「インターネットを活用!」カテゴリーアーカイブ

インターネットバンキングでトークンを使用!

インターネットの利用で最も高いセキュリティが必要とされるインターネットバンキングで、ハードウェアトークンの導入が進んでいます。セキュリティが実際に高まっているのか使用してみたいと思います。

はじめに

インターネットバンキングの認証にハードウェアトークンを使用して、セキュリティがどのように高まっているか確認します。

ハードウェアトークン

パソコン等に接続する必要もなく、画面にパスワードが表示される装置です。
hardware-tokens.jpg

認証方式とセキュリティの復習

よく使用される認証方式について復習しておきます。

・ユーザIDとパスワードによる認証
ユーザIDとパスワードが盗まれると認証が突破されます。簡単なユーザIDとパスワードの組み合わせであると、推測されて突破される可能性があります。最近では、マルウェアにより、キー入力やマウス操作が記録、送信されてユーザID、パスワードが漏えいされる事件が発生しています。マルウェアは、ウィルスチェックソフトでも検知が難しいと指摘されています。

・ワンタイムパスワードによる認証
一時的なパスワードを配布し、都度異なるパスワードを使用することでセキュリティを高めます。ワンタイムパスワードの配布が課題でメール等で配布されることが多く暗号化されないことが多いため、盗聴により突破される可能性があります。

・ハードウェアトークンによる認証
ハードウェアトークンに表示されたワンタイムパスワードを入力します。パスワードの配布も必要ないですし、パスワード覚える必要もありません。ハードウェアトークンが盗まれると、認証が突破されますが、盗まれたことが把握しやすいメリットがあります。パソコン等にマルウェアが導入されたことによるリスクも回避できます。まず無いですが、ハードウェアトークンのロジックが漏れると、ハードウェアトークンが偽造されてセキュリティが突破されます。また、ハードウェアトークンの盗難/紛失/故障/電池切れに伴う運用が発生します。また、ワンタイムパスワードの生成には、通常時刻が使用されるため、ハードウェアトークンの時刻同期の対応が必要になることがあります。

使用編

・ハードウェアトークンの申し込み
ハードウェアトークンの申し込みをして、ハードウェアトークンの到着を待ちます。銀行の案内に従って、ハードウェアトークンを有効化します。ハードウェアトークンを使用すると、重要な取引にはハードウェアトークンに表示されたパスワードが必須になるため、ハードウェアトークンを持ち歩かない場合、どこでもすべてのサービス使用できるわけではなくなります。また、以前に使用していた暗証カード等を使用した認証が使用できなくなります。

・取引時にハードウェアトークンを使用
通常通り、ユーザIDとパスワードでログインします。ログインの認証でもハードウェアトークンを必須に変えることができる銀行もあります。重要な取引の場合、画面の案内に従いハードウェアトークンに表示されたパスワードを入力します。

課題

・ハードウェアトークンの偽造
ハードウェアトークンのセキュリティ上の弱点は、ハードウェアトークンの仕組みが漏えいして、偽造品が作成されてしまうことかと思います。ユーザIDとパスワードの認証に追加する方式であれば、セキュリティが弱まることはないと考えます。

・運用コストの増大
ハードウェアトークンの盗難、紛失、故障、電池切れ、時刻ずれに対応する必要があります。どちらかというと、サービス提供者に負担が大きく、サービスが継続されるか心配です。

おわりに

ハードウェアトークンを使用する方法は、サービス提供側のコストが高いですが、従来のユーザIDとパスワードの認証に追加する形であれば、セキュリティが弱まることはなく、生体情報のように個人情報の漏えいを気にする必要も少ないため、安全に使用できると思います。

関連記事(目次)

  1. インターネットを活用!