■新方式の「ワンタイムパスワード」について
『ワンタイムパスワード(使い捨てパスワード)について』
インターネットバンキングや携帯電話による取引へのセキュリティー対策として新たなセキュリティー方式の採用が公表されました。今回kのトピックスとしてとりあげました。
【はじめに】
個人情報保護法の成立、(通称)個人預金保護法の施行により、金融機関において各種のセキュリティー対策が具体的に実施されています。
先日、全銀協が公表した数字によると、H17.10月-12月までの3ヶ月間で、盗難通帳61件66百万円、偽造キャッシュカード145件235百万円、盗難キッシュカード1332件877百万円、合計で11億78百万円の被害が発生しているとのことです。
このような事故防止対策に関しては、ATMの引出し金額を小額化する、振込金額の小額化、更には、キャッシュカードを磁気ストライプ方式からICカード方式への移行、本人確認手段として生体認証方式の導入等と各種のセキュリティー対策が実施されています。
一方、インターネットを利用した銀行取引においても、フィツシングや成りすまし等の事故が発生しています。今のところ、数字は、公表されてはいませんが、相当な金額の事故が発生していることを予感させます。
このような状況下では、ATM取引だけでなく、インターネットバンキングの取引に関してもセキュリティー強化対策の重要性が注視されてきました。
インターネット・バンキングでは、スパイウェアによりパスワードを盗み取られ、預金口座から身に覚えのない送金が行われるなどの犯罪が発生しており、今後、その手口や手法は巧妙かつ高度になる可能性があります。
銀行各行は、かねてより利用者に各種のセキュリティー対策を提供するとともに、金融犯罪に対するセキュリティの啓蒙にも積極的に取り組んでいます。しかしながら、いくつものセキュリティー対策を重ねても、犯罪事故は発生しています。攻撃する側と守る側との知恵比べが今後とも続くことになるでしょう。
ところで、今年になってから、三井住友銀行、ジャパネット銀行が、個人向けのインターネットバンキングサービスに、新たなセキュリティー対策を公表しました。更に、NTTデータからも 携帯電話に組み込む新たなセキュリティー対策システムが公表されました。
これらに利用されている技術が、「使い捨てパスワード」とも言われる「ワンタイムパスワード」によるセキュリティーシステムです。今回はこのセキュリティー技術を取り上げることにしました。
【背 景】
近年、インターネットカフェに仕込まれた、キーロガー(キーボードからの入力を監視、記録するスパイウェア)によってパスワードが解読され不正出金された事件や、スパイウェアの組み込まれたCD-ROMが偽装されて郵送され、このCD-ROMからソフトをパソコンにインストールしてしまったために不正に高額の資金が送金されてしまった事件、さらにATMに設置されたCCDカメラによる盗撮によって口座番号と暗証番号が盗まれ、偽造キャッシュカードにより預金が不正に出金された事件等、世間を揺るがす事件が次々と発生しています。
わが国の銀行業界においてもお客様のセキュリティーに対する不安が高まってきています。ATM取引に関するセキュリティー対策の強化に加えて、インンターネット・バンキングに対する、なりすまし、詐欺等のへのセキュリティー対策の強化のための監視ソフトを導入するなど、銀行業界はセキュリティ対策の強化に頭を悩ませています。
こうしたインターネットバンキングのセキュリティー不安の解消の一手段として、新方式の「ワンタイムパスワード」が注目されています。指紋認証や静脈認証のような生体認証も対策手段の一つですが、導入コストが高く、インターネットバンキング用に利用したくても、認証用の装置をパソコンに接続する必要がありコスト面から利用できないという問題があります。その点、今回ご紹介する新方式の「ワンタイムパスワード」は、ATMでもインターネットでも活用することが可能なマルチチャネルに応用可能なシステムとして注目されています。
【現状のワンタイムパスワードについて】
現状のインターネットバンキングシステムでも「ワンタイムパスワード」という言葉が使われていますが、「新方式」は、これまでの方式とは技術的に異なる方式です。
