多要素認証は突破される。ならば、どう備えるか？　第２弾

業界動向分析編

なぜGoogleのDBSCでも解決できないのか ～BtoCサービスが直面する認証の根本課題～

第１弾：問題提起編

第２弾：業界動向分析編

第３弾：ユーザー体験重視編

第４弾：技術哲学編

第５弾：業界提言編

前回は証券口座乗っ取りの深刻な現状についてお話ししました。今日は、「それじゃあ最新技術で何とかならないの？」という疑問にお答えしたいと思います。

期待の新技術DBSC

実は、Googleが開発している「DBSC（Device Bound Session Credentials）」という画期的な技術があります。まだ一般に使用開始されていませんが。これは、セッション情報（セッションCookieとも言う。ウェブサイトがユーザーを識別するための情報）をデバイスに暗号的に結び付けて、盗まれても他のデバイスでは使用できなくする技術です。

理論的には素晴らしい技術で、セッション情報を搾取するタイプのマルウェアに対しては、強力な武器になるはずです。

実用化の壁

ところが、この技術には課題があります。現在はChrome 135というブラウザにおいて、オリジントライアル段階で、実際のサービスではまだほとんど使われていません。よく利用されているブラウザのすべてに、この技術が導入されてはじめて、効果がある技術です。よく、使用するブラウザの制限を明記しているWebサイトがありますが、この告知だけで、サービス提供者の責任が回避されるとは思われないところも、課題がある技術だとみています。

この新しい技術が実際の金融サービスで使われるまでには、まだ時間がかかりそうです。

しかも、調べてみると、DBSCも結局はブラウザとサーバーという「単一の通信経路」に依存しています。これでは、根本的な解決にはならないのです。

企業向けソリューションの限界

「インフォスティーラー」というマルウェア攻撃は、Microsoft Entra IDやCisco Duoなど、企業向けには優れたセキュリティソリューションを多層に用いることで防げると言われています。でも、これらのシステムを個人のお客様、特に高齢者やシニアの方に、強制的に使ってもらうのは現実的ではありません。また、複数の証券会社が異なる製品を採用していた場合、これらの優れた製品を導入できない可能性もあります。なにより、使い方に対する問い合わせが頻発するでしょう。

社員番号一つで企業のIT部門がサポートしてくれる環境と、個人のお客様が一人で使う環境では、求められる簡単さのレベルが全く違うのです。また、一般個人の情報を企業の従業員の個人情報と同じレベルで扱うのには、無理があるでしょう。

セッション管理の現実

そもそも、今のインターネットで良く利用されているブラウザの仕組み自体に問題（ブラウザの種類によらずです）があります。ウェブサイトは、ユーザーがログインした後、セッション情報（セッションCookie）というデジタルの「入場券」を発行します。この入場券があれば、いちいちパスワードを入力しなくても、「この人は本人ですよ」と認識してくれます。

でも、この入場券が盗まれてしまえば、泥棒が堂々と正面玄関から入ってこられるのです。

にわかには信じられないでしょうが、事実です。この「入場券」を入手した悪者は、正当な利用者との区別を今までは実行していなかったからです（今後、この区別をする画期的な手法が出てくる可能性はあるとみています）

単一通信経路の脆弱性

現在のセキュリティ技術の多くは、ブラウザとサーバーという「一本道」での通信を前提にしています。でも、この一本道に攻撃者が潜んでいたら、どんなに高度な技術を使っても、結局は同じ道を通らなければならないのです。

まるで、例えは古いのですが、山賊がいると分かっている道を、護衛をつけずに通るようなものです。護衛をつけても、リスクをゼロにはできません。

誤検知という現実的な問題

行動バイオメトリクスのような先進的な技術もあります。これは、ユーザーのマウスの動かし方やキーボードの打ち方の癖を学習して、本人以外の操作を検知する技術です。

理論的には面白いのですが、実用化には誤検知の問題があります。例えば、1万人のお客様がいて、0.5%でも誤検知したら、50人の方が正当な取引をブロックされてしまいます。証券会社としては、これは大きな問題です。

また、いつものPCで操作していないケースへの対応が、この方法ではとても難しいのです。考えてみてもらえればわかるかと思いますが、緊急で株を売買しなければならない時があると思います。そんな時に限って、いつものPCではなくて、知人やマンガ喫茶のPCを使用しなくてはならないでしょう。たとえ本人が使用していても、たぶん慣れ親しんだキーボードやマウスと同じ行動は再現できないでしょう。この技術の採用は、難しいでしょう。

プライバシーの問題

さらに、行動パターンは個人識別符号と見なされる可能性があり、GDPR（EU一般データ保護規則）や日本の個人情報保護法に抵触するリスクもあります。お客様のプライバシーは、おろそかにできません。

金融サービスに求められる条件

金融サービスでは、以下の条件をすべて満たす必要があります：

• 100%に近い安全性：お客様の大切な資産を預かっているから

• シンプルな操作性：高齢者、シニアでも迷わず使えること

• 高い可用性：いつでも取引できること

• プライバシー保護：個人情報の扱いに配慮すること

• コスト効率：サービス提供コストを抑えること

これらをすべて満たすのは、従来技術の延長では困難なのが現実です。

新たなアプローチの必要性

つまり、従来の「一本道」を前提とした技術改良では、根本的な解決は難しいということです。私たちには、全く違う発想のアプローチが必要なのです。

次回は、「セキュリティ強化でお客様の利便性を損なわない方法」について、具体的に考えてみたいと思います。技術は人のためにあるものですから、使いやすさを犠牲にしてはいけませんからね。

第１弾：問題提起編

第２弾：業界動向分析編

第３弾：ユーザー体験重視編

第４弾：技術哲学編

第５弾：業界提言編