個人情報」カテゴリーアーカイブ

2段階認証の誤解

不正引き出しとは

金融機関にある取引口座とチャージ対象(キャッシュレス手段等)の持ち主(管理者)が異なり、取引口座の資金が無断で移動させられること

今回だと例えば、

キャッシュレス手段取引口座備考
D払い(他人)ゆうちょ(自分)ドコモ口座
LINEペイ(他人)ゆうちょ(自分)

#上の表の「他人」と「自分」が逆になると、攻撃者そのものか、犯罪に巻き込まれているか、になるだろう

①2段階認証はひとつでよい、という誤解

2段階認証(2要素認証ともいう)は英語では2-factor-authenticationとなるが、3-factorや4-factorの方が突破されにくい。ドアについている鍵の数が1つより2つ、2つより3つの方が開けにくいのと同じ。

ちなみに、昔NYではドアに数個鍵を掛けると言われ映画やドラマでもそのような場面が出てくるが、「8つ鍵を付けると狙われない」としていたと記憶する。(そりゃそうだろう)

2段階認証として設定できるのは、(口座番号や暗証番号は当然のこととして、)他にはだいたい

  • ワンタイムパスワード
  • 第2暗証
  • 生体認証
  • 合言葉
  • マイナンバー

位だが、どれも抜け穴がある。

#最悪、例えば家族なら全て突破できる場合がありえる。一卵性双生児なら生体認証も??

②xx銀行、xxペイ、xxサービスのどれかひとつで2段階認証を導入しているから安心、という誤解

ゆうちょとLINEペイを例にすると、

  • ゆうちょは2段階認証していない
  • LINEペイは2段階認証は(オプション)。住所や名前などは実在のものでなくともOK

なので、他人のLINEペイから2段階認証していないゆうちょ口座への紐づけが可能になっている。ゆうちょで2段階認証等の対策がとられていれば、かなり防げるものだが、それがない

③攻撃者の前提は把握可能という誤解

普通はこうするだろう、と攻撃者の動きを想像すると、痛い目を見る。被害者が気づくまで、普通では考えられないことをやっているはず。

また、不正被害が世の中に知られたので、無くなるのも時間の問題だろう、とはいかない。被害が気づかないところでは口座の資金が枯渇(または借り入れ額が上限に達する)迄続く。

どこに気を付ければいいか?

預金口座をもつ金融系(銀行、ゆうちょ)が紐付けサービスを始めたら、リスクがある。口座の取引に異常がないか確認する。メールが来るものならこまめにチェックする。

金融機関からキャッシュレスサービスとの連携を開始する通知があるか。封書でもハガキでもメールでもいいので。契約者全員にアナウンスがあるか。

また、取引口座の取引を逐一メールやハガキで通知するシステムになっているか。これが徹底されていれば、口座を確認するためATMや金融機関にわざわざ出向く手間が省ける。

LINEペイの銀行口座登録の例(2020年9月時点)

登録方法例(LINEペイ)

  • 1口座番号・PWなどの情報を
  • 2銀行選択して必要な情報を入力
  • 3銀行のWebサイトで必要な情報を入力

(例)2020年9月時点のLINEペイの銀行口座登録

金融機関口座登録のため準備するもの(口座情報は省略)備考
ゆうちょなし
三菱UFJ(MUFG)ワンタイムパスワード(OTP)OTPはアプリも可能
三井住友(SMBC)ワンタイムパスワード(OTP)OTPはアプリも可能
みずほ銀行メアド(普通預金口座)合言葉、第2暗証番号(みずほダイレクト)偽サイトで入力、もしくは口座情報を売られていないか
楽天銀行ワンタイムキー
ジャパンネット銀行トークン(OTP)
住信SBIネット銀行アプリ(スマート認証)(SMS認証)生体認証、登録電話番号が変更できなければOK
その他省略
LINEペイの銀行口座登録

それぞれの対応を比較すれば、その脆弱性は一目で分かる。一方にあって他にない認証情報の存在理由を検討していれば済むこと。

例えば、引き出し金額上限が最初1円などになっていて、窓口でしかその上限額が引き上げられないなど、コストのかかるものがないと、上記のような認証情報の差は説明できないはず。

