生体認証をベースとし手軽で強固なオンライン認証基盤FIDO（ファイド）とは?

今般、オンラインサービスへの不正ログイン事件による被害が相次いで発生しています。2019年8月には流出した情報の件数が1万件を超えるような被害をもたらした個人情報漏えい事件が2件発生しており、いずれもパスワードリスト型攻撃が起因しているとのことです。

パスワードリスト型攻撃とは、オンラインサービスの認証を不正に突破するための手法の一つであり、過去に流出した利用者アカウントとパスワードの組み合わせリストなどを利用し、不正ログインを試みるものです。この手法により、複数のオンラインサービスで同じ利用者アカウント/パスワードを使いまわしている利用者に成りすまし、不正にログインすることが可能になります。

インターネット黎明期にはパスワードの長さや使える文字種に制限があったことから、攻撃者は総当たり攻撃や辞書攻撃で不正ログインを試みていました。これに対して防御側は、利用者に対して長く複雑なパスワードを使用することやパスワードの定期的な変更を強制し、連続で認証を試みたアカウントをロックアウトするなどの対策をとることで、不正ログイン被害を減少させることに成功していました。

パスワードリスト型攻撃は、このような過去の対策を突破して不正ログインを成功させ、被害を引き起こしています。特に政府がキャッシュレス決済の普及に力を入れ、多くの事業者がオンラインサービスを立ち上げたことで、従来以上に不正ログインの成功が攻撃者の利得に直結するようになりました。攻撃者は常に防御の裏をかく工夫を継続的に続けており、オンラインサービス運営は適切な対処を行うことが求められています。

従来の利用者アカウントとパスワードを組み合わせただけの認証方式では不正ログインを防ぎきることができないため、複数の要素を認証条件とする「多要素認証」が不正アクセス対策の切り札として使われるようになってきました。認証に使う主な要素には、本人だけが知っている情報を利用する「知識要素（Something you know）」や、本人だけが持っている何らかのアイテムを利用する「所有要素（Something you have）」、さらに本人だけが備えている生物学的な要素を利用する「生体要素（Something you are）」が存在します。多要素認証を採用するオンラインサービスは徐々に増えてきていますが、サービス提供者側の対策コストや、利用者の利便性を低下させることを危惧して、いまだに対策を行うことに躊躇しているサイトが多いのも事実です。

そこで、生体認証をベースとし手軽で強固なオンライン認証基盤を実現するものとして、マイクロソフト、グーグル、VISA、NTTドコモ、そして富士通などが参加するFIDOアライアンスが開発・推進するオンライン認証の国際標準認証のFIDO（ファイド）の利用が注目を集めています。

FIDO認証では、スマートフォンなどの携帯端末などで生体情報を使った本人認証を行い、サイト側ではデバイス認証を行うようになっています。サイト上にはデバイス認証のための公開鍵だけが存在し生体情報が保管されない、ネットワーク上に流れる情報はデバイス側の秘密鍵で署名されたトークンのみなど、様々な面でセキュリティに配慮した仕組みになっており、利用者の利便性と安全性を兼ね揃えたものとして期待されています。

昨年末にはソフトバンク、ヤフー、三菱UFJ銀行、アフラックなどがサービスへのログインにFIDO認証を採用し、富士通もオンライン生体認証サービスの提供やFIDO対応の静脈認証デバイスの提供を開始しています。

経済産業省はキャッシュレス決済を提供している決済事業者等に対して、不正アクセスに備えた十分な対策を講じるよう要請しています。不正利用防止対策に関するガイドラインなども公開されており、サービスの開発者や運用事業者はセキュリティレベルを向上させるための様々な対策を行い、安全で安定したサービス提供を実現することが求められています。

《参考情報》