認証で利用される「IDとパスワード」を使った認証に加えて、認証の段階をもうひとつ追加し、2ステップで認証する方式のことです。
- 1段階めの認証…IDとパスワードの組み合わせの正否で認証する
- 2段階めの認証…さらに他の要素を追加して認証する
1段階のみの認証に比べて、認証の要素とステップが増えるわけですから、その分セキュリティレベルは上がります。
1-2. 2段階認証の種類
2段階認証の要素には、さまざまな種類があります。たとえば、以下はよく使われる要素です。
| 暗証番号 | 別途設定しておいた暗証番号を入力する |
| 合言葉 | あらかじめ決めた質問の答えを入力する (「卒業した小学校は?」「好きな映画は?」など) |
| 個人情報 | 登録している個人情報を入力する (生年月日、電話番号、など) |
| ワンタイムパスワード | 一定時間ごとに発行される使い捨てパスワードを入力する (トークンやSMS・メールへ送信されたパスワードなど) |
| 物理セキュリティキー | 物理的な鍵のようにユーザーしか持っていないハードウェアのキーで認証する (キーをPCのUSBポートに差し込む、など) |
1-3. 2段階認証で一定の防衛が期待できる攻撃
2段階認証によって一定の予防効果が期待できる攻撃としては、大きく分けて3つあります。
パスワードリスト型攻撃
パスワードリスト型攻撃とは、あらかじめ入手したID・パスワードのリストによって、不正ログインを試みる方法です。
ID・パスワードは、複数サイトで同じものを使い回している人が多いため、別サイトで漏えいした情報で他サイトのログインが成功してしまうことがあります。
人間ではなくBot(プログラム)によって、膨大なリストのログインが、さまざまなサイトで行われます。
ブルートフォースアタック(総当たり攻撃)
ブルートフォースアタック(別名:総当たり攻撃)とは、パスワードに使われる可能性のある組み合わせをすべて試行する攻撃です。
これもBotによって膨大なパターンの試行が行われます。単純なパスワードであるほど、簡単に突破されてしまう攻撃です。
ID・パスワードを入手した第三者によるなりすまし行為
なりすましとは、第三者がID・パスワードを盗み取り、本人になりすまして不正ログインすることです。
たとえば、ユーザーに対して悪意を持っている第三者がSNSアカウントを乗っ取り勝手に投稿する、といった被害が考えられます。
これらの攻撃に対して、一定の防衛策として機能するのが2段階認証です。
ただし、残念ながら完璧な防衛策ではありません。2段階認証が抱える問題点については、次章で詳しく解説します。
2. 2段階認証が抱える3つの問題点
さて、ここからは2段階認証の何が問題なのか、見ていきましょう。
「2段階認証」といっても前述のとおりさまざまな種類がありますが、ここでは大きく2段階認証全体が抱える問題点を3つ、取り上げます。
- フィッシング詐欺に対応できない問題
- コストの問題
- ユーザビリティの問題
2-1. フィッシング詐欺に対応できない問題
1つめの問題点は「フィッシング詐欺に対応できない問題」です。
フィッシング詐欺とは、正規サイトにそっくりの偽物サイトにユーザーを誘導して、ID・パスワードなどのアカウント情報を入力させて盗み取る手法です。
たとえば、「ワンタイムパスワード」で2段階認証を行っていても、そのワンタイムパスワードをユーザー自身が偽物サイトに入力してしまえば、悪意ある第三者に情報が筒抜けとなります。
近年フィッシング詐欺は巧妙化していて被害が急増中
近年、フィッシング詐欺は巧妙化していて、被害が急増している現実があります。
たとえばフィッシング詐欺のマルウェアに感染すると、ユーザー自身が正規サイトにアクセスしても、偽物サイトとの間を行き来するケースがあり、見破るのは極めて難しくなります。
2段階認証では、重大なサイバー犯罪を完全に防げないのが現実です。2段階認証を過信してはいけない理由として、理解しておきたいポイントです。
ただし例外として、2段階認証のなかでも、PCのUSBポートに差し込むなどして使う「物理セキュリティキー」は、フィッシング詐欺にも強い2段階認証として注目されています。
※フィッシングについて詳しくは「フィッシング 事例」もあわせてご覧ください。
2-2. コストの問題
2つめの問題点は「コストの問題」です。
セキュリティ対策で重要なのは、“得られる効果とコストのバランス”ですが、2段階認証は費用対効果に優れているとはいえない実態があります。
たとえば、SMSや通話などでワンタイムパスワードの通知を行う場合、ランニングコストが負担となります。前述の物理セキュリティキーは、イニシャルコスト(初期費用)が大きく発生します。
ランニングコストは、10万ログインあたり30〜40万円が目安となります。
2-3. ユーザビリティの問題
3つめの問題点は「ユーザビリティの問題」です。
2段階認証はそもそも、
「認証ステップを2段階にし、手間を増やすことによって、悪意ある第三者がログインしにくい状態を作ろう」
という発想の認証方法です。
ログインしにくくなるのはユーザーも同じで、ユーザー目線でいえば「ログインが面倒」という問題が発生します。
企業にとっては顧客離反の大きな原因となり、利益減少に直結してしまいます。
2-4. 他にもっと良い選択肢はある
重大なサイバー犯罪は防げない、コストはかかる、そのうえ顧客離反の原因となる——となれば、
