レビュー
パスワード不要の未来はもうそこまできている

不正アクセスによるアカウント乗っ取りを防ぐには? 「ePass FIDO-NFC」で鉄壁の防御を固める

芸能人がSNSのアカウントを乗っ取られるなど、「不正アクセス」による被害が後を絶ちません。不正アクセスの対策法としては、たとえパスワードを盗まれたとしてもログインできない「2段階認証」が有効です。しかし、2段階認証は手間がかかるためか、多くの人が利用しているとは言えないのが現状です。その2段階認証のわずらわしさをなくしてスムーズに行えるのが、「セキュリティーキー」と呼ばれるデバイス。パソコンのUSBポートにさしたり、スマートフォンのNFCを利用したりして認証を行うのがセキュリティーキーで、今回は飛天ジャパンの「ePass FIDO-NFC」を実際に使ってみました。価格は2,980円(税込)。「自分のアカウントを守りたいけどセキュリティが面倒」という人は、ぜひ目を通してください。

USBポート、もしくはNFCで接続して使用するセキュリティーキー「ePass FIDO-NFC」

USBポート、もしくはNFCで接続して使用するセキュリティーキー「ePass FIDO-NFC」

不正アクセスの実態と対策とは?

他人になりすましてアカウントにアクセスする不正アクセス。インターネットバンキングで送金されたり、ECサイトで不正購入されたり、個人情報を盗まれたりなど不正アクセスに遭ってしまうと、大きな被害受けることになります。

警察庁が公開している調査レポートによれば、昨年2016年に発生した不正アクセスの被害件数は確認されているだけでも1840件。被害件数自体は2014年を境に減少傾向にありますが、それでも1日平均約5件の不正アクセスが発生しています。身近なところで言えば、芸能人がTwitterやInstagramなどのアカウントを乗っ取られたというニュースを見たことがあるという人も多いはずです。

2012年から2016年における不正アクセスの認知件数。平成26年(2014年)が突出して多いのは、LINEのアカウント乗っ取り件数が急増したため(画像は警察庁から)

不正アクセスの大きな原因は、なんらかの方法でIDやパスワードが盗まれてしまうことですが、ユーザーが気をつけていてもサービス側から漏洩してしまうと、いくらパスワードを頻繁に変更するなどの対策を行っていても意味がありません。しかし、パスワードが盗まれてしまっても、不正アクセスを防ぐ方法があります。それが、2段階認証と呼ばれるログイン方式です。

不正アクセスに有効な2段階認証

Gmailにログインするときは“ID”と“パスワード”を入力しますが、「2段階認証」ではさらにもう1ステップ、“コード”の入力が加わります。通常通りにIDとパスワードを入力したあとに、SMSや音声通話などを介してスマートフォンにコードが送られ、そのコードを入力してログインします。“ID”と“パスワード”、そして“コード”という2つの要素で認証を行うため、2段階認証、もしくは2要素認証と呼ばれています。

2段階認証がいまいち利用されない理由と解決策

「2段階認証」は、たとえパスワードが盗まれてしまっても不正アクセスを防げるため、非常に強力な対策です。しかし、問題なのは“手間がかかる”ということ。ログイン時にわざわざスマートフォンを取り出してコードを確認し入力するというのは、セキュリティのために重要と理解していても面倒なものです。

面倒な「2段階認証」をスムーズに行えるのが、新しい認証技術「FIDO(ファイド)」に準拠した「セキュリティーキー」と呼ばれるデバイスです。「FIDO」は、新しいオンライン認証の標準を確立しようと2012年7月に発足した「FIDO Alliance」と呼ばれる非営利集団が発表した技術のこと。2017年6月現在は、Googleやマイクロソフト、VISAなど多数の企業が加盟を表明し、その数は250社以上。日本からも、NTTドコモや富士通、楽天、Yahoo!Japanなど多くの企業が参加しています。

「FIDO Alliance」のボードメンバーには、Googleやインテル、VISAといった企業のほか、日本のNTTドコモが参加。ほかにも、スポンサーメンバーには楽天や三菱UFJファイナンシャルグループ、Yahoo!JAPANといった日本の企業が名前を連ねています(画像は FIDO Alliance から)

「FIDO」には「UAF」と「U2F」という2種類の認証方式が公開されており、現在は「U2F」が主としてWebサービスに取り入れられ始めています。「U2F」とは、現在の2段階認証の技術を進化させた方式で、通常通りIDとパスワードを入力し、2段階目の要素としてセキュリティーキーでの認証を追加したもの。セキュリティーキーを使い物理的に“ユーザーの存在”を証明し、2段階目の認証を行います。2段階認証の設定時に固有のセキュリティーキーをWebサービスに登録するため、攻撃者がIDとパスワードを盗んでも、セキュリティーキーがない限り不正アクセスできないというわけです。

