2018-06-01 12:48:15 yahoo.co.jp. Business it.
https://headlines.yahoo.co.jp/article?a=20180601-00034975-biz_plus-sci
ヤフーがパスワード廃止、人類はパスワードから解放されるか?
SMSワンタイムの利便性とセキュリティ
5月18日、ヤフーが「Yahoo! Japan IDのパスワードを無効化する機能」を発表した。所定のURLで手続きをすると、以降、ヤフーサイトへのログイン、ヤフースマートログイン対応のサービス利用について、パスワードの代わりに登録した携帯番号のSMSで送られてくるワンタイムパスワードを利用するようになる。煩わしいパスワード管理から解放され利便性は高そうだが、セキュリティはどうなのだろうか。
フリーランスライター 中尾真二
画像
いよいよパスワードから解放されるのか?(©taa22 - Fotolia)
<目次>
パスワードの限界、追い打ちをかけるリスト型攻撃
ヤフーがパスワードなしでログインできるサービスを開始
パスワード忘れ・再発行手続きよりは簡単
課題はSMSプロトコルの脆弱性
GAFAより先行判断をしたヤフー
パスワードの限界、追い打ちをかけるリスト型攻撃
パスワードは、長年その欠点とわずらわしさを指摘されながら、総合的に管理しやすく、システムへの実装もしやすいのも事実で、パスワードに代わる決定打もないため、必要悪のように使い続けられている。生活や業務のネット依存が拡大し、必要なパスワードの数は人間の管理能力を簡単に超えてきている。
にもかかわらず、サービス側は使いまわしや覚えやすいフレーズの利用を禁止、制限したり、定期的な変更も要求してくる。加えて攻撃の高度化により、複雑なパスワードルールにユーザーはさらに翻弄されることになる。ユーザーは、Webブラウザのセッション保持機能やパスワード管理ツールを駆使し、安全と利便性についてなんとか折り合いをつけるのがやっとだ。
そこに、何億、何十億という単位のアカウント情報が、ダークネット上では普通に取引されていることが、改めて報じられるようになった。もはや、メジャーなサービスのユーザーアカウント情報は、漏れている前提でセキュリティを考えなければならない状況だ。
ヤフーがパスワードなしでログインできるサービスを開始
漏えいしているアカウント情報は、重複しているものや古い情報のもの、捨てアカウントなども含まれているため、漏えい件数を額面どおりとらえる必要はないが、放置していい問題でもない。特に日々大量の不正アクセスを受けている大手ポータルサイト、ECサイト、ソーシャルネットワークにとっては抜本的な対策に迫られているといってよい状況だ。
ヤフーが「スマホからのログインでパスワードを無効にできるようにした」と発表したのは、深刻化するリスト攻撃への対策には思い切ったアクションが必要と感じたからだろう。といっても、急に発表された意思決定ではない。
ヤフーが自社サービスの一部について、秘密のパスワードを設定せず、SMSによる認証コードでログインさせる方法を始めたのは、2017年の4月からだ。ショッピングやオークションなど一部のサービスで新規アカウントを設定するときに、ワンタイムパスワードをSMSに送る方式を提供していた。1年ほどの運用を経て、200万IDがパスワードなしの方法でログインしている状況を作り上げた。新規アカウントから施策の状況をみて、「いける」と判断して、既存アカウントも希望者にYahoo! Japan IDのパスワードを無効できるようにしたものといえる。
パスワード忘れ・再発行手続きよりは簡単
当面は「スマートログイン」機能を設定しているスマートフォンユーザーを対象に、所定の手続き(オンライン)をすれば、設定されているパスワードを無効にし、登録した携帯電話番号にSMSで送られてくるワンタイムパスワードだけでログインを行うようにできる。ログインが必要なたびに新しいパスワードが発行されるので、パスワード情報のハッキングや漏えいを気にする必要がなくなる。
ログインのたびにSMSを受信してコード入力をする必要があるが、原理的に同じデバイスからのログインは、認証成功時に生成したセッションIDやトークンを利用することで簡略化できる。スマートフォンによるSMSが普及し、無数のサービスのパスワード管理が現実的なものでなくなってきている現在、SMSによるワンタイムパスワード方式は、思っているほど煩雑ではない。
