皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ここ最近、『○○Pay』という『モバイル決済サービス』があちらこちらから登場してきていますが、そのモバイル決済サービスの1つである『7pay』においてアカウントが乗っ取られ、クレジットカードが『不正利用』されてしまう被害が出ています。

7payで不正利用が起きた理由

どうやら『7pay』には致命的な弱点があるようです。

『パスワードを忘れた場合』、生年月日、電話番号、メールアドレスがわかれば変更できてしまうようです。

しかも『二段階認証（二要素認証）』がない。

もう1つあります。

登録したメールアドレスとは別のメールアドレスに『パスワードリセットメール』を送信できてしまうようなのです。

つまり、『生年月日』と『電話番号』がわかればパスワードを変更できてしまうという仕様になっています。

ここまで読んで『？？？』の方は非常に危険な方です。

この仕様、あり得ない仕様になっています。

普通に考えると、登録したメールアドレス以外には『パスワードリセットメール』を送信できないですし、昨今においてクレジットカードなどの金銭が絡むものに『二段階認証（二要素認証）』が存在しないというのは『論外なシステム』と言わざるを得ないです。

『セブンｰイレブン』ともあろう大手企業が何故これほどまでにお粗末なミステイクを犯してしまったのかは謎ですが、他の『モバイル決済サービス』を含め、このような脆弱なシステムであるならば利用しない方が良いとも言えます。

このGoogle Chrome 70において、また新しいものが導入されるかもしれません。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

来月、Googleのブラウザ『Chrome 70』がリリース予定となっていますが、この『Chrome 70』においては以前にご紹介した通り、『HTTPサイトに対する警告表示』が『赤字』で『！保護されていません』と表示されます。

しかし、これに限らず他の機能も追加になるようです。

Chrome 70は指紋認証に対応する

Google Chrome 70で導入される新しい機能とは、各ウェブサイトへのログインに対して『macOSのTouch ID』や『Androidの指紋センサー』が使えるようになる。

つまり、二段階認証の承認プロセスとしてそれが使えるようになるということになります。

ただし、WindowsやiOSデバイスにおいてそれが可能かどうかは不明です。

（触れられていませんでした。）

この機能の導入により、パスワードやクレジットカード情報の入力などがより安全な状態となるため、また一歩前進といったところではないでしょうか。

Google Chromeに限らず、セキュリティに対する意識は高まっています。

高まっていないとすればユーザー側の意識かと思われますので、もう少しずつでもセキュリティに対する意識を高めてもらえることを願うばかりです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭で書いたGoogleの『Titan Security Key』とは物理的なセキュリティキーのことで、同社がこれを発表する前にはYubiCoという会社が『Yubikey』という名前で既に販売しており、Googleも過去においてはこれを推奨していました。

では、これらの物理セキュリティキーとはいったいどのようなものなのでしょうか？

GoogleのTitan Security Keyとは

今回Googleが発表した『Titan Security Key』などの物理セキュリティキーとは、二要素（二段階）認証などの多要素認証を通じてセキュリティを強化してくれるものです。

Googleは昨年、8万5000人以上いる従業員に対してこの物理セキュリティキーの認証を求めるようにし、結果的にハッキングされた者は誰もおらず、被害が完全になくなったとされています。

この『Titan Security Key』という物理セキュリティキーは2種類用意されており、1つはPCのUSBポートへ直接差し込むもの、もう1つはモバイルデバイスなどとBluetooth接続で認証を行うものです。

通常の認証においては認証サーバに一度パスワードを送る必要がありますが、この『Titan Security Key』は『FIDO』や『U2F』という認証規格をサポートしているため、『認証はキーの中』で済ませてしまいます。

そのため、『Titan Security Key』を持っていなけえばアカウントにログインできないことになり、パスワードを盗めてしまうオンライン認証よりも高いセキュリティが実現されます。

また、Googleのサービスに限らず、他のサービスなどでも利用可能です。

1つ当たりの価格は20～25ドル（約2500円前後）程度で入手できるようになるとされていますので、一度試してみるのも良いでしょう。

しかし、これにおいても問題が起きた事例があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭で書いた二要素（二段階）認証（Two-Factor Authentication：2FA）における問題事例ですが、今月初め、米国のソーシャルニュースサイト『reddit』にて発生しました。

redditでは、SMS（ショートメッセージサービス）を使った二要素（二段階）認証を義務付けていたようですが、これでは守り切れずに不正侵入を許してしまったようです。

では、このような事態から保護するにはどのようにしたら良いのでしょうか？

二要素認証を突破されないために

まずは二要素（二段階）認証の主な種類を見ていきましょう。

１．SMS（ショートメッセージサービス）を使うケース

２．E-mailを使うケース

３．電話を使うケース

４．ハードウェアトークンを使うケース

５．ソフトウェアトークンを使うケース

この中で、４と５のトークンを使った二要素（二段階）認証であれば今回の『reddit』のような事態は防げる確率は上がるはずです。

現にredditは、SMSベースの2FA認証からトークンベースの2FA認証への切り替えを促しています。

ただし、こればかりはサービスを提供している側がどのセキュリティ方法を提供しているかにもよりますので難しいところもありますが、選択肢があるのであればトークンベースの2FA認証に変更することがお勧めです。

また、仮に現時点ではSMSベースの2FA認証しか提供されていなかったとしても、今回のような事態を受け、他のサービスにおいてもトークンベースの2FA認証が提供される可能性も大きいと思われますので、こまめに情報をチェックしておくと良いでしょう。