バックエンド

【2段階認証】とは? 知っておきたい『セキュリティ』のはなし【初心者向け】

『テクノロジー』が進化して、便利になればなるほどに、

避けては通れない話題があります。

ずばり。

『セキュリティ』

サッカーで言えば『デフェンス』的な役割で、

決して目立って表に立つ事はないけれど、

『デフェンス』なくしてはボロボロ弱小チームになってしまうわけで。

『セキュリティ』は日本語で、

安心、安全、警備なんて意味があって、

もし『セキュリティ』がボロボロだったとしたら、

  • 個人情報データを書き換えたり
  • 個人情報データを盗んで悪用されたり
  • クレジットカードで不正取引されていたり
  • パソコンが踏み台にされてウィルスまみれになったり

それはそれは悲しい出来事が襲ってきます。

実際に僕も経験があって、2015年ごろだったと思いますが、

クレジットカードの使用履歴を見てみたら、

どう見ても使った覚えのない『アンドロイドアプリ』の決済の履歴が。

アオキ
僕はiPhone派なのでアンドロイドアプリは100%触らないのです・・

金額としては数百円ではあったものの、

アオキ
うわぁ、気持ち悪っ・・!

と思い、慌てて『グーグル』の問い合わせセンターに電話して、事情を説明して、

どうにか取り消してもらえました。

もちろん速攻でパスワードを変更しました。

あの事件以来、

『パスワード』や『セキュリティ』というキーワードには敏感になっているのですが、

なにやら最近『2段階認証(にだんかいにんしょう)』なるキーワードをよく耳にするようになりました。

Sponsored link

2段階認証とは? 1段階ではなくて2段階なんです

もう文字通りそのままなんですが、

『2段階認証』というのは、

『1回』ではなく『2回』認証をする仕組みのことです。

通りすがりのお兄さん
同じ事を2回やって何か意味があるの?

と思いがちなんですが、もちろん同じ事を2回やるわけではなくて、

Webサービスなどにログインする時に、

IDとパスワードを入力して終わり、ではなくて、

メールや『SMS(ショートメッセージサービス)』に送られてくるコードを入力してログインできるという仕組みになります。

通りすがりのお姉さん
なぜにそんな面倒くさい事をやるの?

と思いがちですが、答えは簡単で、

仮にパスワードが他の誰かにバレたとしても、

登録されている携帯電話を持っていないとログインできなくすることで、

赤の他人に悪用されるリスクを減らしているからなんですよね。

アオキ
いつのまにかスマホがセキュリティの道具になってたんですよね〜

スマホが普及してから、ざっくり2016年頃からだったと思いますが、

本人確認の際に、携帯電話番号を登録するWebサイトが増えています。

身近なところだと、

  • 楽天・・設定による
  • Amazon・・設定による
  • 楽天銀行(ネット銀行全般)・・設定による
  • ライン
  • グーグル
  • Facebook

あたりのWebサイトも、

携帯番号を登録して、『2段階認証』によって『SMS』などで認証をするように変わってきています。

似たような言葉に『多要素認証(たようそにんしょう)』というものもあります。

  • 本人しか知らない情報・・ID、パスワードなど
  • 本人が持っているもの・・ICカード、スマホなど
  • 本人の身体的な特徴・・指紋、虹彩(こうさい・目)など

などの情報を組み合わせて本人かどうか確認するという方法です。

2段階認証とは? 『7Pay』でクレジットカードの不正利用が発覚

なぜに『2段階認証』が話題になっているかと言えば、

2019年7月1日から『セブンイレブン』で使えるようになった、
電子決済『7Pay』で不正利用が発覚したからなんですね。

1日にサービスを開始したばかりの「7pay」だが、3日頃から登録したクレジットカードから不正にチャージされ、見に覚えのない高額決済があったという被害報告が相次いだ。セブン・ペイによると、4日6時時点で約900人に不正アクセスされた疑いがあり、被害額は約5500万円に上るという。

で、記者会見に臨んだ『小林強社長』の発言が話題になってしまって。

記者会見に臨んだ小林強社長は、セキュリティを高めるための二段階認証を行っていない理由を問われると、「二段階認証…」と考えるようなそぶり。記者が二段階認証について説明をすると、「二段階うんぬんというのと同じ土俵で比べられるのか、違うあれかというのは、私自身が認識しておりません」などと答えた。
「7pay」不正ログイン被害で話題「二段階認証」とは?

『Twitter』を始めとする『SNS』であっという間に全世界に広がって。

わかったこと

・セブンペイ社長は2段階認証知らない
・セブンの脆弱性(ぜいじゃくせい)チェックはざる
・ほかのサービスとの連携が足を引っ張ってる
・被害者は被害届出さないとあかん

経営者はよく「ガバナンス」を口にするが、ガバナンス(統制)とは、端的に言えば説明責任が果たせるようにすること。7pay事件の最大の問題点はそこ。ITベンダーに「利便性の良いものにしろ」と丸投げし、セキュリティ上のリスクを経営として認識し判断していないから、「2段階認証???」となる。

友人の家の鍵はちょっと特殊で、その友人の電話番号を入力すると自由に新しい鍵に交換できちゃいます。つまりその友人の家の場所と電話番号知っているだけで簡単に家を奪えちゃいます!

