「インターネット取引ほどハードルが低く、安全性を担保できないものはない。銀行窓口では通帳と印鑑、ATMならカードと暗証番号が必要だ。しかしインターネット取引に必要なのはパスワードだけ。通帳や印鑑、カードは盗まれればすぐにわかるが、パスワードは盗まれたことさえ気づかない」――。電子署名やネットワーク認証製品を開発・販売するバスコ(VASCO)データ・セキュリティ・ジャパンの相原敬雄日本ディレクターはこう語る。
VASCOは従来のパスワードに加えて、ワンタイムパスワードを利用する“2要素認証”を実現する製品を提供する。ワンタイムパスワードとは、ユーザーのIDと時間という二つの要素を基に、暗号化したパスワードを生成する仕組みだ。パスワードは時間が経つにつれ変化するため、堅牢なセキュリティを保持できる。
さらにセキュリティを強化するため、ホスト認証コードやメッセージ認証コード(MAC)などの機能も用意する。テンキー入力が可能なハードウエアトークンを使う。ホスト認証コードを利用すると、ユーザーが正規のサーバーとやり取りできたかを確認できる。ユーザーごとにあらかじめ取り決めたコードをワンタイムパスワード認証後にサーバーが返信して、一致を確認する仕組みだ。
MACを利用すると、正規のサーバーと正しい振り込み先、振り込み金額がやり取りできたかを確認できる。振り込み先、振り込み金額などをトークンに入力してMACを生成し、サーバーが返信するMACと一致を確認する仕組みだ。
オンライン詐欺は後を絶たず、巧妙化が進んでいる。金融機関は古典的なフィッシングのほか、通信を行う二者の間に介入して、あたかも正しい通信をしているように見せかけながらデータの改ざんを行うマン・イン・ザ・ミドル攻撃などの脅威にさらされている。最近は金融機関だけでなく、オンラインゲームやインターネットオークションも詐欺の標的になっているという。前述のMAC機能を利用すれば、マン・イン・ザ・ミドル攻撃も防ぐことができる。
諸外国ではすでに金融機関による2要素認証の本格的な導入が進んでいる。シンガポールは2006年末までに2要素認証を段階的に義務づけた結果、07年のオンライン犯罪の被害額がゼロになった。銀行上位8行すべてでワンタイムパスワード製品を導入したという。ヨーロッパでもすでにワンタイムパスワード製品は“当たり前”のものになっている。同社は視覚障害者向けに大型テンキーを有する音声つきトークンをヨーロッパで流通させている。
「日本国内でも金融機関による2要素認証の市場はこれから広がる」と相原ディレクターはみる。VASCO日本法人は2007年12月に設立、すでに国内で金融機関3社に導入した。「今後は金融機関だけでなく、幅広い業界で利用できることをアピールする」と相原ディレクターは語った。