ところで、インターネットバンキングで取引を行う場合には、ログイン時や重要な取引を実行する場合には、「暗証番号」の入力により、セキュリティーを確保しています。インターネットバンキングを開始する場合には、まず取引銀行へのログインが必要です。ログイン時に、「ID番号」と「暗証番号」を入力します。そして、具体的な取引が開始されます。新規の振り込み取引や新規の振込先登録等の【重要】取引には、予め登録された「二次暗証」を必要とするシステムが採用されています。この「二次暗証」も初期のインターネットバンキングシステムでは、固定的な暗証を利用する方式でしたが、「暗証」が盗聴される危険性を避けるためにランダム性の要素を加味した「ワンタイムパスワード」(現行方式)が利用されています。
現行方式の「ワンタイムパスワード」は、2桁の数字のマトリックス表を印刷したプラスティックカードを配布しこのカード上の数字を利用して、行と列をランダムに指定して、四桁のパスワード入力させる方式や、何桁かの暗証番号の桁数をいくつかランダムにその都度要求し、入力させる方式等暗証番号の入力をランダム化させる方式が採用されてきています。
しかし、この方式でも複数回の取引が盗聴され、「暗証」が盗まれる事件も発生しています。そこで、お客様にスタート時のログイン段階の暗証番号の入力にキイーボードを利用しない「ソフトキーイン方式」を採用したり、暗証番号を常時変更するように勧奨する警告メッセージが表示されるようになってきました。しかしながら、現実問題として、暗証番号をいろいろと変更すると変更した暗証番号を忘れてしまい、混乱を起こすことになり、実際には暗証番号を常時変更することは容易ではありません。これらの問題を解決する方式として登場したのが、「使い捨てパスワード」と通称される新方式の「ワンタイムパスワード」技術です。
【新方式のワンタイムパスワード技術】
今回ご紹介する「新方式」の使い捨て方式の「ワンタイムパスワード」技術は、暗証番号が常に変化する方式で、60秒ごとに数字が変化するランダム発生関数を利用することによりセキュリティーを強化する方式です。
この方式の具体的な仕組みは、予めお客様にランダム発生するキイーホルダータイプの「トークン」を配布します。このトークンに表示される乱数と同期する認証サーバーシステムをセンター側に設置しておきます。そして、ログオン時に、「ID番号」と「暗証番号」に加えて、「60秒ごとにランダムに発生する乱数」を入力します。
この3つの組み合わせをセンター側の認証サーバーシステムでチェックします。正当な入力であるということが確認されて始めてログインが可能となります。
この方式では、入り口段階である「ログイン」過程で不正取引を排除することが可能になりセキュリティーの強化につながります。
また、ログイン後の【重要】取引の認証にもこの「ワンタイムパスワード」の入力を要求することにより安全性を向上させることも可能になります。
この使い捨て方式の「ワンタイムパスワード」技術は、本人認証を行う都度「有効なパスワード」が変化するので、第三者が例え盗聴したとしても、将来のパスワードを推測することが不可能な仕組みになっています。
今回のこの技術をインターネットバンキングに採用するというアナウンスが、三井住友銀行、ジャパンネット銀行の両行からありました。この両行のシステムには、RSA SecurIDという技術が利用されており、60秒に1回自動で数字列が液晶画面に表示される銀行のロゴ入りのトークンを利用しています。このトークンに表示された数字をパスワードとして入力することで認証を行う方式です。
この方式を利用すれば、成りすましサーバーへのログインを不可能にすることも可能であり、このトークンを持たない人間にはログインができないことになります。「ID番号」「暗証番号」「60秒ごとに変化するワンタイムパスワード」の三種類が一致しないとログインができないということであり、セキュリティー対策上の強化が可能になります。
このトークンの表示する数字は60秒後には変化し、無効になるため、「使い捨てパスワード」とも通称されています。