今回のセブンペイの件がどれくらいヤバイかをITに詳しくない人にも理解しやすいように例えてみるとこんな感じ。

専門家による『7Pay』の問題点なんて記事もあがってきて。

【7payクレカ不正利用】アプリ問題点の検証記事書きました▲電話番号・生年月日でパスリセット▲第三者アドレスに送信可能▲二段階認証なし/7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点

システム開発社長による原因推測の記事もでたりして。

7pay(セブンペイ)の騒動から考えるシステム開発で必要なあれこれ

考えられる原因
 
・必要な予算をケチっている
・十分な開発期間を設定していない
・経営者がITを軽視している
・多重下請け構造の問題点

ついには『経済産業省』からもツッコミが入って。

コード決済サービスにおける不正アクセス事案を踏まえ、決済事業者等に対し、不正利用防止のための各種ガイドラインの徹底を求めました

『セキュリティ』を軽んじたばかりに、まさに『ボロボロ弱小チーム』になってしまったのでした。

アオキ
なんと言っても人様のお金に関わってますからね。
アオキ
『セキュリティ』軽視したら恐ろしい事態になりますね。。
Sponsored link

『2段階認証』だけじゃない。知っておきたい『セキュリティ』の話

先ほどの記事にも記載がありますが、『7Pay』に関しては下記のような問題があったそうです。

  • 電話番号・生年月日でパスリセット・・簡単にリセットできる
  • 第三者アドレスに送信可能・・第3者にメールしてパスワードを書き換えられる
  • 二段階認証なし

そう。

『セキュリティ』というのは何も『2段階認証』だけではなくて、

それはそれはたくさんの要素から成り立っているわけです。

『セキュリティ本』ではおそらくもっとも有名な『徳丸本』をざっくり抜粋すると、

  • SQLインジェクション・・データを書き換えたり
  • XSS・・サイトを書き換えたり
  • CSRF・・パスワードを変更させられたり
  • フィッシング・・カード情報抜き取ったり
  • なりすまし・・本人になりすましたり
  • 盗聴・改ざん・・データ盗んだり書き換えたり

ほかにもたくさんの情報がまとめられていて、
とにかくたくさんの『セキュリティリスク』が存在します。

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
created by Rinker
アオキ
なんだかたくさんしか言ってない感・・

Webサービスを作れるプログラミング言語の一つ『PHP(ピーエイチピー)』で作られた『Laravel(ララベル)』などどは、これらの『セキュリティ』も考えられてつくられていますが、

『Laravel』使ってさえいれば100%安全だぜ、とは言えるわけもなく、

『プログラマー』や『システムエンジニア』が全てを網羅できているかというとそういうわけでもなく、

『セキュリティチェック』に特化したシステム会社もあったりします。

『セキュリティチェック』はもちろんタダではなく、うん百万円かかったりもします。

アオキ
今回の『7Pay』はいろんな事情はあるにせよ、設計やテストがないがしろにされてしまったって事なんだろうなと・・

『2段階認証』まとめ 『セキュリティ』は地味だが致命的

今回の『7Pay』問題で、

普段は地味でほとんど誰も気にもとめない『セキュリティ』に久しぶりに光があたりました。

しっかりとしたサッカーチームをつくるには、

しっかりとした時間とトレーニングが必要なように、

システム作りもおいそれと簡単に作れるわけではないという事を、

もっと大勢の人が認識できたらいいと思います。

最近では高校生の授業科目に『情報』という分野があるそうですが、

そこでもぜひ今回のような『セキュリティ』の重要性、リスクなどをたっぷりと扱ってほしいなと思います。

アオキ
『セキュリティ』もうちょっと勉強しとこ・・
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
created by Rinker

 

アオキ
ツイッターでも記事ネタ含めちょろちょろ書いていくので、よろしければぜひフォローお願いしますm(_ _ )m

アオキのツイッターアカウント


関連記事一覧 (一部広告あり)

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

CAPTCHA


最近の記事

  1. 2024.11.12

    noteに記事執筆することにしました

    生成AIの発展につれ、色々と思うところがあり、2024年11月より本格…

  2. 2024.09.7

    DifyのAPIアクセスの使い方を整理してみた

    Difyのアプリ作成後、APIアクセスのページを見ると全て英語表記になっていて…

  3. 2024.09.6

    RAG2.0の記事を翻訳してみる

    先日Difyのロードマップが発表されました。https://roadm…

  4. 2024.09.5

    RAGの手法を比較してみる

    生成AIを使って社内文書などの外部情報を参照する技術はRAGと呼ばれます。…

  5. 2024.09.2

    Dify講座をリリースしました【非エンジニア向け】…

    オンライン向け学習プラットフォーム Udemyにて、Difyの講座をリリースし…

アーカイブ

ChatGPT法人研修はこちら
お問い合わせはこちら

  1. オンライン教材

    【React】初心者向け講座をリリースしました【MUI】【Udemy】

  2. 生成AI

    Dify講座をリリースしました【非エンジニア向け】

  3. 生成AI

    2024/5/14 OpenAI発表 まとめ

  4. オンライン教材

    ChatGPTをビジネス活用する講座をリリースしました【Udemy】

  5. オンライン教材

    【ChatGPT】エンジニア編をリリースしました
PAGE TOP
Ads Blocker Image Powered by Code Help Pro

広告ブロックを摘出しました!!

ブラウザ拡張を使用して広告をブロックしていることが摘出されました。

ブラウザの広告ブロッカーの機能を無効にするか、
当サイトのドメインをホワイトリストに追加し、「更新」をクリックして下さい。

あなたが広告をブロックする権利があるように、
当方も広告をブロックしている人にコンテンツを提供しない権利と自由があります。

Powered By
Best Wordpress Adblock Detecting Plugin | CHP Adblock