ニュース画像

ビジネス
特集
指紋より安全? 本人認証は“生活”で

ネット通販やSNSなどインターネット上のサービスで不可欠な本人認証。流出のおそれがあると知りながら、IDとパスワードによる認証を利用している人も多いのではないでしょうか。IDとパスワードが盗まれて、インターネットバンキングで不正送金されたり、メールの内容など個人情報を盗み見られたりする事件があとを絶たない中、IDとパスワードに代わって、個人の生活習慣を認証に生かそうという試みが始まっています。(経済部 小田島拓也記者)

盗まれるID・パスワード

警察庁が全国で確認した不正アクセス行為の件数は、1840件(2016年)。およそ4分の3がインターネットバンキングの不正送金でした。ネット通販の不正購入や、メールの内容を盗み見られる被害も起きています。

事件の手口を見てみますと、半数以上が、利用者のパスワード管理の甘さにつけ込んだり、ネット上に流出していた情報を悪用したりしていました。芸能人が被害にあった事件では、誕生日や、公開されているブログ、SNSの書き込みからパスワードを類推していたことが分かっています。

ワンタイムパスワードも狙われる

インターネットバンキングの不正送金を防ぐため、金融機関では取り引きのたびにパスワードが変わる「ワンタイムパスワード」の導入が広がっています。パスワードを盗まれても、すぐに別のパスワードに変わって、盗まれたパスワードが使えなくなるため、安全性が格段に高まります。

しかし、このワンタイムパスワードを狙う新たな手口も明らかになっています。犯罪グループはまず、利用者のパソコンを新種のウイルスに感染させます。そして、ネットバンキングの偽の画面に誘導して、ワンタイムパスワードを入力させ、自動的に別の口座に不正に送金するというものです。

日本サイバー犯罪対策センターによりますと、新種のウイルスは去年12月に確認されて以降、ことし2月に日本国内で拡散し、すでに被害も確認されているということです。ウイルスは、メールの添付ファイルを開いたり、本文中に表示されるリンクをクリックしたりすることで感染します。対策センターは、不審なメールの添付ファイルを開かないよう注意を呼びかけるとともに、ホームページ上で感染していないかを無料で確認できるサイトを今月(3月)開設しました。

指紋も盗まれる 盗難防止技術も

ニュース画像

パスワードに代わる認証方法として普及しているのが指紋などの生体認証です。本人しか持ちえない情報として、スマートフォンやパソコンのほか、マンションの入出管理や買い物の支払いなど、さまざまな場面に利用されています。しかし、この指紋の情報も、ブログやソーシャルメディアに投稿された写真の“ピースサイン”などから盗まれるリスクがあると専門家は指摘しています。

国立情報学研究所の越前功教授によりますと、5メートル以上離れた場所からデジタルカメラで撮影した写真も、ピントが指の付近に合っていて十分な明るさがあれば、指紋の情報を抜き出すことができるといいます。技術的にも、理工系の大学生であればできるレベルで、悪意を持った第三者がある特定の人物の指紋を狙って撮影し、その人のマンションに侵入したり、指紋情報を売り買いしたりするおそれがあると注意しています。

ニュース画像

こうしたリスクを防ぐため、越前教授の研究グループは、写真から指紋を盗み取ることを防止する技術を開発しました。指に偽の指紋を装着することで、指紋の特徴点を分からなくする技術です。毎日、貼り付ける作業が必要になりますが、装着したままでもスマホなどの認証はスムーズに行うことができます。越前教授は、「指紋の情報はいったん流出してしまうと変更ができない。安全性を高めるには、指紋に加えて目の瞳孔の外側にある虹彩情報を使うなど、複数の技術を組み合わせることが必要だ」と話しています。

新技術ライフスタイル認証

複数の技術を組み合わせれば、セキュリティー上のリスクを大幅に減らすことができるようになります。一方で、利用者にさまざまな動作を求めることになるため、利便性が下がってしまうというジレンマがあります。このため注目されているのがユーザーの利便性を下げずに、個人の生活習慣を認証に生かそうという研究開発です。

例えば、スマホの位置情報が自宅や職場などふだんの行動範囲から離れていないか、購入しようとしている商品がこれまでに見た広告やサービスの利用実績と合致しているかを点検し、大きくかけ離れていると判断した場合は、改めてログインを求めます。

ニュース画像

この技術は、東京大学大学院が13の企業と連携して実証実験を進めていて、ことし4月までに5万人以上からデータを集め、どういった情報の組み合わせが認証の精度を高めるのに有効かを検討し、3年以内の実用化を目指すとしています。

生活習慣がのぞかれる?

ニュース画像

当然、利用者として気になるのは、プライバシーの問題です。研究を進める東京大学大学院の山口利恵特任准教授も実用化に向けた課題として挙げています。もちろん、今も検索サービスや交通系のICカードの使用履歴は、ぞれぞれの会社のプライバシーポリシーに基づいて収集されています。しかし山口特任准教授は、文章が長くたくさんのことが書いてあり、分かりにくいものが多いと指摘しています。このため実証実験では、ユーザーに求める同意項目を3つに絞って、短い文章にしています。山口特任准教授は「今後もどういった情報をとって、何に使っているか、ユーザーに分かりやすく説明し、同意を取っていくことが重要になる」と話しています。

取材を終えて

私が生体認証を初めて取材したのは8年前。事件取材を担当していた時、国外退去処分になった外国人が、指に手術をして指紋を変え、空港での入国審査システムをくぐり抜けたとして逮捕された事件でした。テロリストの入国を防ぐことを目的に導入された「生体情報」の認証システムが破られ、大きな衝撃を受けましたが、今では指紋は写真からも盗み取られ、容易に抽出されるようになっています。

ワンタイムパスワードを狙ったウイルス攻撃が相次ぐなど、サイバー攻撃もますます巧妙化しています。セキュリティー対策との言わばいたちごっこが続いています。こうした中、流出のおそれがあるパスワードの認証に代わって位置情報や端末の情報などを活用しようという取り組みは、アメリカの大手IT企業のグーグルも開発を進めています。パスワードの入力もスマホをかざすこともなくなるというこの技術。より安全で便利な本人確認の実現につながるか注目です。

小田島拓也
経済部
小田島拓也 記者