国から基本中の基本といわれたスマホ決済アプリの二段階認証とは

こんにちは。

本記事ではスマホ決済の応用編ともいえる二段階認証についてご紹介します。

なお、スマホ決済の基本については「スマホ決済の仕組みを簡単に紹介！初心者におすすめの使い方とは？」でご紹介しています。

2019年にコンビニ大手のスマホ決済アプリで不正アクセスの問題が発生し、数千万円の被害が出たというニュースが駆け巡りました。

スマホ決済アプリは基本的に安全と思っていただけに、個人的にも衝撃でした。

背景に問題となったスマホ決済アプリは二段階認証を採用せず、またそれに替わる同等のセキュリティ技術も備えていなかったことが明らかになりました。

今回の問題を機に国の発表では二段階認証はスマホ決済の基本中の基本とまで言い切りました。

二段階認証はそこまで万能なしくみなのか気になりませんか^^
あわせて二段階認証を利用していても、気をつけるべき点についてご紹介します。

スマホアプリの決済で使われる二段階認証とは

二段階認証のしくみ

二段階認証は異なる２つの要素を使って、さらに段階を踏んで、当人であることの認証を行うしくみです。

ここでいう２つの要素は次の３つのうち、２つを組み合わせたものと定義されています。

• 知る要素（ユーザだけが知っている要素）
  例えば、ログイン画面で入力するIDやパスワードがあります。
  IDやパスワードは特定の個人が知っている情報→知る要素となります。
• 持つ要素（ユーザだけが持っている要素）
  例えば、携帯電話番号（SIMカード）があります。
  携帯電話番号は特定の個人のみが持っているもの→持つ要素となります。
• 備える要素（ユーザ自身のもの）
  例えば、指紋認証、顔認証、虹彩認証などがあります。
  指紋や顔、虹彩は個人の一部となるもの→備える要素となります。

しかし、現時点においてはインターネットの世界での二段階認証で用いられる２つの要素は知る要素と持つ要素の組み合わせが多いという印象です。

代表的な例として、IDとパスワード、携帯電話番号を用いた二段階認証の例をみてみます。

上の図を使って、説明していきます^^

1. 男の子がスマホ決済アプリ「YAMA Pay アプリ」にログインしようとしています。
2. まず、覚えているIDとパスワードを入力します。
   （第一段階）
3. IDとパスワードの認証に成功すると、男の子のスマホの電話番号宛てに認証コード(SMS)が送られてきます。
   この認証コードを続いて入力します。
   （第二段階）
4. 認証コードによる認証も成功すると、無事、「YAMA Pay アプリ」にログインすることができます。

二段階認証のイメージはできたでしょうか^^

二段階認証はIDとパスワードだけによる認証に比べ、格段に安全性が高いです。
仮にIDとパスワードをだれかに知られてしまった！としてもです。
二段階認証だった場合は、IDとパスワードによる認証は成功されてしまいます。
しかし、次の認証に必要な認証コードは携帯電話を盗まれない限り、知られることはないので、不正ログインされることはありません。

現在、二段階認証は不正アクセスが許されないシステムにおいて極めて有力な手段として認知されています。

一方で似たようなしくみに上の図のSMSのかわりにメールアドレスで認証コードが送られるシステムがあります。
これは厳密には二段階認証とはいえないと思っています。
理由はメールアドレスはSMS（携帯電話番号）と違って、特定の人以外でもネットにつながるパソコンやスマホがあれば、見れる可能性があるからです。
もちろん、この場合、不正アクセスとなります。
不正アクセスでなくても極端な例としてメールアドレスを複数人で共有している場合も同様です。
このようにメールアドレスは厳密には特定の個人の持つ要素とはいえないと考えています。

ただ、同じメールアドレスでもキャリアメール（＠docomo.ne.jp、＠ezweb.ne.jp、＠softbank.ne.jpなど）は携帯電話番号と同等なため、二段階認証の持つ要素となります。

その他ではインターネットバンキングなどで利用されるセキュリティトークンと呼ばれるワンタイムパスワード生成器も二段階認証の持つ要素となります。

二段階認証の背景・状況

二段階認証の技術ははキム・ドットコム氏（旧Kim Schmitz)といわれる方が1990年代後半に発明し、海外の特許にも出願済みと言われています。

その後、インターネットバンキングやTwitterやFacebookなどのSNS、Googleなど様々なサービスで利用されています。
国内のスマホ決済アプリではPayPayやLINE Pay、d払いなどで二段階認証または近い技術が使われています。

一方で似たものに銀行のATMやWindows10の認証があります。

• 銀行のATM
  • 知る要素
    暗証番号が相当します。
  • 持つ要素
    キャッシュカード（または通帳と印鑑）が相当します。
• Windows10の認証
  • 知る要素
    PINと呼ばれるパスワードが相当します。
  • 持つ要素
    使用するコンピュータが相当します。

これらは、２つの要素を使う点においては二段階認証と同じですが、段階を踏むという点は異なります。
このため、銀行のATMやWindows10の認証方法は二段階認証というよりは二要素認証というほうが、正確には正しいでしょう。
二要素認証は２つの要素を使って認証は行うが、必ずしも段階を踏まない方法のことがいわれます。

海外の動向ですが、二段階認証を利用するTwitterやGoogleは言わずと知れたグローバル企業です。
全世界的にも二段階認証は安全性の高い技術として認知されているのはいうまでもありませんね。

スマホアプリの決済で使われる二段階認証で気をつけること

二段階認証は不正アクセスに対してとても安全なしくみですよね。

フィッシング詐欺においても、安全です。
フィッシング詐欺はニセメールによって、ニセのサイトに誘導して、IDとパスワードを入力させる仕組みです。
しかし、盗んだIDとパスワードを使って本物のサイトにログインされたとしても、次の認証に必要なコードはSMSや音声通話で本人の携帯電話に認証コードが送られます。
そして、その時点でIDとパスワードが盗まれたことに気づくことができます。

ちなみにこのような状況に遭遇した場合は、認証コードは入力しないことはもちろんのこと、あわせてすみやかにパスワードを変更しましょう。

一方でどうしても防ぎようがない攻撃手段があります。
中間者攻撃といわれるものです。
通信内容の盗聴や改ざんをされてしまうというものです。
対策としては、SSL通信による通信の暗号化を行っているサイト以外は利用しないことは必須です。
ただし、よく知られている、たくさんの人が利用しているスマホ決済アプリの場合は基本的にSSL通信なので、この点は心配はいらないでしょう。

また、初めて聞くようなスマホ決済アプリは使わないようにすることも大切になると思います。
悪徳な目的をもつスマホ決済アプリで何か購入した場合、法外な請求をされてしまったということもありえます^^;

最後に

二段階認証を採用している決済システムは基本的に安全性だということはイメージいただけたのではと思います。

もちろん二段階認証を利用していても気をつけるべき点はありましたね。

不明の認証コードが携帯電話に送られてきた場合は、決して、入力せず、すみやかにパスワードを変更すること。

情報が少なく、初めて聞くようなスマホ決済アプリは安全性が確認できるまで利用しないこと。

今回の問題を機にスマホ決済の二段階認証は業界標準になっていくと思われます。
これによってスマホ決済もインターネットバンキングなどの金融システムと同じくらい安全・安心なものになることが期待されます。

近い将来、今回の問題がスマホ決済が大きく発展する上で大きな転換点になったといわれることを願っています。