パスワード管理はもう限界!パスワードを使わない安全なネット社会がすぐそこに

パスワードの漏えいによる不正アクセスが多発し、パスワードによる認証が限界に来ていると危惧されています。「複数のサービスで同じパスワードを使いまわしている」「複雑なパスワードを覚えられない」「パスワード管理が面倒」など、不安を感じつつもパスワードを使ってきたユーザーは少なくありません。またサービスを運営する側も適切に管理しないと、パスワードの漏えい問題を起こしかねません。そこで今、パスワードに頼らない新しい認証の仕組みが求められています。

個人情報が氾濫する現在、攻撃される機会は増える一方

-パスワード漏えいなどインターネットサービスのセキュリティに関する事件・事故が後を絶ちません。専門家から見てどう思いますか?

矢崎:最近では、特に利用者の本人確認、つまり認証に関する事件が目立つようになってきました。例えば、大手コンビニチェーンが始めたキャッシュレスサービスが利用者本人以外の第三者に不正利用された事件、ファイル転送サービスの老舗サイトで不正アクセスした第三者にパスワードが漏えいした事件などです。また古い話ですが、17歳の少年が学校の教育情報システムに不正アクセスした事件もありました。

パスワードが漏れてしまえば、第三者がその人になりすまして、勝手に色々なことができてしまいます。サービスを提供する側だけでなく、ユーザー自身もパスワードが漏れないよう、しっかりセキュリティを考えなくてはいけません。

奥原:いずれのケースでも、パスワードが正しく管理できていなかったことが原因でした。老舗のサービス、大企業が提供しているサービスであってもそういう問題を抱えています。であるなら、一般のユーザーは何を信頼すればいいのかと。この問題は、なかなか根が深いですよね。

-なぜ、パスワードが盗まれ、不正アクセスされる事件が増えているのでしょうか?

矢崎:攻撃者にとって極めて都合のよい環境が整っており、狙うチャンスが増えているのが一つの要因です。
近年はSNSが急速に普及し、ユーザーが身近な情報を気軽に発信するようになってきています。それは、見方を変えれば、自分の個人情報を自らさらけ出しているとも言えます。さらに一人ひとりが複数のSNSを利用するようになってきており、各SNSの情報をまとめれば、攻撃者はより詳細な個人情報を集めることも可能です。要するに、攻撃に利用できる情報が増えてきているので、攻撃者にとって有利な状況になってきたわけです。

奥原:覚えておいてほしいのは、必ずしも「攻撃手法が高度になって、堅固なセキュリティが破られた」とは限らないこと。サービス提供側で正しく対策をしていれば防げたようなケースも少なくなく、管理の甘さも一つの要因となっています。

-パスワードが盗まれてしまうと、どういう問題が起こるのですか?

奥原:コンピューターシステムは、「その人が何者であるのか」という認証に頼っています。その根本はIDとパスワードです。パスワードを入力して認証されたら、その人が誰であろうとコンピュータは「この人物は本人だ」と認識して、サービスを提供します。例え、犯罪者であったとしても、本来のユーザーが持つすべての権限を与えてしまいます。

矢崎:その結果、SNSでニセの情報をばらまかれたり、勝手にゲームのアイテムを交換されたり、オンラインショッピングで注文されたりといったことが、実際に起こっています。企業内で利用しているIDやパスワードが不正使用されると、さらにその影響は大きくなります。例えば、機密情報を盗んだり、重要データを書き換えたり。極端な例では、会社を倒産させるような決済を行うことも可能です。

奥原:他にも悪いシナリオはいくらでも考えられます。認証を破られられてしまうというのは、システムにとってはとても致命的なことで、セキュリティが一気に崩壊する引き金となります。

富士通株式会社
サイバーセキュリティ事業戦略本部
サイバーディフェンスセンター
センター長
奥原 雅之
株式会社富士通研究所
セキュリティ研究所
IDトラストプロジェクト
矢崎 孝一

続きは、こちらからお読みいただけます

概要

  • 個人情報が氾濫する現在、攻撃される機会は増える一方
  • パスワードによる認証だけでは限界
  • パスワード以外の認証システムへ移行する時代が到来
  • パスワードを使わない新しい認証の仕組み「FIDO」
  • すでにFIDOを使う環境は整っている
  • FIDOの未来

ページの先頭へ