マーケットレポート

今回は、前回（リンクはこちら）に続いて、不正ログインから身を守る方法として重要な「多要素認証」についてお話いたします。

（１）多要素認証とは？

パスワードを入力する、運転免許証を提示する、指紋認証する・・・日常生活において、本人確認を求められるケースは多々あります。

これら本人確認の方法を「何が必要か」で区分すると、大きく３つに分かれます。

表の３つ要素のうち、２つ以上の異なる要素を用いて２回以上行う本人確認を「多要素認証」と言います。（なお、要素にこだわらず２回以上行う場合は単に「多段階認証」といいます）

（２）インターネット取引サイトにおける多要素認証の種類

サイトの１回目の認証は、通常はIDとパスワードです。2回目に用意されている主な種類の例を挙げます。（何を用意しているかは会社によって異なります）

１．ワンタイムパスワード

ID/パスワードでログイン後に、一時的に発行されるその場限りのパスワードを入力します。

パスワード発行方法はいろいろあり、本人のメールアドレスだったり、トークン(専用機器)、専用アプリ等があります。

２．電話認証

ID/パスワードでログインする前、または、ログインした後、事前に伝えておいた電話番号から電話をかけることで本人であることを証明します。

３．デバイス認証

事前にサイトに対して自分のパソコンやスマホを特定し登録しておくと、それからしか接続できなくなります。

４．指紋認証・顔認証等の生体認証（知的＋生体＋所有物）

ID/パスワードでログインした後、スマホ等で指紋認証を行うと、スマホはその結果をサイトに送信します。

Ｑ．スマホでの指紋認証ってどうやってるの？サイトに指紋情報を渡してるの？

Ａ．サイトが指紋認証を要求すると、スマホ画面上に指紋認証画面が出ます。

スマホに指を置いて指紋認証が成功すると、スマホがサイトに対して「本人認定書のようなもの※」を送付します。

初回はこれをサイトが本人認定証として登録します。

次回からは、これが一致するかを確認します。

送るのはあくまで「本人認定書のようなもの」であり、サイトには指紋を渡しませんのでご安心ください。

※これはわかりやすく表現したものです。実際はもう少しだけ複雑です。

（３）上記(２)のうち、最も強力な認証方法は？

最も強力なのは４の「指紋認証・顔認証等の生体認証」です。パスワード(知識)やスマホ(物)は盗まれることもありますが、本人のからだは盗まれないからです。

Ｑ．指紋は偽造できますよね？スパイ映画とかでよくやってます。

Ａ．理論的には可能ですが、そもそも指紋を入手する機会はほぼないですし、仮に入手したとしても、高い費用・技術・道具が必要で、さらに最近は（本物の指でも何度も失敗するくらい）精度が高いので、現実的にはかなり難しいです。

（４）まとめ

前回のブログ（リンクはこちら）でも触れましたが、現在、銀行や証券のインターネット取引においては、フィッシング詐欺等でID・パスワードが盗まれ、不正ログイン・不正取引をされるケースが多発しております。

しかし、なりすまし犯人がID・パスワードを突破したあとに「本人であることを証明してください」と言われたらどうでしょうか。

さらには、盗まれることのない「指紋での証明」を求めてきたらどうでしょうか。

ここで犯人はログインをあきらめることでしょう。

もしご利用中のインターネット取引サイトが多要素(多段階)認証に対応しているのであれば、

ぜひ利用して、不正ログインから身を守りましょう。