ゆうちょの登録

ゆうちょには2段階認証がない。報道ではキャッシュレス業者に2段階認証の導入をお願いしているらしいが、ゆうちょ側にも必須だ。取引に関するものなら、キャッシュレスへのチャージを含めゆうちょ側でも2段階認証が必要。

どこにも2段階認証は出てこない

(口座契約者と同一かの意味で)本当に本人のキャッシュレスアカウントから取引口座への登録要請がきているのか、どうやって確認するのだろう。金融機関の知らないところで認証されたものを、自分で確認しないでどうやって認証するのだろう。

ドコモ口座とdアカウント

ドコモ口座もdアカウント経由で銀行口座と紐づけるが、dアカウント自体には2段階認証が導入されている(必須でないようだが)。ただし、そのことと銀行口座登録時に銀行側に2段階認証がなくていいとは決してならない。紐づけようとしているdアカウント(ドコモ口座)が銀行口座の本人のアカウントとはかぎらないから、dアカウントの方が2段階認証で守られていても全く意味がない。守るべきは銀行口座の方である。

キャッシュレス業者の個人認証は金融機関の個人認証に比べ極端に脆弱だ。プリペイド式で認証が不要だったり、セキュリティの厳しいクレジットカードと紐づけることでチャージ機能を付与してきた。銀行のように免許証を送付したり窓口で手続きということもない。逆に銀行口座へアクセスできることで個人認証の論拠となっている場合もある(Auペイなど)。

まとめ

取引をメールで知らせない金融機関はあぶない。金融機関が損する訳ではないが、口座の契約者が被害が認識できない可能性がある。連携先がメールするからOKで、はない(連携先の登録メールアドレスと金融機関の登録メールアドレスが違っている場合、確認できない)

金融機関が、キャッシュレスなど他の決済サービスと連携している時点であぶない。簡単に連携できるほどあぶない。連携が面倒なほど危険度は減る。

取り扱い額(引き出し金額)の上限を設定できないところはあぶない。特に契約時に「上限なし」など論外(通常は100万円や49万円などが設定されている)。

主たる金融機関が、不正引き出しがないか確認してくれと、口座契約者に依頼しているが、不正かどうかに関係なく、自宅宛てもしくは登録メールアドレス宛てに、取引があったことを通知すべきだ。

認証の厳しい金融機関とあまあまのサービス業者の連携では、常に認証の厳しい金融機関が取引口座を守る対策を取るべきだ。

伏兵がいたとは!?パスワード管理の話

セキュアなパスコード(パスワード)の作成方法

にも書きましたが、パスワードの生成の仕方についてちょっとですがTipsをまとめています。

ただ、先日、日経新聞に、「ああやられた!どうしよう!」と個人的に感じた記事が出ていました。

危険!IDの使いまわし メールアドレス 複数使って対策(8/15)

これは、ひとことでいうと、メールアドレスをIDとして使い回していると非常にやばいことになる可能性がある、ということです。

特に、IDのみでなくパスワード(PW)も使いまわしている場合には、以下のリンクのように、複数のサイトから芋づる式に個人情報が抜かれたり、最悪なのは銀行口座等に容易にアクセスされる可能性があるということ。

個人ID盗難 芋づる式 パスワードの使い回し、被害招く 新たな手口、自衛が不可欠 :日本経済新聞(8/14)

パスワードの使い回し、被害招く――個人ID盗難、芋づる式(真相深層) | SECURITY SHOW(こっちは上記の前文が掲載されています)

さすがに銀行などは以前よりセキュリティの意識が隔世的に高くなっていますのでそれだけで実際に金銭的な被害にあうことはないのかも知れません。

しかし、SNS系、ストレージ系、メール系などのデータをアクセスされてしまい個人ビッグデータとして解析されたりすると、検索機能が充実していることが裏目に出て、例えば第二パスワードや取引専用パスコードのような重要な情報がそこから漏れてしまうかも知れません(サイト管理では通常ハッシュとして処理しており文字列がそのまま保存されることはあまり聞きませんが個人管理ならありえる)。

全サイトでPWを変えており暗号化したExcel(表計算)ファイルでそうした情報を管理運用している私にとっても、今回のことは伏兵でした。なので早速やり方を見直しました。この記事が背中を押してくれました。

危険なのはメールアドレスの使い回しだけではないのでは?

