「これだけで大丈夫、簡単セキュリティ」が危険な理由

ITmedia エンタープライズ / 2020年6月30日 8時4分

●「とるべき対策を端的に、結論だけ伝える」ことの危険性

 私は「SIMにPINを設定するべし」という考えを否定するつもりはありません。この話を紹介した人を責めるのも間違っていると思います。テレビ番組においては、どんなに工夫しても全ての視聴者に完全に理解してもらうのは困難だからです。

 PINの機能そのものはSIMの基本機能として用意されており、この仕組みが役に立つシーンは間違いなくあります。例えば海外には、日本よりもスマートフォンの盗難リスクの高い場所があるでしょう。海外で盗難にあった場合は日本に連絡し、回線を止めてもらう必要があります。対策が終わるまでの数時間で被害に遭う可能性があり、そのリスクを下げる方法として有効なのは、おそらくSIMのPIN設定くらいです。

 しかし、スマートフォンユーザーの全てが、そこまで大きなリスクを想定するべきなのでしょうか。端末を誰かに狙われている可能性がある人や、企業組織が所有する端末であればPIN設定は必要かもしれません。特に心当たりがなければ、対策としては過剰かもしれません。

 今回の問題は、セキュリティを確保するための複数の手段の中から、わざわざ副作用の大きい方法をリスクの説明なく紹介してしまった点にあるでしょう。前提や仕組みをすっ飛ばしてしまえば、なぜそのような方法が必要なのかも考えられません。セキュリティ対策において「端的に、結論だけ伝える」のは危険なのです。

●敵は「これさえやれば対策は大丈夫」という思い込み

 似たような話は、最近やっと当たり前になりつつある「2段階認証」においてもあると思います。2段階認証は「2要素認証」の考え方が基にあります。2段階認証は「本人だけが知っていること」「本人だけが持っているもの」「本人だけが持つ特性」のうち2つを使って2回の本人認証をするものです。パスワード認証は「本人だけが知っていること」という1つの要素しか使っていないこと、そしてそのパスワードがさまざまなサービスで漏えいしてしまっているため、もはや脆弱な仕組みといえます。そのため、例えば「本人だけが持つスマートフォン」や「本人だけが持つ指紋」で認証するといった強化が重要になっています。

 ところが昨今、この2段階認証が破られるという話題を聞く機会が増えています。実はあれは、人をだます要素を仕込んで2段階認証のスキを突くという犯罪です。上記の件ではユーザーをフィッシングメールでだまし、偽のWebサイトで2段階認証に使うコードを入力させていました。フィッシングを100% or 完全に防ぐのは困難です。さらに「2段階認証を設定しているから、自分は大丈夫」と思い込んでいれば、コードを入力しているのが悪意あるWebサイトだと気付くのは、さらに難しいでしょう。

この記事に関連するニュース

トピックスRSS

ランキング