二段階認証と暗証番号の違い
昨日の9/21付で、LINEの暗証番号設定が義務化されたようですね。
いささか遅きに失した感も否めませんが、これで不正ログインなどが減ることを願います。
さて、そんな経緯で義務化された暗証番号設定ですが、セキュリティの観点から見ると、実はまだまだ脆弱(ぜいじゃく)な面があるのも事実。
セキュリティ関連の会社に勤めてる身として、自戒の意味も込めて簡単にできるセキュリティ対策について書き綴ってみようと思います。
というわけで、まずはそもそも「不正ログイン」とは何か?といったところからお話しさせていただきたいと思います。
そんな細かい話は置いておいて、タイトルの話だけが知りたいという方は、このまま「3.不正ログイン対策」まで飛んでください。
というわけで。
1.そもそも、不正ログインとは
読んで字のごとくですね、正規の方法ではない「不正」な方法で「ログイン」することです。
対象物は多岐にわたり、ソーシャルネットワークのアカウントから、銀行の口座まで様々ですが、目的というものは実は大きく二つに分けられます。
・愉快犯型
SNSのアカウントに例えると、その人物の社会的な地位を著しく損ねるような発言であったり行動したりすることを指します。基本的に、不正ログインをする人物には利益は出ません。
・詐欺型
まあ、これが大多数ですね。
銀行の口座から不正に出金したり、クレジットカードと紐づけされたアカウントで不正に買い物をしたりと、前者と違って利益が出るところが特徴です。
さて、LINEの乗っ取りの目的も、後者の詐欺型なのですが、LINEが持ついくつかの特徴が加味され、他と一風変わった方法で金銭を騙し取る手口が横行しています。
2.LINEの特徴について
LINEは今や、インフラと言って差支えがないほど普及しています。スタンプを使った特徴的なチャットや、無料通話などが人気の主な理由です。
そんなLINEですが、不正ログインの見地から見ると何点かの興味深い特徴を持っています。
・LINEアカウントそのものによる詐欺は難しい
これはかなり単純な話で、LINEアプリ上で買えるものはなんだろう?と考えてみると、基本的に「スタンプ」しかないわけです。
勿論、このスタンプを他のアカウントにあげることで、金銭をだまし取ることはできますが、額が小さいのと、プレゼントという行為で足がつく可能性が高いため、まあ使われることはありません。
・LINEは比較的、リアル寄りのSNSである
実名制のFacebookほどではないですが、電話番号をもとに友達登録などできるLINEは、リアルでの知り合いが多く登録されています。
・アカウントは原則、1アカウントに1端末
上の特徴と少し被ってくるんですが、LINEは基本的に1つの電話でしか使うことができません。もしも、他の電話でログイン認証をかけても、友達情報などは引き継ぐことはできません。機種変更の時は要注意ですね。
・例外として、パソコンでログインはできる。
あくまで上の原則は「電話機」だけの話で、パソコンからはいくらでもログインできます。
とまあ、上に挙げたいくつかの特徴をうまく加味して、「パソコン」から不正ログインすることで、「知り合い」を装って、「Webマネー」などをだまし取る詐欺行為が誕生したわけです。考えた人は、なかなかに賢しいですね。
残念ながらというべきか、喜ばしいことにというべきか、この手法はすでに世間に広く知れ渡っているため、新しく引っかかるという人はよほどの世間知らずかお人よしということになってしまいますが……。
3.不正ログイン対策
さて、それでは表題の話です。
不正ログイン対策として、LINEで今までとれる防御策は、上記のとおり「パソコン」からの不正ログインを防止するために「他の端末からのログインを防止する」のが関の山でした。
しかし、ここ最近「PINコードの設定」や「二段階認証」の実装によって、ある程度ましになってきたかな、というのが雑感です。
そんな両者の違いを見てみましょう。
・PINコードの設定
PINコードとは、平たく言えば「暗証番号」です。
数字の4ケタを設定し、新しく認証するときはID、パスワードとともに設定したPINコードが必要になります。
PINコードというのは、とどのつまりは「2番目のカギ」です。
パスワードが1番目のカギであり、これが破られても2番目のカギが分からなければ大丈夫、といった塩梅です。
同時に、このPINコードは機種変更の時に、自分が認証するときに必要になってくるので、忘れないようにしましょう。
とはいうものの、どちらかといえばこの暗証番号は対症療法的な意味合いが強く、あまりセキュリティの向上には役に立ちません。
