信頼できる本人確認とはどういうものか、あまり考えたことがなかった。
使うたびに意識するのは、面倒くさいか面倒くさくないかくらいだ。パスワードを入力して、SMSが来て、コードを打ち込む。この繰り返しがいかに手間かを感じながら、それが本当に安全かどうかはあまり気にしてこなかった。
でも最近、「このシステムはなぜ信頼できるのか」という問いが、以前より具体的な話になってきた気がしている。AIが生成したアカウントが普通に存在し、フィッシングの手口が年々巧妙になり、デジタルサービスへの依存度が上がるにつれて、本人確認の仕組みが「なんとなく動いている」では済まなくなってきた。
本人確認が信頼を失うとき
まず、信頼できない本人確認がどういうものかを考えると話が早い。
メールアドレスだけの登録。これは「あなたがそのメールアドレスを持っている」という確認にしかならない。使い捨てのアドレスは簡単に作れる。電話番号認証も似たような話で、番号は今や取得が難しくない。
パスワードは覚えられないから使い回す。使い回すから一か所で漏洩すると他の場所でも問題になる。IPA(情報処理推進機構)の調査では、国内ユーザーの半数近くが複数のサービスで同じパスワードを使っているという結果が出ている。
身分証の写真提出は精度が上がってきているが、AIによる偽造画像の生成技術も同時に進化している。
こうして考えると、今ある多くの本人確認は「正直な人が少し不正直な人を防ぐ」ための仕組みであって、本格的な攻撃や大規模な自動化には弱い。
デジタル本人確認とは何か、仕組みから見る
デジタル本人確認の仕組みは、大きく分けると三つの軸がある。
何を知っているか(知識情報) パスワード、暗証番号、秘密の質問。これは最もなじみのある方法だが、もっとも盗まれやすい。フィッシングで入力させたり、漏洩したリストから試したり、攻撃の手口が多い。
何を持っているか(所持情報) スマートフォン、物理的なセキュリティキー、マイナンバーカード。これらは物理的な存在が必要なので、遠隔からの攻撃には強い。ただし、紛失や盗難というリスクがある。
何者であるか(生体情報) 指紋、顔、目の特徴。この中では偽造が最も難しく、本人以外が使えないという点では強力だ。ただし一度漏洩すると変更できないという問題がある。
現在の信頼性の高い本人確認は、この三つのうち二つ以上を組み合わせる多要素認証(MFA)が基本になっている。金融庁のインターネットバンキングに関するガイドラインでも、多要素認証の採用が推奨されている。