世界経済評論IMPACT(世界経済評論インパクト)

No.1420

2段階認証とは何か

川野祐司

(東洋大学経済学部 教授)

2019.07.22

設計のミスが引き起こした事件

 コンビニ系列の決済サービスでの不正利用事件が話題となっている。2段階認証を導入していなかったことが問題だとされているが,筆者の見立ては異なる。

 まず,ユーザー登録が不十分であったのにアカウントが使えるようにしたことがある。全ての項目を入力しなくても使えたため,攻撃者は範囲を絞って攻撃することができた。例えばビットコインのマイニング専用機は1秒間に10兆回以上計算できる。このような機器を攻撃に転用すれば強度の低いシステムはあっという間に破られてしまう。

 1日に数十万円をチャージできるような設計にも問題があった。さらに,地理的に離れた複数の場所でほぼ同時に決済されたにもかかわらずアカウントがロックされなかった。ずさんな設計であり,開発陣に決済サービスに関する基本的な知識がなかったものと思われる。仮想通貨の流出事件も基本的なセキュリティ対策を施していないことが原因であり,業界の基本的スキルと理解のレベルアップが求められる。

EUでは今年から義務付けられる2要素認証

 EU(欧州連合)の決済サービス指令(PSD2)では,2019年9月14日より2要素認証が義務付けられる。日本では2段階認証という言葉が広がっているが,本来は2要素認証と呼ぶべきである。EUでは,カードやスマートフォンなどのデバイス,パスワードやPINコードなどの知識,指紋や顔認証などの生得情報(または生体認証)の3要素のうち,少なくとも2要素を決済時に確認すべきだとしている。

 日本では電子マネーカードは匿名で作成することができるが,その場合,拾ったカードで他人に成りすまして決済することもできる。マネーロンダリングや犯罪利用(AML/CFT:Anti-Money Laundering/Countering the Financing of Terrorism)を防ぐためには,支払いをしようとしている人が本当に正当な支払者なのかを確認する必要がある。これは,本人認証だけでなく,利用者が犯罪関係者ではない正当な利用者であるというKYC(Know Your Customer)の2つの面を持つ。

ユーザーエクスペリエンスと安全性のバランス

 決済の安全性を保つためには2要素認証は不可欠であるものの,実装が難しいためにPSD2での導入期限が9月14日まで延期されていた。技術的な問題だけでなく,決済スピードの低下によるユーザーエクスペリエンスの低下という問題もある。日本で主流のクレジットカード決済の方法は,カードを提示した後にサインするかPINコードを入力する。いずれもユーザーにはひと手間必要になるだけでなく,カード認証のための通信に数秒間から10秒ほど待たされることになる。電子マネーカードであれば,タッチするだけで決済でき,認証の通信も発生しないためにクレジットカードよりもはるかに早く決済できる。

 決済サービス事業者はユーザーエクスペリエンスに悩まされてきた。EC(オンラインショッピング)でのクレジットカード決済では,3DSという仕組みがある。ECサイトでクレジットカード情報を入力した後に,別画面でパスワードを入力するものだが,この別画面でのパスワード入力を嫌って購入手続きを中断してしまう「カゴ落ち」が深刻な問題となっており,その結果3DSを実装しているECサイトは少数派となっている。現在はAIが問題ありと判断したケースのみでパスワード入力を求める3DS2.0が普及しつつあるが,ユーザーはほんのわずかな手間も嫌う。それが安全な決済の妨げになっている。

現在の方式は過渡的技術

 QRコード決済や電子マネーによる決済は過渡的な技術であり,将来は安全性とユーザーエクスペリエンスを兼ね備えた別の方式に取って代わられるだろう。現在のところ,顔認証などの生体認証が有力視されているが,指紋,顔,虹彩などの生体情報を最も流出させているのは本人だという問題点がある。SNSなどで写真や動画をアップすれば,攻撃者はそれらを解析して他人に成りすますことができる。

 そこで,実現可能な技術で有望なのはインプラントチップだろう。手の甲の親指と人差し指の間の隙間にカプセルを埋め込んで本人認証に使うものである。チップは容易に取り出せないため,強力な本人認証手段となる。もちろん,ナイフで手を切り裂かれてカプセルを取り出されるという問題点があるため,心拍パターンなどのバイタルサインをチップが認識しないと作動しないなどの工夫が求められるだろう。

 不正利用事件があるからキャッシュレス決済を止めるべきだというのは間違っている。私たちは銀行振り込みというキャッシュレスで収入を得ているにもかかわらず,それを手間暇かけて現金に交換して決済に使っている。キャッシュレスはこのような社会的コストを削減させることができる。また,本稿では触れていないが,支払い行動のデジタル化は社会問題の解決に大いに役に立つ。事件は教訓にすべきであって,社会の発展に抵抗するための理由にしてはならない。

関連記事

川野祐司

国際経済

国際ビジネス

最新のコラム