たまにしか使わないサービスが、ログインのたびにパスワードがわからなくて(覚えてなくて)再発行手続きをするなら(たいてい、メールで仮パスワードのログイン作業が発生する)、SMSでそのつどパスワードを送ってもらうのと変わりない。使い慣れてくれば、多くのユーザーがワンタイム方式を評価するようになる可能性がある。SMSの受信に慣れれば、管理しきれなくてパスワードを使いまわしたり、単純なフレーズでログインしているより安全な状態になる。問題となっているパスワードリストを利用した攻撃も無効化できる。
大きなインシデントもなく、市場でヤフーの方式が評価されれば、類似サービスも同様な方法に切り替えてくるかもしれない。
ヤフーがパスワード廃止、人類はパスワードから解放されるか? (2/2)
SMSワンタイムの利便性とセキュリティ
課題はSMSプロトコルの脆弱性
SMSによるワンタイムパスワード認証は、脱パスワード時代への期待が広がるものだが、なぜGoogle、Amazonなどデジタルジャイアントが採用しないのか。
ひとつはやはりセキュリティだ。SMSが利用しているプロトコルに脆弱性があるからだ。SMSはインターネットのプロトコルではなく、SS7と呼ばれる音声の公衆回線時代の通信プロトコルをベースにして、メッセージ(テキスト情報)をやりとりしている。SS7は有線電話の公衆回線のために作られた規約であり、暗号化通信、接続先の認証といったセキュリティの実装が完全ではない。携帯電話のモバイルネットワークがインターネットにつながったことで、インターネットから大量のスパムSMSが送られる事例も発生している。
NISTは、2要素認証に関するガイドラインで、SMSによるワンタイムパスワード認証を非推奨としている。NISTとしては、将来的にSMSによる認証を禁止したい考えもあるが、世界中で使われているSS7を簡単に廃止、禁止はできない。対症療法としては、パスコードを送信するプロバイダーが、接続先が正しい電話番号か、本人の番号かなどしっかり確認する必要があるとしている。
また、ワンタイムパスワードそのものにも脆弱性は存在する。ワンタイムパスワードによっては、有効期限内(30秒から1分前後)のリプレイ攻撃などを許してしまう可能性がある。受信用に登録したスマホや携帯電話が攻撃者の手に渡ればワンタイムパスワードは無意味となる。盗まれなくて落としただけでも、本人がログインできなくなる可能性もある。
GAFAより先行判断をしたヤフー
グーグルやアマゾンなどもSMSにパスコードを送信する方法による2段階認証または2要素認証を採用している。しかし、いまのところ従来のパスワードを無効にしてSMSによるワンタイムパスワードだけにするまでは踏み込んでいない。上記のセキュリティに関する課題や電話番号が変わった場合の利便性などを考慮しての判断と思われる。
ヤフーは、NISTのガイドラインは承知しているが、リスト型攻撃にはワンタイムパスワードが有効であるとして、段階的に利用を広げていく戦略だ。SMSだけによるワンタイムパスワードの安全性に不安のあるユーザーは、従来からのパスワードとの併用も選べるようにしている。端末を紛失したり、ワンタイムパスワードの送信先電話番号を変更せず、電話番号を変更してしまった場合の救済措置(メールアドレスやTカードを利用)も用意している。
そして、生体認証など新しい認証技術についても安全性をみながら記憶型パスワードレスのログイン環境を整備していくとしている。
なお、2段階認証には、SMSを利用するも方式以外に、パスワード生成アプリを使ったものもある。「Google Autheticator」がその代表例だ。Google Authenticatorは、サーバーとアプリで、共通のワンタイムパスワード生成のキー(シード)を持ち、両者が生成するパスワードを同期させる。シードは、ユーザーのID情報や端末情報、時刻情報などを反映させる。ワンタイムパスワードは、シードの他、生成時刻など変動する要素を加えて生成する。これにより、サーバーと端末側は、任意の時間で通用する使い捨てパスワードを共有できる。
Google AuthentiatorはRFCにより標準化された手続きに準拠しているが、ヤフーが今回導入したSMSワンタイムパスワードは独自の方式だそうだ。
ワンタイムパスワード、アプリ認証、生体認証(指紋・顔)など、パスワード以外の認証技術は、以前より確実に進化し、安全かつ使いやすくなってきている。使い慣れて枯れた技術のパスワードは簡単には捨てられないが、そろそろそれに代わる方式に向き合うときがきたようだ。
https://headlines.yahoo.co.jp/article?a=20180601-00034975-biz_plus-sci
ヤフーがパスワード廃止、人類はパスワードから解放されるか?
