システムや各種サービスの利用開始時に欠かせない「パスワード」。しかし、サイバー攻撃や漏えいによる悪用のリスクが常につきまとい、もはや安全な認証方式ではなくなっている。パスワードに代わる安全な認証を実現する技術として「FIDO」(Fast Identity Online、ファイド)が提案されていたが、業界大手のサポートが広がり、いよいよ本格普及の段階を迎えようとしている。
(取材・文/日高 彰)

パスワード認証ではリスクが避けられない

 「お支払い情報を更新してください」「利用内容のご確認のお願い」「本人情報の緊急確認」――。このようなメールが毎日のように届くという人は少なくないだろう。これらは銀行のネットバンキングなどを装った「フィッシングメール」に使われた件名だ。メールに記載されたURLを開くと、金融機関のWebサイトとそっくりの画面が表示され、ログインを促される。ここでIDとパスワード、ワンタイムパスワードなどを入力したが最後、犯罪者はその情報を使って不正な支払いや送金を行い、口座から預金が抜き取られてしまう。

 警察庁の調べでは、インターネットバンキングに関係する2021年の不正送金の被害は、584件、約8億2000万円となり、いずれも2年連続で減少した。しかし、フィッシングの報告は増加傾向で、手口は巧妙化している。また、業務システムの管理者権限を奪うことを目的に、企業をターゲットとしてID・パスワードを盗もうとする標的型攻撃メールも確認されている。

 米通信会社のベライゾンが21年に発表した調査報告によれば、Webアプリケーションへの侵入の89%が、盗まれたパスワードやブルートフォース攻撃(パスワードの総当たり)によるものだったとしている。パスワードについては、「十分に複雑で長いパスワードを設定する」「複数のサービスでパスワードを使い回さない」といったことが推奨されているが、現実にはそれを徹底するのが難しいこともうかがえる。また、長らく「パスワードは定期的に変更すべき」と言われてきたが、定期的な変更を強いることで、かえってユーザーは覚えやすい簡単なパスワードを使い回すようになるおそれがあるため、現在では定期変更は求めるべきでないとされている。

 パスワードが危険な理由として、人による適切な管理が難しいというだけでなく、そもそもの仕組みに弱い部分がある認証方式であることが挙げられる。パスワードによる認証は、ユーザーとサーバーとの間でパスワードという「秘密」を共有する形態だからだ。

 ユーザーがサービスにログインする際、パスワードはインターネットなどの通信路を経由してサーバー側に送信される。サーバーはそれが適切なものかを検証するため、あらかじめ保管しておいたパスワードと照合し、合致すればログインを受け入れる。

 このプロセスにおいて、弱みとなるポイントがいくつかある。

●通信経路の途中でパスワードが盗聴される
●攻撃を受けてサーバー上に保存されているパスワードが漏えいする
●ログイン画面の改ざんやフィッシングサイトによってパスワードを盗まれる
●他のサービスで漏えいしたパスワードやブルートフォース攻撃で認証を突破される

 これらは、ユーザーとサーバーが秘密を共有し、ログインの度に通信路を介して秘密をやりとりする仕組みである以上、避けられないリスクだ。もちろん、通信の暗号化やパスワードのハッシュ化といった対策でリスクを低減することは可能だが、それでもパスワードの使い回しといった不適切な運用に対しては危険が残り、紙に書いたメモが盗まれるといった、テクノロジーの外部で行われる不正にも無力だ。また、複雑なパスワードの入力や、サービスごとに異なるパスワードを設定することは、利便性の低下につながるだけに、ユーザーに対する啓発で意識を高めるのにも限界がある。