この技術を利用することにより、Web上の脅威である盗聴、キーロガー、スパイウェア等に対して非常に強い認証システムを構築することが可能となります。また、表示された数字を入力するだけの簡単な操作のため、幅広いユーザーに対応することが可能です。
このRSA SecurIDの技術は、外資系や大手の社員向けインターネットシステム利用時のログイン時や国際CMS等に広く利用されている既存技術であり新規開発技術ではなく過去の実績を積み重ねてきた信頼性のある方式です。 全米で80%、国内でも70%のシェアを占めるワンタイムパスワードのデファクトスタンダードとして安定した実績のある技術ということです。この方式をコンシューマービジネス分野に利用しようというのが今回の両行のセキュリティー強化施策ということになります
【注】RSAおよびSecurIDは、RSA Security Inc.の登録商標です。
RSA SecurIDは、1分間に1回変わる6桁の数字をパスワードとして使うため、パスワード盗難による不正行為に対し、犯罪への高い防止効果があります。また、利用者は定期的にパスワードを変更する煩わしさもありません。簡単に使えて利用者を保護できる点が評価され、欧米のインターネット・バンキングやオンライン・トレードでの本人認証に採用されています。RSA SecurIDは、振動や落下による衝撃、温湿度、防水、静電気など、日常生活で想定される範囲の耐久性にも優れた堅牢な製品とのことです。
【セキュリティー対策へのコスト負担に関して】
セキュリティーシステムには、当然のことながらセキュリティー維持のためのコストが発生します。センターシステムのサーバーの導入・運用コスト、トークンの発行のための事務運営費、郵送費用、それにトークン自体の単体コストだけでも5年間の電池寿命があり、一万円前後のコストが必要となります。これらのコスト負担は、システム提供者側が負担するのが当然ですが、セキュリティーには受益者負担の観点から一部のコストを受益者にも負担して貰うという考えも必要ということになります。そのために、一部の費用を利用手数料としてお客様に負担していただく方法やある一定額の預金残高以上の場合に手数料を免除する方法等のマーケティング戦略上の考え方も課題となります。
しかしながら、銀行は、銀行自身事務省力化によるコストダウン、お客様への利便性の提供手段としてインターネットバンキングを積極的にセールスしてきているわけですから、システムの安全性、信頼性の強化は当然の義務ということであり、安全性に問題のあるシステムの提供は許されるはずがありません。また、善意の第三者に対する事故が発生した場合には、損失額を補償するということは、預金者保護法の視点からの当然のことです。
セキュリティー対策に、投資を行うことは銀行の社会的責任を果たすための当然の投資と考えるべき課題なのです。
【国内外での利用事例】
このRSA社の「ワンタイムパスワード」技術は、海外での利用事例は、20,000社以上の企業で採用されており、社内情報システムに対する不正アクセスを防御するシステムとして利用されています。一般的には、社員が社内のPCからのアクセスするための「ログインシステム」に利用したり、外部のネットワークからアクセスする場合の「ログオン」時等に普及しています。また、国内の金融機関でも法人向けのCMS(キャッシュマネジメントシステム)に活用されています。
このように、従来は、法人向けサービスや社員向けのサービスとして利用する事例が多かったのですが、最近では、米国のEトレード証券がコンシューマー向けのサービスに利用し、セキュリティー面の安全性を評価するユーザーの利用者が増えたり、他社のサービスから移行等による取引拡大に寄与しているという報告もあります。
また、日本での証券業界の導入事例としては、日興コーディアル証券が採用しています。今回の三井住友銀行、ジャパンネット銀行がコンシューマー向けのインターネットビジネス分野に採用したことにより、他の金融機関でも採用の動きが活発化するものと思われます。
【携帯電話にも組み込みが可能に】