この記事では、同じメールアドレスを複数のサイトでIDとして使い回すことの危険性を報告していますが、果たしてそれだけでしょうか。メールアドレスの文字列の一部を他のアカウントのIDとして使っている方も居られるのではないでしょうか。

そうだとすると、ここ最近の「xxのサイトがハッキングされ個人情報が流出した。その数は数万(場合によっては数億)人分に上る」という記事とそれに対するサイトからの「ただちに顧客全員に通知してPWを変更してもらった。今のところ被害は報告されていない」というアナウンスが「それだけで本当に顧客にとってきちんとした対策になっているの?」というものに聞こえます

確かに、そのサイトでの被害はないけれども、それが元で他のサイトでの被害につながるのではないか、ということです。PWをどう作るかや、いつ変更するか等の管理は、サイト責任(どう保存するかサイト責任です)ではなくユーザ責任なので、恐らくあえてその危険性をアナウンスしないのでしょうね。

どこかのサイトからIDとPWが漏れたとき、もし複数の銀行でそれと全く同じIDとパスワードをつかっていたら非常に危険だということは、誰でもわかります。銀行等のサイトでは2重3重の防護の手を打っているので大事に至らないケースが大半と思いますが、ユーザとしてもやはり何か手をうっておくべきでしょうね。

記事にあるようにサイトの重要度で対策を使い分ける

やはりサイトの重要度にあわせてIDやPWを自分なりに管理することが求められそうです。IDをサイト別に変更するのが面倒なら少なくともPWは異なるものを用意すべきでしょう。方法は、

セキュアなパスコード(パスワード)の作成方法

にあるようなものでも結構ですし、上の記事の内容にあるように、マイクロソフトのExcel(表計算)ファイルにまとめておくという手もあります。

ここ最近マイクロソフトのExcel(表計算)ソフトと互換のあるものが出ており、非常に便利になっています。特に(iPhoneなどのiOS系ではなく)Android系端末ではDropboxのファイルでもExcel互換ファイルを使うことができます。読み取り暗号化したExcel互換ファイルの扱いも可能なので、出先で重要情報にアクセスすることもできます(個人的なことですが、実はこれが非常に有用で最近ではiOS系よりもAndroid系の端末を使うことが多くなりました)。

まとめ

IDやPWの使いまわしは極力しない。少なくとも重要サイトのIDやPWはそれぞれ異なったものにする。IDやPWの管理方法は、自分なりの法則を作る、または、Excel等で管理する、のがよいと思います。

やはり将来は生体認証等になるのでしょうかね。海外SFドラマなどではどう表現されているんでしょう。

関連記事

セキュアなパスコード(パスワード)の作成方法
これは脅威!?「消せない火」の次は「壊せない巨大HDD」のある世界
伏兵がいたとは!?パスワード管理の話
遺伝子にまでパッチが当てられる時代なんですね、現代は!
日本では既に情報提供が行われていると見るべきでしょうかね!?

お世話になったリンク

危険!IDの使いまわし メールアドレス 複数使って対策(8/15)
個人ID盗難 芋づる式 パスワードの使い回し、被害招く 新たな手口、自衛が不可欠 :日本経済新聞(8/14)
パスワードの使い回し、被害招く――個人ID盗難、芋づる式(真相深層) | SECURITY SHOW

以上です。

これは脅威!?「消せない火」の次は「壊せない巨大HDD」のある世界

さまざまなネットサービスを通してクラウドに保存された個人情報や行動記録などのデータが削除不可能なことは間違いないでしょう。あるクラウドサービスのメニューに「削除」があるからといって本当に「削除」できると考えるひとはいないと思いますがどうでしょう。実際巨大クラウドサービスのひとつであるGmailでは削除できるメールはひとつもありません。「すべてのメール」を見れば全部出てきます。

