2019/06/03

たかがパスワードされどパスワード／柏原秀明

■ はじめに

情報通信技術のキーワードは、コンピュータ・データベース・ネットワークといわれて久しい。このキーワードは、20世紀まではコンピュータ・データベースが主役であった。

しかし、21世紀の今日では、インターネット・Web.・クラウドに代表されるネットワークが主役になったといっても過言ではない。

情報化社会におけるインターネットの利便性は、ビジネス利用から一般の生活者利用まで広く認識され膨大な数の人たちが日々利用している。

一方ネットワークを通じて送受信される情報量は幾何級数的に増え続けている。これに伴って、情報セキュリティのリスクも大きくなってきている。

ここでは、この情報セキュリティの基本的な対処方法である「パスワード」について振り返える。

■ パスワード事件

●「組織」向け脅威

IPA(独立行政法人情報処理推進機構)の「情報セキュリティ10大脅威 2019」の報告によると「組織」の場合、パスワードに関係する漏えい・搾取として「内部不正による情報漏えい」第5位、「インターネットサービスからの個人情報の搾取」第7位および「不注意による情報漏えい」第10位となっている[1] [4]。

これらに関係する事件は数多く発生している。国内・海外の最近の例にはつぎのものがある。

・ファイル転送サービスのパスワード漏えい事件（国内）

2019年1月24日、O社が、ファイル転送サービスで全登録者のパスワード480万件を平文で保存し流出させた不手際が大きな問題となっている[2]。

・F社のパスワード平文での保存事件（海外）

2019年3月21日（米国時間）F社は、ユーザーのパスワード数億人文を社内システムに、平文で保存し、従業員が検索可能な状態になっていたとのこと。

一方、社外からは閲覧できない状態になっていたとのことである[3]。

●「個人」向け脅威

IPAの報告によると「個人」の場合、パスワードに関係する漏えい・搾取として、「フィッシングによる個人情報等の詐取」・「インターネットバンキングの不正利用」第1位、「偽警告によるインターネット詐欺」第6位、「インターネットバンキングの不正利用」、第7位および「インターネットサービスへの不正ログイン」第8位となっている。

これらに関係する事件も数多く発生している[4]。

■ 従来の認証の方式

従来のパスワードなどを用いた認証には複数の方式がある。つぎによく利用される方式について説明する。

●ワンタイムパスワード認証

ワンタイムパスワードは1回利用の使い捨てパスワード認証である。

したがって、同一のパスワードを使い廻すことが出来な為、セキュリティの向上が期待できる。

しかし、利用者側は、毎回異なるパスワードを入力する必要があり煩雑である。

●多要素認証

多要素認証は ID（アカウント）とパスワードを組み合わせる「パスワード認証」に加え異なる手段を使い利用者が本人であることを確認・認証する方式である。この認証には、ショートメッセージを利用しセキュリティコードを入力する方式や生体情報（指紋・顔・虹彩など）入力する方式および表示画像の選択・操作・合致の方式などがある。

本人確認にはよりセキュリティが向上するが、やはり利用者にとっては煩雑である[5]。

■ 最近の方式 FIDO（Fast IDentity Online）

FIDOの特徴は、利用者が従来の煩雑な「ID とパスワード」を覚え入力しなくてもよいことである。

すなわち、利用者の生体情報を使い端末（スマートフォン・PC など：認証器）で本人確認・認証する方式である。

これにより端末の中だけで閉じている為、生体情報がネットワーク上に流れない。

よって、情報漏えいのリスクは低減される。この”FIDO”は、業界団体であるFIDO Alliance によって規格の策定と普及推進が行われている[6] [7]。

■ おわりに

ネットワークの高速化は、秒針分歩といわれるぐらいの進歩を遂げている。

2020年には、5G（Fifth Generation）が本格的に始まろうとしている。

現在の4Gの100倍以上の性能とのことである。

このような環境では、一度、パスワードが破られれば、現在以上のスピードでその情報は世界中のダークウェブに流れ、予期できない犯罪に繋がり多分野に甚大な損害・被害が発生するだろう。

パスワードが破られない為には、組織や個人の「パスワード管理（類推・使い廻し・漏えいなどの回避）の徹底・運用」が最低限の防御対策であろう。