SMSワンタイムの利便性とセキュリティ
5月18日、ヤフーが「Yahoo! Japan IDのパスワードを無効化する機能」を発表した。所定のURLで手続きをすると、以降、ヤフーサイトへのログイン、ヤフースマートログイン対応のサービス利用について、パスワードの代わりに登録した携帯番号のSMSで送られてくるワンタイムパスワードを利用するようになる。煩わしいパスワード管理から解放され利便性は高そうだが、セキュリティはどうなのだろうか。
フリーランスライター 中尾真二
画像
いよいよパスワードから解放されるのか?(©taa22 - Fotolia)
<目次>
パスワードの限界、追い打ちをかけるリスト型攻撃
ヤフーがパスワードなしでログインできるサービスを開始
パスワード忘れ・再発行手続きよりは簡単
課題はSMSプロトコルの脆弱性
GAFAより先行判断をしたヤフー
パスワードの限界、追い打ちをかけるリスト型攻撃
パスワードは、長年その欠点とわずらわしさを指摘されながら、総合的に管理しやすく、システムへの実装もしやすいのも事実で、パスワードに代わる決定打もないため、必要悪のように使い続けられている。生活や業務のネット依存が拡大し、必要なパスワードの数は人間の管理能力を簡単に超えてきている。
にもかかわらず、サービス側は使いまわしや覚えやすいフレーズの利用を禁止、制限したり、定期的な変更も要求してくる。加えて攻撃の高度化により、複雑なパスワードルールにユーザーはさらに翻弄されることになる。ユーザーは、Webブラウザのセッション保持機能やパスワード管理ツールを駆使し、安全と利便性についてなんとか折り合いをつけるのがやっとだ。
そこに、何億、何十億という単位のアカウント情報が、ダークネット上では普通に取引されていることが、改めて報じられるようになった。もはや、メジャーなサービスのユーザーアカウント情報は、漏れている前提でセキュリティを考えなければならない状況だ。
ヤフーがパスワードなしでログインできるサービスを開始
漏えいしているアカウント情報は、重複しているものや古い情報のもの、捨てアカウントなども含まれているため、漏えい件数を額面どおりとらえる必要はないが、放置していい問題でもない。特に日々大量の不正アクセスを受けている大手ポータルサイト、ECサイト、ソーシャルネットワークにとっては抜本的な対策に迫られているといってよい状況だ。
ヤフーが「スマホからのログインでパスワードを無効にできるようにした」と発表したのは、深刻化するリスト攻撃への対策には思い切ったアクションが必要と感じたからだろう。といっても、急に発表された意思決定ではない。
ヤフーが自社サービスの一部について、秘密のパスワードを設定せず、SMSによる認証コードでログインさせる方法を始めたのは、2017年の4月からだ。ショッピングやオークションなど一部のサービスで新規アカウントを設定するときに、ワンタイムパスワードをSMSに送る方式を提供していた。1年ほどの運用を経て、200万IDがパスワードなしの方法でログインしている状況を作り上げた。新規アカウントから施策の状況をみて、「いける」と判断して、既存アカウントも希望者にYahoo! Japan IDのパスワードを無効できるようにしたものといえる。
パスワード忘れ・再発行手続きよりは簡単
当面は「スマートログイン」機能を設定しているスマートフォンユーザーを対象に、所定の手続き(オンライン)をすれば、設定されているパスワードを無効にし、登録した携帯電話番号にSMSで送られてくるワンタイムパスワードだけでログインを行うようにできる。ログインが必要なたびに新しいパスワードが発行されるので、パスワード情報のハッキングや漏えいを気にする必要がなくなる。
ログインのたびにSMSを受信してコード入力をする必要があるが、原理的に同じデバイスからのログインは、認証成功時に生成したセッションIDやトークンを利用することで簡略化できる。スマートフォンによるSMSが普及し、無数のサービスのパスワード管理が現実的なものでなくなってきている現在、SMSによるワンタイムパスワード方式は、思っているほど煩雑ではない。
