• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

実例研究

【事例研究】生体認証キャッシュカードの危険性(3)
セキュリティ強度はかえって下がる

2007/01/24 ITpro
 前回記事の中で、ニーモニックセキュリティ代表取締役の國米仁氏が書いた「奇怪論理と優良誤認に脅かされる情報セキュリティ」という論文を紹介した。この論文は、理詰めでものを考えない国民性への批判にもなっており、大変面白いので、情報セキュリティに関心がない方もぜひ読んで頂きたい。

 たまたま2006年4月12日に、日本経済新聞が朝刊の1面で、ニーモニックセキュリティの技術を紹介していた。國米氏は、生体認証技術を本人確認へ使うことを批判する一方、4桁の暗証番号を代替する方法を提案している。新聞記事を受け、日経ビジネスオンラインに2006年4月17日付で『生体認証の怪 かえってセキュリティ強度が下がるのはなぜ?』というコラムを書いた。 

 このコラムには読者から反応があり、質問をいくつかいただいた。質問の多くは、コラムの中で紹介した本人認証技術に関するものであった。そこで2006年5月29日付で、『続・生体認証の怪 ~日経ビジネスオンライン読者の疑問に答える』と題し、國米氏と筆者の対談を回答として掲載した。以下では、4月17日付コラムと5月29日付対談の両方を続けて再掲する。

(谷島 宣之=経営とITサイト編集長)

 2006年4月12日付日本経済新聞朝刊の1面に、「暗号は猫の顔」と題した記事が掲載された。「ネットと文明」というシリーズ企画の1つで、「デジタルを人間くさく」という見出しがついていた。記事の中に、子供の顔写真36葉を表示した携帯電話画面が大きく掲載されており、その写真を覚えている読者がおられるかもしれない。

 この写真が紹介していたのは、ニーモニックセキュリティというベンチャー企業が開発した本人認証技術「ニーモニックガード」である。この技術は、複数の画像からあらかじめ決めておいた画像を数点選択することで、本人かどうかを確認する。自分の子供の写真や飼い猫の写真を混ぜておき、それらを選ぶようにすれば、本人であればまず間違えないし、忘れることもない。パスワードならぬ、“パス画像”というわけだ。

 銀行のATM(現金自動預け払い機)をはじめとする情報システムのセキュリティーを守るために、通常であれば4ケタの暗証番号をパスワードに使う。パスワードを忘れないために、生年月日や住所をそのまま使う人が多い。これでは、銀行キャッシュカードと保険証を同時に盗まれた場合、いとも簡単に預金を引き出されてしまう。といって意味がない番号にすると、自分自身が忘れてしまいかねない。手帳に番号を控えることは最も危険である。

 新聞記事は、ニーモニックガードを使って、ATMなどの暗証番号を守る方法を紹介していた。携帯電話の中に、ATMの番号など重要なパスワードを暗号化して記録しておき、このパスワードを引き出す時に、画像選択方式によって本人かどうかを確認する。デジタル時代のセキュリティーを守る本人認証を、子供や飼い猫の写真を使って行う点に新聞は注目し、「デジタルを人間くさく」という見出しをつけたのであろう。確かに、子供にとっても、高齢者にとっても使いやすい技術と言える。

 ただし、この技術の本質は、セキュリティー強度を高める点にある。開発者の國米仁ニーモニックセキュリティ社長は、「生体認証技術よりも、ICカードよりも、セキュリティーをしっかり守ることができる」と言い切る。

 現行のパスワードの問題は、類推がかなり容易にできる点にある。そこでパスワードをもっと長くする、定期的に変更する、といった対策が考えられているが、いずれも人間の記憶の限界があり、その実用は簡単ではない。國米社長は当初、2次元バーコードを使って、本人認証をする仕組みを考えた。常時持ち歩くカードに2次元バーコードを印刷しておけば、100ケタ近いパスワードをバーコードに記録できる。しかしすぐ気がついたのは、「カードを盗まれたら一巻の終わり」(國米社長)ということだった。

 次に何らかのパターンを記憶し、そのパターンの組み合わせによってパスワードを代替するやり方を考えた。だが、意味のないパターンにしてしまうと、ごく簡単なものですら、人間は記憶できないことが分かった。ある程度の数列に変換できる一連の情報を、どうやったら確実に、しかも簡単に記憶できるか。日夜考えていたある日の明け方、布団の中で「これまで飼った犬の写真なら、飼った順に指定できる」とひらめいた。これなら他人が見ても全く分からない。

飼った犬の順番は自分しか知らない

 画像選択方式の特徴の1つとして、本人であればある程度の間違いを許容し、他人であればわずかな間違いも許容しないようにできる。例えば36葉の犬の写真から4葉を順に選ぶ場合、慌てていて順番を間違えたとしても、写真が合っているなら、本人の可能性が高いとして、何度でもやり直せるように設定できる。逆に、4葉すべてを間違えて選択した場合は、その瞬間、他人と認識してロックをかけてしまうこともできる。通常のATMは、パスワード入力を3回間違えると本人であってもキャッシュカードを吸い込んでしまい、行員を呼んでロックを解除してもらわなければならなくなるが、画像選択方式はこうしたトラブルを防げるわけだ。

 この方式が実用化できたのは、ハードウエアの進歩によるところが大きい。コンピュータで画像を簡単に扱えるようになったし、携帯電話にはカメラまで付いている。自分の犬の写真と、犬の写真集から適当に選んだ写真を携帯電話で撮影すれば、簡単に入力画面を作ることができるという。

ここから先はITpro会員(無料)の登録が必要です。

次ページ 生体認証機能付きの方が実は危ない
  • 1
  • 2
  • 3

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る