現在、ワンタイムパスワード活用の主流である企業内利用の場合、キーホルダータイプの小型の製品(ハードトークン型)が大多数です。しかし、コンシューマーをターゲットとし、数十万、数百万といった多数の利用者へトークンを配布する場合、運用体制の整備、管理の負荷、紛失への対応等が普及拡大の課題となってきます。そこで、この問題を解決する方法として、携帯電話に組み込む方式がNTTデータから公表されました。
国内で約9,000万台普及している携帯電話に「ワンタイムパスワード機能」を持たせることで、上記の課題を克服し、コンシューマー分野でのハードルを下げることが可能になります。 今回、RSAセキュリティとNTTデータが共同で携帯電話に格納できる「ソフトトークン」を開発し、コンシューマー分野に広く普及させていくために両社で協業していくことをアナウンスしました。これにより、更に、「ワンタイムパスワード」の普及が加速されるものと思料されます
また、コンシューマーへの配布を考えた際、サービス毎に認証システムを構築、運用することや、複数のサービスを利用するユーザーがそれぞれのサービス専用のトークンを持つことは現実的ではないため、共同利用型(ASP)の認証センターの構築および運営についても両社共同で検討を実施していく計画とのことです。
これらのサービスもセキュリティー対策強化の社会インフラ作りの上で、大いに期待されるものです。
【まとめ】
バンキングシステムのセキュリティー対策は、個人預金保護法の精神である、「お客様の大切な預金を安全にお預かりする」という視点から、常に社会の情勢を先取りして、先行投資していくことが【重要】です。
金融機関を攻撃の対象とする、犯罪者は各種の先端技術を駆使して、攻撃してきます。この攻撃に対応できる防御システムを研究し、具体的な対応策を構築していくことは当然のことです。
今回の「使い捨てのワンタイムパスワード」もインターネットバンキングの強化策の一環として歓迎すべき技術であるということです。
【参考資料:各種認証方式の概要】
■固定パスワード
ユーザーI D とパスワード(英数字や記号)による認証方式で、現在最も普及している方式であるが、スパイウェア等により盗聴等の脅威が懸念されている。
■ワンタイム・パスワード
(ハードウェア・トークン)
本人が定めた暗証番号と60 秒ごとに表示が変わる1 回限りのパスワードによる認証方式の併用により、固定パスワード方式の弱点をカバーすることが可能となる。
カード型、キーホルダー型などの持ち運び可能なハードウェアタイプとして提供されている。
■ワンタイム・パスワード(PC、PDA等)
(ソフトウェア・トークン)
ワンタイム・パスワードによる認証方式をPC 、PDA (携帯情報端末)上のソフトウェアとして実現。
特別な追加のハードが不要で、手持ちのハードにソフトを導入するだけでよく、運用の簡素化等、運用全体のコストを低減可能なシステムとして注目される。
■ワンタイム・パスワード(携帯電話)
ワンタイム・パスワードによる認証方式を携帯電話上でソフトウェアとして提供。
NTTデータから提供される予定となっている。
■デジタル証明書
「秘密鍵」と「公開鍵」の2 つの鍵を用いる公開鍵暗号方式によって、本人を認証する方式。
デジタル証明書はユーザーが使用するPC 上で保管されている。
特定のPCでしか利用することができない。
■デジタル証明書+メモリ・デバイス
「秘密鍵」と「公開鍵」の2 つの鍵を用いる公開鍵暗号方式によって、本人を認証する方式。
デジタル証明書の保護と持ち運びを可能にするためメモリ・デバイスを使用することにより、上記の不便さを解消する方式。
■バイオメトリクス
人間の生体的特徴や動作を取り出して数値化することで本人を認証する方式。
指紋認証、血流認証、掌形認証、虹彩認証、顔貌認証、声紋認証のほか、人間の動作を伴うサイン認証などがある。
本人しか利用することができないが、経年変化、傷害等により、認証の再登録が必要になる場合がある。
(終わり)
| 固定リンク
「情報セキュリティー」カテゴリの記事
- ◆ガンブラーウィルスにご注意を(2010.02.17)
- ◆続 トロイの木馬(2010.01.23)
- ◆トロイの木馬の被害事例に関して(2010.01.09)
- ◆続発する個人情報漏洩事件(2009.08.18)
- ◆三菱UFJ証券の顧客情報漏洩事件から学ぶべきこと(2009.07.16)
コメント