セキュリティーキーを実際に使ってみた

今回は、NFCに対応したセキュリティーキー「ePass FIDO-NFC」を使い、2段階認証を試してみました。「ePass FIDO-NFC」を使用するには、Webサービス側が「U2F」に対応している必要があります。現在、「U2F」に対応している主なWebサービスは、GmailやGoogle DriveといったGoogle関連のサービス、DropBox、Facebook、GitHubなど。本記事では、Gmailで「ePass FIDO-NFC」を使った2段階認証にトライします。

まずは、2段階認証を設定し、2段階目の要素に「ePass FIDO-NFC」を追加。追加するときは、USBポートに「ePass FIDO-NFC」を挿し込んでタッチだけです。そして、次回からのログイン時も同じように、2段階目の認証時に「ePass FIDO-NFC」をUSBポートにさして、タッチしてログインします。いちいちスマートフォンにコードを送信させ、そのコードを入力するという手間が省けて、非常にスムーズにログインできました。また、「ePass FIDO-NFC」は、ひとつだけで複数のサービスに登録可能であり、複数所有する必要はありません。

「ePass FIDO-NFC」は、NFCに対応したFIDO準拠のセキュリティーキー。見た目は本物の鍵のような形状をしています

キーホルダーなどに付けて持ち運べるくらいコンパクト

キーホルダーなどに付けて持ち運べるくらいコンパクト

今回はGmailで2段階認証を設定してみました。まずは、Gmailにログインし、アカウントの詳細画面から2段階認証の設定画面を開きます

画面の指示に従い2段階認証を設定したら、次はセキュリティーキー追加のページを開きます

セキュリティーキーをパソコンのUSBポートに挿し込み、金色の部分をタッチすれば、画面に「セキュリティーキーの登録が完了しました」と表示され、これで設定は終わり。次回ログイン時からは、セキュリティーキーを使った2段階認証が可能になります

今度はFacebookでも試してみました。通常通りにログインし、アカウントの設定画面の「二段階認証を使用」という項目をクリック

画面の指示通りに進めると、Gmailのときと同じように「ePass FIDO-NFC」をパソコンのUSBポートに挿し込みタップして登録が完了します

「ePass FIDO-NFC」はNFCにも対応、課題は対応サービスの少なさ

「ePass FIDO-NFC」はNFCに対応しており、NFCと「U2F」、「BLE(Bluetooth Law Energy」に対応しているスマートフォンであれば、NFC部分に「ePass FIDO-NFC」をかざして行う2段階認証が可能です。NFCと「ePass FIDO-NFC」を使った2段階認証は非常に便利なのですが、対応しているサービスはGoogleとGitHubのみというのが現状。今後、対応サービスが増えていけば、NFC対応セキュリティーキーの認知も拡大していくはずです。

Googleアカウントでログインしているスマートフォンだと、Gmailで2段階認証を設定した際に、「アカウント情報が変更された」という通知がきて、再びスマートフォンからログインする必要がでてきます。このときにNFCを使って2段階認証を行うことが可能です

“ID”と“パスワード”を入力し、スマートフォンのNFC部分に「ePass FIDO-NFC」を近づければ、スマートフォンがぶるっと振動して認証完了。コード入力に比べて、ものすごくスムーズに認証を行うことができます

NFC対応のセキュリティーキーでの2段階認証に対応しているGitHubでも試してみましたが、GitHubで2段階認証を行うには、まずGitHubでセキュリティーキーの設定を行い、次に「Google認証システム」をインストールする必要があり、設定は少し面倒。設定さえしてしまえば、NFCでの2段階認証が可能になります

パスワードが不要になる未来

「FIDO Alliance」が最終的に目指しているのは、指紋などで認証する生体認証に対応したデバイスを用いて個人認証を行う「UAF」という方式です。この方式であれば、“パスワードの入力”さえ不要になり、生体認証だけでログインすることが可能。簡単に言うと、Webサービスのログイン時にスマートフォンの指紋認証センサーだけを使ってログインすることができます。

しかも、ユーザーのデバイスに生体情報を登録し、そのデバイスをサーバーに登録するという形をとるため、生体情報がインターネットを経由しません。つまり、生体情報の漏洩リスクを低減することができるというわけです。

IDとパスワードの入力をすっ飛ばして、指紋など生体情報のみで認証を行う「UAF」(画像はFIDO Allianceから)

“パスワード不要で安全”と聞くとものすごく便利そうな「UAF」ですが、まだまだ普及が進んでおらず、一般ユーザーが使用できるサービスはありません。現在は「UAF」への移行段階で、2段階認証の「U2F」を普及させている段階です。「U2F」が普及し「UAF」への移行が完了すれば、さらに安全なWeb体験をもたらすのは明確であり、今後の展開に期待がかかります。

水川悠士(編集部)

水川悠士(編集部)

最新ガジェットとゲームに目がない雑食系ライター。最近メタボ気味になってきたので健康管理グッズにも興味あり。休日はゲームをしたり映画を見たりしています。

関連記事
「価格.comマガジン」プレゼントマンデー
ページトップへ戻る