私はどちらかといえば、後者の二段階認証をお勧めします。
・二段階認証
二段階認証とは、読んで字のごとく「二回認証を行う」ということです。
これだけ聞くと、PINコードと何が違うんだ、と思う方もいるかと思いますが、二段階認証とPINコードとの一番の違いは、認証とする鍵を自分が保持しない、というところにあります。
どういうことかといいますと、二段階認証では、まずIDとパスワードを使って一段階目の認証をします。その後、「登録していた電話番号」や「メールアドレス」あてに、解除用のパス(コード)が送られてきて、それで認証するのです。
わかりやすく例えますと、あるWebサービスで、パスワードを忘れてしまい、パスワードをリセットしたい、と思った時に、登録されたメールアドレス宛にメールが来て、そこにかかれているURLから操作を行いますよね、あんな感じです。
この手法の一番の強みは、そのサービスとは完全に切り離したものを使って認証が行えると言う点です。
もしも、IDとパスワードが流出して、PINコードが何かのトラブルでばれてしまったとしても、自分の電話機、あるいはメールアカウントにアクセスされなければ、不正ログインの可能性は限りなくゼロに近づきます(セキュリティの観点から、確率が0になるということは残念ながらありえません)
この二段階認証、多くのSNSなどで実装されていますので、これを機会に設定してみてはいかがでしょう。「LINE 二段階認証」などで検索すればすぐ出てくると思います。
4.最後に
今までに紹介してきた手法のどれにでも言えることなのですが、基本的にセキュリティを高めるというのは利便性を失うことによる等価交換です。セキュリティを高めれば、必然的に手間が増え「面倒くさく」なるのは至極当たり前のことです。
なので、面倒くささと「不正ログインされたときにこうむる被害」を天秤にかけて、うまく付き合っていくのが一番の上策だと思います。まあ、基本的にリテラシーは必須要素ですけど。
5.こぼれ話
LINEの不正ログインですが、発生当初は中国からのアタックが非常に多かったようで、とあるユーザが突き止めた話だと、LINEの中国支社の社員が、情報を売っていたという話が出てきたとか……。本当だったら、リテラシーも減ったくれもあったものじゃないですね。
いささか遅きに失した感も否めませんが、これで不正ログインなどが減ることを願います。
さて、そんな経緯で義務化された暗証番号設定ですが、セキュリティの観点から見ると、実はまだまだ脆弱(ぜいじゃく)な面があるのも事実。
セキュリティ関連の会社に勤めてる身として、自戒の意味も込めて簡単にできるセキュリティ対策について書き綴ってみようと思います。
というわけで、まずはそもそも「不正ログイン」とは何か?といったところからお話しさせていただきたいと思います。
そんな細かい話は置いておいて、タイトルの話だけが知りたいという方は、このまま「3.不正ログイン対策」まで飛んでください。
というわけで。
1.そもそも、不正ログインとは
読んで字のごとくですね、正規の方法ではない「不正」な方法で「ログイン」することです。
対象物は多岐にわたり、ソーシャルネットワークのアカウントから、銀行の口座まで様々ですが、目的というものは実は大きく二つに分けられます。
・愉快犯型
SNSのアカウントに例えると、その人物の社会的な地位を著しく損ねるような発言であったり行動したりすることを指します。基本的に、不正ログインをする人物には利益は出ません。
・詐欺型
まあ、これが大多数ですね。
銀行の口座から不正に出金したり、クレジットカードと紐づけされたアカウントで不正に買い物をしたりと、前者と違って利益が出るところが特徴です。
さて、LINEの乗っ取りの目的も、後者の詐欺型なのですが、LINEが持ついくつかの特徴が加味され、他と一風変わった方法で金銭を騙し取る手口が横行しています。
2.LINEの特徴について
LINEは今や、インフラと言って差支えがないほど普及しています。スタンプを使った特徴的なチャットや、無料通話などが人気の主な理由です。
そんなLINEですが、不正ログインの見地から見ると何点かの興味深い特徴を持っています。
・LINEアカウントそのものによる詐欺は難しい
これはかなり単純な話で、LINEアプリ上で買えるものはなんだろう?と考えてみると、基本的に「スタンプ」しかないわけです。
勿論、このスタンプを他のアカウントにあげることで、金銭をだまし取ることはできますが、額が小さいのと、プレゼントという行為で足がつく可能性が高いため、まあ使われることはありません。