「2段階認証、やる意味ある?」
と考え込んでしまう企業担当者の方も多いのではないでしょうか。
加えて相対的な話として、他の認証方法と比較しても劣っているという問題があります。
今から認証方法を選択するなら、他の選択肢を検討したほうが賢明です。具体的には続けてご覧ください。
3. 2段階認証の問題点をクリアする2つの選択肢
「2段階認証ではなく、どの認証方法がよいのか?」
といえば、2つの選択肢があります。
- パズルキャプチャ:ユーザービリティを損なわずにBot攻撃を阻止できる
- 生体認証:フィッシング詐欺の対策として効果が高い
3-1. パズルキャプチャ
「フィッシング詐欺に狙われるリスクは少ないが、
パスワードリスト攻撃などのBotによる攻撃は防ぎたい」
…という場合、セキュリティ面では2段階認証でもまかなえますが、ユーザビリティ面が問題です。
そこで、パスワードリスト攻撃などのBotによる攻撃を防ぎ、かつユーザビリティを損なわない優れた認証方法として「パズルキャプチャ」があります。
そもそもキャプチャ(CAPTCHA)とは、“Completely Automated Public Turing test to tell Computers and Humans Apart”の略語で、「アクセスしてきたユーザーがBotではなく人間かどうか」を識別する認証方法のこと。
上記のように文字を入力するCAPTCHAが一般的ですが、「面倒」と敬遠するユーザーもいます。
せっかく手間をかけて入力しても、画像の読み取りを間違えるとエラーが出るので、ユーザーにとってはストレスです。
そこで、CAPTCHAのなかでも、ユーザビリティのよい「パズルタイプ」がおすすめです。
スマホならスワイプするだけ、パソコンならドラッグ&ドロップするだけですから、誰でも簡単に認証できます。
詳しくは以下のリンクからご覧ください。
3-2. 生体認証
「フィッシングに狙われるリスクが高いサービスを提供している」
という場合には、まずフィッシング対策ができる認証を選定することが第一条件です。
日本サイバー犯罪対策センター(JC3)の調査によれば、EC、通信事業者、クレジットカードなどの金融系がフィッシング詐欺のターゲットとなりやすいサイトです。
フィッシング対策ができ、かつユーザビリティも確保できる認証方法は「生体認証」です。バイオメトリクス認証とも呼ばれます。
生体認証で使われる身体的な特徴の例を挙げましょう。
▼ 認証に使う特徴の例
- 指紋
- 手の形
- 手のひらや指の静脈
- 声紋
- 瞳の虹彩模様
- 網膜の血管パターン
- 目や口の位置
- 顔の輪郭
こういった身体的な特徴は偽造するのが極めて難しく、フィッシング詐欺に対して高いセキュリティを発揮します。
iPhoneのFace IDやTouch IDは生体認証ですが、ユーザーからも使いやすいと評価の高い認証方法です。顔や指紋をかざすだけなので、簡単です。
一方、「生体認証なんて、莫大なコストがかかるのでは?と危惧される方もいますが、2段階認証と同程度のコストで実装できます。
近年では、低コストで簡単に生体認証を実現できるアプリケーションが登場しているためです。
詳しくは以下のリンクからご覧ください。
4. 認証方式の選定を失敗しないための重要ポイント
最後に、認証方法の選定を失敗しないための重要ポイントを2つ、お伝えします。
4-1. CX(顧客体験)を総合的に向上させることを考える
1つめのポイントは「CX(顧客体験)を総合的に向上させることを考える」です。
「セキュリティ対策」は、マーケティングやカスタマーサポートとはまったく別に検討されることが多いのですが、「CX(カスタマーエクスペリエンス、顧客体験)の向上」の視点で考えると、最適解が見えやすくなります。
「自社が提供する商品・サービスを通じて、顧客に最高によい体験をしてもらうためには、どの認証方式がよいだろうか」
という視点です。
どの程度のセキュリティが必要で、どの程度の使い勝手や利便性が必要なのか。それは展開しているビジネスや顧客層によって大きく変わります。
自社の顧客に焦点をあてて、検討してみてください。
4-2. 新しい情報を収集する
2つめのポイントは「新しい情報を収集する」です。
この理由は、デジタル技術の発展は著しいためです。
たとえば5年前にセキュリティベンダーに相談したときには「そんなことはできない」と断られた、予算を大幅にオーバーしていた、といった案件でも、今は状況が変わっているかもしれません。
先入観で無理と決めつけずに、そのときどきのベストを求めて、新しい情報を収集することが大切です。
5. まとめ
- パスワードリスト型攻撃
- ブルートフォースアタック(総当たり攻撃)
- ID・パスワードを入手した第三者によるなりすまし行為
一方、2段階認証の問題として以下の3つが挙げられます。
- フィッシング詐欺に対応できない
- コストがかかる
- ユーザビリティが悪くなる
2段階認証の問題点をクリアする代替案として、次の2つをご紹介しました。
- パズルキャプチャ
- 生体認証
認証方式の選定を失敗しないためには、以下のポイントを意識してみてください。
- CX(顧客体験)を総合的に向上させることを考える
- 新しい情報を収集する
ぜひ、自社と顧客の双方にとって最適な認証方式を選び、経営視点で優れたサービス展開へつなげていただければと思います。