たまにしか使わないサービスが、ログインのたびにパスワードがわからなくて(覚えてなくて)再発行手続きをするなら(たいてい、メールで仮パスワードのログイン作業が発生する)、SMSでそのつどパスワードを送ってもらうのと変わりない。使い慣れてくれば、多くのユーザーがワンタイム方式を評価するようになる可能性がある。SMSの受信に慣れれば、管理しきれなくてパスワードを使いまわしたり、単純なフレーズでログインしているより安全な状態になる。問題となっているパスワードリストを利用した攻撃も無効化できる。
大きなインシデントもなく、市場でヤフーの方式が評価されれば、類似サービスも同様な方法に切り替えてくるかもしれない。
ヤフーがパスワード廃止、人類はパスワードから解放されるか? (2/2)
SMSワンタイムの利便性とセキュリティ
課題はSMSプロトコルの脆弱性
SMSによるワンタイムパスワード認証は、脱パスワード時代への期待が広がるものだが、なぜGoogle、Amazonなどデジタルジャイアントが採用しないのか。
ひとつはやはりセキュリティだ。SMSが利用しているプロトコルに脆弱性があるからだ。SMSはインターネットのプロトコルではなく、SS7と呼ばれる音声の公衆回線時代の通信プロトコルをベースにして、メッセージ(テキスト情報)をやりとりしている。SS7は有線電話の公衆回線のために作られた規約であり、暗号化通信、接続先の認証といったセキュリティの実装が完全ではない。携帯電話のモバイルネットワークがインターネットにつながったことで、インターネットから大量のスパムSMSが送られる事例も発生している。
NISTは、2要素認証に関するガイドラインで、SMSによるワンタイムパスワード認証を非推奨としている。NISTとしては、将来的にSMSによる認証を禁止したい考えもあるが、世界中で使われているSS7を簡単に廃止、禁止はできない。対症療法としては、パスコードを送信するプロバイダーが、接続先が正しい電話番号か、本人の番号かなどしっかり確認する必要があるとしている。
また、ワンタイムパスワードそのものにも脆弱性は存在する。ワンタイムパスワードによっては、有効期限内(30秒から1分前後)のリプレイ攻撃などを許してしまう可能性がある。受信用に登録したスマホや携帯電話が攻撃者の手に渡ればワンタイムパスワードは無意味となる。盗まれなくて落としただけでも、本人がログインできなくなる可能性もある。
GAFAより先行判断をしたヤフー
グーグルやアマゾンなどもSMSにパスコードを送信する方法による2段階認証または2要素認証を採用している。しかし、いまのところ従来のパスワードを無効にしてSMSによるワンタイムパスワードだけにするまでは踏み込んでいない。上記のセキュリティに関する課題や電話番号が変わった場合の利便性などを考慮しての判断と思われる。
ヤフーは、NISTのガイドラインは承知しているが、リスト型攻撃にはワンタイムパスワードが有効であるとして、段階的に利用を広げていく戦略だ。SMSだけによるワンタイムパスワードの安全性に不安のあるユーザーは、従来からのパスワードとの併用も選べるようにしている。端末を紛失したり、ワンタイムパスワードの送信先電話番号を変更せず、電話番号を変更してしまった場合の救済措置(メールアドレスやTカードを利用)も用意している。
そして、生体認証など新しい認証技術についても安全性をみながら記憶型パスワードレスのログイン環境を整備していくとしている。
なお、2段階認証には、SMSを利用するも方式以外に、パスワード生成アプリを使ったものもある。「Google Autheticator」がその代表例だ。Google Authenticatorは、サーバーとアプリで、共通のワンタイムパスワード生成のキー(シード)を持ち、両者が生成するパスワードを同期させる。シードは、ユーザーのID情報や端末情報、時刻情報などを反映させる。ワンタイムパスワードは、シードの他、生成時刻など変動する要素を加えて生成する。これにより、サーバーと端末側は、任意の時間で通用する使い捨てパスワードを共有できる。
Google AuthentiatorはRFCにより標準化された手続きに準拠しているが、ヤフーが今回導入したSMSワンタイムパスワードは独自の方式だそうだ。
ワンタイムパスワード、アプリ認証、生体認証(指紋・顔)など、パスワード以外の認証技術は、以前より確実に進化し、安全かつ使いやすくなってきている。使い慣れて枯れた技術のパスワードは簡単には捨てられないが、そろそろそれに代わる方式に向き合うときがきたようだ。