~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

報告

HOME > ニュース > インタビュー > NEWS LETTER No. 16:フィッシング対策への事業者の取組/株式会社ニーモニックセキュリティ

インタビュー

NEWS LETTER No. 16:フィッシング対策への事業者の取組/株式会社ニーモニックセキュリティ

2009年03月27日

株式会社ニーモニックセキュリティのフィッシング対策への取組を紹介いたします。

 

newsletters.jpg
~画像ベースの本人認証によるフィッシング対策ソリューション~

1.はじめに

フィッシング対策の手法として画像を利用するものがあります。例えば、ユーザがあらかじめ登録しておいた、そのユーザ固有の画像をログイン画面に表示する仕組みは、日本でも大手検索サイトのログイン画面やいくつかの銀行のログイン画面などに採用されている例があります。フィッシングメールにより指定されたリンク先のログイン画面に自分が登録した画像やデザインが現れない場合に消費者が異常に気づき、IDやパスワードを搾取されることを防ぐことに役立つと考えられています。一方、ログイン時にその操作者が本人であることを確認するためにパスワードがよく用いられますが、フィッシングではパスワード等が詐取されることが問題ですので、パスワードの代わりに画像を用いて本人であることを確認するというアプローチも考えられます。このアプローチでの本人認証を行うフィッシング対策手段について、今回紹介いたします。今回は当協議会の会員でもある株式会社ニーモニックセキュリティ(以下、ニーモニックセキュリティ)より取組事例を解説いただきました。ニーモニックセキュリティでは画像を用いた本人認証技術によるフィッシング対策ソリューションを提供しています。

2.フィッシング対策への取組内容

2.1 画像ベース本人認証
 フィッシングの脅威は更に深刻化することが確実視されており有効な対抗策が望まれるところですが、フィッシングへの対抗ばかりに気を取られて肝心の本人認証手段の確実性を損なうようなソリューションになってしまうことは避けなければなりません。
例えば、ワンタイムパスワード生成トークンが生成する乱数は使い捨てなので窃取に対して有効と考えられますが、もともとその一時乱数が証明しているのはそのトークンが真正であるということで、そのトークンを今保持しているのが正規の利用者なのか攻撃者であるのかについては何も語りません。トークンをパスワードとの2要素で運用すると本人認証のセキュリティは向上しますが、そのパスワードが在来のものであれば本件の主題であるフィッシングなどによる窃取に対しては脆弱なことは周知の通りです。多くのユーザは同一のパスワードを多くのアカウントに使い回していることが知られており、そのような場合一つのアカウントでパスワードを窃取されると他の多くのアカウントが危険に曝されることになります。
画像ベースの本人認証手段の運用方法に工夫を凝らしますと、利用者認証の確実性を維持しつつ本人認証情報の窃取を効果的に防止することができます。

2.2画像ベース本人認証技術
 ここで紹介するフィッシング対策ソリューションの基本となる長期記憶活用型の画像ベース本人認証技術の概要を説明します。

 

nl16_1.jpg

認証画面は3×3~8×8など自由に設定できる
写真以外にイラスト・漢字・英数字も使える
(パスシンボル:正解の暗証画像)
図1 パニックとなる災害・危機現場でも使いこなせる本人認証技術

 

図1の認証画面例にはペットの写真が16枚並んでいます。(この中から好きなものを適当に選んで覚えなさい、というのではありません。)この中に昔自分になついていた犬の写真が何枚か含まれており、本人認証の必要な時にはこうした愛着のある犬を見つけてクリックするだけで強力なパスワードの入力と同じ効果を生み出す、というものです。新たに何かを覚える負担も、思い出そうとする負担もありません。
私達の人生体験の中に無限にあるこうした懐かしい想い出を伴ったイメージを使った暗証画像はいくら緊張していても慌てていても確実に認識することができます。
ユーザは自分が登録した愛着のある暗証画像を見つけ、過不足なく(組み合わせ方式)あるいは正しい順序で(順列方式)でクリックした上で入力ボタンを押します。

3.フィッシング対策の展望

本人認証情報を窃取した攻撃者はその本人認証情報の持ち主がアクセスできる情報資産の全てを自由にできるわけですから、ネット上での資産の蓄積が進む限りあらゆる手段を駆使した攻撃を無制限に続けるものと考えておく必要があります。本人認証専用の携帯デバイスを開発する構想を抱いています。これは目前にある端末が攻撃者の支配下にある可能性を否定できない状況であっても本人認証情報の窃取を防ぎつつその端末を利用可能としようとするものです。技術上の課題は克服できるものであり、こうしたデバイスを必要とする産業界の意思が固まれば世界に先駆けて実現することができると考えています。

4.今後の取組

新しい脅威に気を取られるあまりに古い脅威に対する警戒心が薄れてしまうと攻撃者の思う壺にはまってしまいます。新たなフィッシング手法の登場は古典的な本人認証情報窃取の脅威の軽減を意味するものではありません。攻撃側は大昔にもあった犯罪手法から最新の手法まで自由に選択でき自由に組み合わせることができるのですから。
この観点からはノートPC・携帯電話・スマートフォンなどによるモバイルコンピューティングの普及は攻撃側にとっては攻撃手法の選択肢を大きく広げるもので、防衛側にとっては更に難しい課題の解決を迫られることになります。モバイル環境ではハッキングやソーシアルエンジニアリングなどのハイテク型ないしインテリ型の攻撃に加え置き引きや強奪さらには脅迫など太古の昔から存在した攻撃手法まで全方位での防御を考えなければなりません。
伝統的犯罪手法からハイテク型攻撃手法まで全ての可能性を念頭におきつつ、(1)モバイル環境でパニック状態になっても使いこなせる本人認証手段の確実性を維持しながら(2)同時にその本人認証情報の窃取対策を図ることが必要です。(1)だけでも駄目、(2)だけでも駄目、(1)と(2)を二つながらに達成することが必要です。ニーモニックセキュリティではそのような包括的ソリューションを提供し続けるべく鋭意努力を続けます。