「顧客が頻繁にパスワードを変更してくれていれば防げたが…」(NTTドコモ関係者)――。
2014年9月30日、NTTドコモは外部からの不正なログインにより、6072件の情報が同社のサイトから漏洩したと発表した。攻撃手法は他所で入手したIDとパスワードを使う「リスト型攻撃」。同様の手法で佐川急便やヤマト運輸も被害に遭った。
その対策として長年、同じパスワードを複数サイトで使わず、定期的に変更するよう啓蒙活動が繰り返されてきた。しかし結局のところユーザーは安全性よりも使い勝手を優先している。
こうした中、IDとパスワードによる認証とは全く異なるアプローチで、利便性と安全性を満たすシステムが現れた。英CertiVoxの「M-Pin」だ。楕円曲線暗号を使うプラットフォームで、いったん登録すればパソコンなどHTML5対応ブラウザーが動く端末と4桁のPINコードだけで認証できる。Webサイトのアクセスに、キャッシュカードと4桁の暗証番号を使う銀行ATMと同様の使い勝手をもたらす。
仕組みはこうだ。M-Pinを導入したサイトにユーザーが新規登録する際、CertiVoxと企業のサーバーから認証に使うキーが半分ずつ届く。このキーはいったん結合された後、ユーザーがPINコードを入力した時点でPINコードとソフトウエアトークンに分割される。PINコードはユーザーが記憶し、トークンは自動的にブラウザーの「localStorage」領域に保存される。
ユーザーがサービスにログインする際にPINコードを入力すると、トークンの情報を組み合わせてキーが再生成される(図)。サーバーにはそのキーを基に計算したデータを伝えることで認証する。認証時点でキーやPINコード、トークンはサーバーと直接やり取りしないため、通信路をハッキングされてもログイン情報が漏れる危険性はない。ハッキングされても情報は漏れない
