二要素認証も楽々突破…巧妙化する「不正ログイン」に企業は何をすべきか?
- ありがとうございます!
- いいね!した記事一覧をみる
ワンタイムパスワードも安心できない?「被害者の5割以上が利用」の実態
なりすましによる不正アクセスの対策として、ログイン時に二要素認証によるワンタイムパスワード(OTP)や生体認証を設けたりeKYC(オンライン本人確認システム)を導入しているサービスは多い。しかし、昨今のサイバー犯罪は、これだけでは十分に防げない。それを裏付けるのが、2019年、有効であったはずの二要素認証を突破する被害が多発したという事実だ。警察庁の調べでも、不正送金被害者の半分以上が二要素認証を利用していたという。この手口は偽のログイン画面を用意し、そこからフィッシングサイトに誘導する。そしてパスワードに加えて、OTPも一緒に入力させるように促し、そのOTPを盗んで犯人が正規のサイトから直接犯行に及ぶというものだ。結局のところ、OTPさえ分かってしまえば、認証は容易に突破できてしまうのだ。
一方、生体認証やeKYCによるオンラインでの本人確認は、セキュリティ強度の面から言えば、当然導入したほうが良い。だが、モバイルアプリにおける生体認証は機種やOSの制限があったり、ユーザー側で意図的に機能をオンにする必要があったりと、企業がコントロールできない部分が残る。また、eKYCによる口座開設申し込みの本人確認手続きは、「郵送」というプロセスが運用上で残っており、一般的に普及している状況にはなっていないのが実情だ。
犯罪者は対策が不十分で、なりすましがしやすいサイトを狙う。不正ログインを防ぎ、顧客や利用者を守るために企業はどのような対策を施していけば良いのだろうか。
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!