クレジットカードも早く２段階認証でセキュリティ対策を実施すべき

昨年2013年は、WEBサービスに関する不正アクセスのニュースが多く聞かれた年となりました。

文字情報が既知になれば、不正まであとわずか

2013年5月23日には、最大2200万件というYahoo! JAPAN IDの流出が大きな話題となりましたが、その後も大小様々な不正アクセスによる情報流出が起こりました。その原因となった大きな理由の一つが、複数のサービスで同じアカウント名とパスワードのペアを使っていたために、このキーペアを様々なサービスのログインに再利用されて不正アクセスを許した、というものでした。

アカウント名やパスワードという文字情報が既知の状態になれば、不正行為に繋がるまでの距離はあとわずかです。

不正といばクレジットカード

同じように不正という言葉を頻繁に使われる仕組みに、クレジットカードがあります。

クレジットカードはアメリカが開発した決済の仕組みです。アメリカはよくクレジットカード先進国と呼ばれますが、もともと現金以外にも小切手などでの決済が盛んな国であったため、デビットカードを含めカード決済は国民にすんなりと受け入れられています。

そんな多くのクレジットカード利用者がいるアメリカですが、カード所有者の10人に4人が身に覚えのない請求を経験しており、ID盗難やクレジットカード詐欺の被害も拡大していると伝えています。

アメリカでは4割が被害に。クレジットカード明細に不明な請求を見つけた時の対処法 : ライフハッカー［日本版］
アメリカでは4割が被害に。クレジットカード明細に不明な請求を見つけた時の対処法 …

クレジットカードもWEBサービスと同様に、カードという実態が無くても、クレジットカード番号と本人の名前、有効期限、セキュリティコードという文字情報のみで不正決済が可能な仕組みです。

Facebookなどの情報により、個人の名前や生年月日が容易に取得できる昨今にあっては、このクレジットカードの仕組みは相当脆弱なものに思えてきます。

WEBサービスに取り入れられた２段階認証

WEBサービスの不正アクセスが横行した後、FacebookやGoogle、Appleなどの大手サービスは、サイトにログインする際に２段階認証と呼ばれる仕組みの導入を開始しました。

この２段階認証とは、従来のＩＤとパスワードの認証方法に加えて、別の認証方法を追加することで行われます。具体的には、本人が常に持っているであろうスマートフォン(携帯電話)の電話番号にSMSを送信し、そのSMSに記載された一度限り有効なパスワード(ワンタイムトークン)の一致を確認することで、本人であることを担保します。

このような２段階認証は、既に１次認証が仕組みとして世の中に浸透してしまった場合にはコスト的にも有効のようです。

クレジットカード大手の国際ブランドMasterCardは、モバイル技術を手がけるSyniverse Technologiesと提携し、クレジットカードがスマートフォンの近くになければ利用できない決済の仕組みを実験しています。

マスターカード、スマホの位置情報を使ったセキュリティ対策を発表 – CNET Japan
セキュリティ対策 …

どうやらこの認証の仕組みにはスマートフォンのGPSを利用しているとのことなので、位置情報の精度や位置情報の改ざんの対応に疑問が残るのですが、Bluetoothを利用した短距離通信による認証を行うことができれば、本人のスマホが近くになければ決済できないなどのセキュリティ強化ができそうです。

Bluetoothトラッカー「Gatekeeper」というアイテムは、ＰＣとGatekeeperとのBluetooth通信によりパソコンのロックを制御できるガジェットで、あなたがトイレのために席を立ちＰＣから離れれば、ＰＣは自動的にロックされ、第三者の利用を防げるという仕組みです。

クレジットカードと、それを利用する本人を認証するためのBluetooth端末のペア、それが、スマホやウェアラブルなのか、キーホルダー型やカード型なのかは分かりませんが、早いとこクレジットカードにも２段階認証を導入すべき時代なんですよ。きっと。

参考：

リンク：アメリカでは4割が被害に。クレジットカード明細に不明な請求を見つけた時の対処法
リンク：マスターカード、スマホの位置情報を使ったセキュリティ対策を発表
リンク：PCから離れると自動ロック! Bluetoothトラッカー「Gatekeeper」登場