パスワードの限界、追い打ちをかけるリスト型攻撃

　パスワードは、長年その欠点とわずらわしさを指摘されながら、総合的に管理しやすく、システムへの実装もしやすいのも事実で、パスワードに代わる決定打もないため、必要悪のように使い続けられている。生活や業務のネット依存が拡大し、必要なパスワードの数は人間の管理能力を簡単に超えてきている。

　にもかかわらず、サービス側は使いまわしや覚えやすいフレーズの利用を禁止、制限したり、定期的な変更も要求してくる。加えて攻撃の高度化により、複雑なパスワードルールにユーザーはさらに翻弄されることになる。ユーザーは、Webブラウザのセッション保持機能やパスワード管理ツールを駆使し、安全と利便性についてなんとか折り合いをつけるのがやっとだ。

　そこに、何億、何十億という単位のアカウント情報が、ダークネット上では普通に取引されていることが、改めて報じられるようになった。もはや、メジャーなサービスのユーザーアカウント情報は、漏れている前提でセキュリティを考えなければならない状況だ。

ヤフーがパスワードなしでログインできるサービスを開始

　漏えいしているアカウント情報は、重複しているものや古い情報のもの、捨てアカウントなども含まれているため、漏えい件数を額面どおりとらえる必要はないが、放置していい問題でもない。特に日々大量の不正アクセスを受けている大手ポータルサイト、ECサイト、ソーシャルネットワークにとっては抜本的な対策に迫られているといってよい状況だ。

　ヤフーが「スマホからのログインでパスワードを無効にできるようにした」と発表したのは、深刻化するリスト攻撃への対策には思い切ったアクションが必要と感じたからだろう。といっても、急に発表された意思決定ではない。

　ヤフーが自社サービスの一部について、秘密のパスワードを設定せず、SMSによる認証コードでログインさせる方法を始めたのは、2017年の4月からだ。ショッピングやオークションなど一部のサービスで新規アカウントを設定するときに、ワンタイムパスワードをSMSに送る方式を提供していた。1年ほどの運用を経て、200万IDがパスワードなしの方法でログインしている状況を作り上げた。新規アカウントから施策の状況をみて、「いける」と判断して、既存アカウントも希望者にYahoo! Japan IDのパスワードを無効できるようにしたものといえる。

パスワード忘れ・再発行手続きよりは簡単

　当面は「スマートログイン」機能を設定しているスマートフォンユーザーを対象に、所定の手続き（オンライン）をすれば、設定されているパスワードを無効にし、登録した携帯電話番号にSMSで送られてくるワンタイムパスワードだけでログインを行うようにできる。ログインが必要なたびに新しいパスワードが発行されるので、パスワード情報のハッキングや漏えいを気にする必要がなくなる。

　ログインのたびにSMSを受信してコード入力をする必要があるが、原理的に同じデバイスからのログインは、認証成功時に生成したセッションIDやトークンを利用することで簡略化できる。スマートフォンによるSMSが普及し、無数のサービスのパスワード管理が現実的なものでなくなってきている現在、SMSによるワンタイムパスワード方式は、思っているほど煩雑ではない。

　たまにしか使わないサービスが、ログインのたびにパスワードがわからなくて（覚えてなくて）再発行手続きをするなら（たいてい、メールで仮パスワードのログイン作業が発生する）、SMSでそのつどパスワードを送ってもらうのと変わりない。使い慣れてくれば、多くのユーザーがワンタイム方式を評価するようになる可能性がある。SMSの受信に慣れれば、管理しきれなくてパスワードを使いまわしたり、単純なフレーズでログインしているより安全な状態になる。問題となっているパスワードリストを利用した攻撃も無効化できる。

　大きなインシデントもなく、市場でヤフーの方式が評価されれば、類似サービスも同様な方法に切り替えてくるかもしれない。

【次ページ】 GAFAより先行判断をしたヤフー、しかしSMSプロトコルに課題も