もしかすると、「そんなことはないですよ。見れなくなるメールもあります」という方がおられるかも知れません。

問題は「完全消去できているか」検証できないこと

問題はユーザの提供した個人情報や行動記録が本当に削除された(完全消去)か検証できないことです。数学理論と違い、「存在すること」は証明不要ですが、「無いこと」は証明できません。データが削除されたかどうかは検証不可能なのです。

また、「昨今のクラウドでは、データ量があまりに膨大すぎて、データの追加はできるが更新や削除のような処理にコストをかけている余裕はない。更新はデータ追加とポインタの付け替えで、削除はポインタの削除で済ます。元データに触る手間をかける必要はない」と見ます。Hadoop(MapReduce)のような究極的なデータ処理技術の根底にある思想や仕組みをみてもそれは明らかであるように思います。

企業はデータ削除にコストを掛けられない

誰も証明できないことのために、しかも誰も気にしていないもののために、わざわざコストをかけることを企業はしません。この場合の「企業」を「NPO」や「個人」に置き換えても同じでしょうが、データ追加のための設備保全に巨額を投資する企業の場合、それは切実な命題でしょう。

先般のE.S.(江戸語雪電、つまらない当て字で申し訳ありません)による告発以前と以後でクラウドに対するユーザの接し方が変わっていくように予想しますが、当局に情報を渡す/渡さない以前に、クラウドに一旦保存した個人データは完全消去されることなく保存されているものだという認識が果たしてユーザにあるのかどうか。

クラウドのデータが完全消去不能である事実が、いつまで「誰も気にしていないもの」でありつづけるんでしょうね。

ほんの10年ほど前でも、情報流出回避のためPC内のハードディスクの内容を完全消去するというポリシーは希薄でした。今では当たり前のポリシーですが、当時、そうした情報流出の可能性を技術的に理解していた技術者は大勢いたと思いますが、個人データや企業データや顧客データがそんなところから流出するという危機感は、社会としても、あまりありませんでした。フランスなどとは違い本当に日本人は性善説を信奉する国民です。技術を知らないひとが「HDDをフォーマットしたからいいだろう」と技術の本質を知らずに判断していたのでしょう。どなたかのたとえにありましたが、「HDDのフォーマットは、本でいうと目次のページを破り捨てたり白塗りしたりしたに過ぎない。そのあとの膨大な内容本体は一切改変されずに残っている」と。日々クラウドに蓄えられる膨大な情報は、これからも完全消去されることなく積み上げられていくことでしょう。

原発を「消せない火」とするなら、クラウドは「壊れない巨大HDD」です

クラウドの方の表現は黙示録に出てきませんが、いまやクラウドは、HDDが一定確率で壊れることを想定したフォルト耐性が極めて高いシステムになっています。格納された情報は、決して損なわれることのないシステムの中で、しかも瞬時に検索可能なものになっています。砂浜で落とした指輪のように、「存在することは明らかだが探しだすのは不可能に近い」ものでは決してなく、「どこかに行っちゃった。ごめんね」で済ませられない問題になるかも知れません。

やはりある程度の自己防衛が必要では?

こうしたことは杞憂に過ぎないのかも知れませんが、やはり

  1. そもそも電子データを作らない
  2. 必要なデータもクラウドには保存しないでバックアップも含め自分で管理する
  3. どうしてもクラウドに保存する場合には、暗号化するか、生データではなく流出しても問題ないものに改変しておく
  4. なにが起こっても自己責任であると考える

等の優先順位を心がけてある程度の自己防衛を施すべきでしょう。

関連記事

これは脅威!?「消せない火」の次は「壊せない巨大HDD」のある世界
伏兵がいたとは!?パスワード管理の話
遺伝子にまでパッチが当てられる時代なんですね、現代は!
日本では既に情報提供が行われていると見るべきでしょうかね!?

以上です

改題しました「ES告発後の情報社会 クラウドに保存したデータは削除できるのか!?」