・LINEは比較的、リアル寄りのSNSである
実名制のFacebookほどではないですが、電話番号をもとに友達登録などできるLINEは、リアルでの知り合いが多く登録されています。
・アカウントは原則、1アカウントに1端末
上の特徴と少し被ってくるんですが、LINEは基本的に1つの電話でしか使うことができません。もしも、他の電話でログイン認証をかけても、友達情報などは引き継ぐことはできません。機種変更の時は要注意ですね。
・例外として、パソコンでログインはできる。
あくまで上の原則は「電話機」だけの話で、パソコンからはいくらでもログインできます。
とまあ、上に挙げたいくつかの特徴をうまく加味して、「パソコン」から不正ログインすることで、「知り合い」を装って、「Webマネー」などをだまし取る詐欺行為が誕生したわけです。考えた人は、なかなかに賢しいですね。
残念ながらというべきか、喜ばしいことにというべきか、この手法はすでに世間に広く知れ渡っているため、新しく引っかかるという人はよほどの世間知らずかお人よしということになってしまいますが……。
3.不正ログイン対策
さて、それでは表題の話です。
不正ログイン対策として、LINEで今までとれる防御策は、上記のとおり「パソコン」からの不正ログインを防止するために「他の端末からのログインを防止する」のが関の山でした。
しかし、ここ最近「PINコードの設定」や「二段階認証」の実装によって、ある程度ましになってきたかな、というのが雑感です。
そんな両者の違いを見てみましょう。
・PINコードの設定
PINコードとは、平たく言えば「暗証番号」です。
数字の4ケタを設定し、新しく認証するときはID、パスワードとともに設定したPINコードが必要になります。
PINコードというのは、とどのつまりは「2番目のカギ」です。
パスワードが1番目のカギであり、これが破られても2番目のカギが分からなければ大丈夫、といった塩梅です。
同時に、このPINコードは機種変更の時に、自分が認証するときに必要になってくるので、忘れないようにしましょう。
とはいうものの、どちらかといえばこの暗証番号は対症療法的な意味合いが強く、あまりセキュリティの向上には役に立ちません。
私はどちらかといえば、後者の二段階認証をお勧めします。
・二段階認証
二段階認証とは、読んで字のごとく「二回認証を行う」ということです。
これだけ聞くと、PINコードと何が違うんだ、と思う方もいるかと思いますが、二段階認証とPINコードとの一番の違いは、認証とする鍵を自分が保持しない、というところにあります。
どういうことかといいますと、二段階認証では、まずIDとパスワードを使って一段階目の認証をします。その後、「登録していた電話番号」や「メールアドレス」あてに、解除用のパス(コード)が送られてきて、それで認証するのです。
わかりやすく例えますと、あるWebサービスで、パスワードを忘れてしまい、パスワードをリセットしたい、と思った時に、登録されたメールアドレス宛にメールが来て、そこにかかれているURLから操作を行いますよね、あんな感じです。
この手法の一番の強みは、そのサービスとは完全に切り離したものを使って認証が行えると言う点です。
もしも、IDとパスワードが流出して、PINコードが何かのトラブルでばれてしまったとしても、自分の電話機、あるいはメールアカウントにアクセスされなければ、不正ログインの可能性は限りなくゼロに近づきます(セキュリティの観点から、確率が0になるということは残念ながらありえません)
この二段階認証、多くのSNSなどで実装されていますので、これを機会に設定してみてはいかがでしょう。「LINE 二段階認証」などで検索すればすぐ出てくると思います。
4.最後に
今までに紹介してきた手法のどれにでも言えることなのですが、基本的にセキュリティを高めるというのは利便性を失うことによる等価交換です。セキュリティを高めれば、必然的に手間が増え「面倒くさく」なるのは至極当たり前のことです。
なので、面倒くささと「不正ログインされたときにこうむる被害」を天秤にかけて、うまく付き合っていくのが一番の上策だと思います。まあ、基本的にリテラシーは必須要素ですけど。
5.こぼれ話
LINEの不正ログインですが、発生当初は中国からのアタックが非常に多かったようで、とあるユーザが突き止めた話だと、LINEの中国支社の社員が、情報を売っていたという話が出てきたとか……。本当だったら、リテラシーも減ったくれもあったものじゃないですね。