パスワードはお嫌いですか

河本孝之(Takayuki Kawamoto)

1st appeared: 2016-03-29 12:00:01.

消費者はパスワードが大嫌い? 自撮り写真の認証決済が欧米で本格化へ」という記事を見かけました。記事の末尾に「《Glycine》」と書かれていますが、これが署名なのかどうかもよく分からない記事です1。ともあれ、この記事では生体認証が導入されつつある様子を伝えており、中でも自撮りで認証できるサービスを紹介しています。

ただし、過去に撮影された写真ではないこと、そしてその場で撮影された写真であることをそれぞれ確認するために、自撮りの際はまばたきをする必要があるという。

まず、このような認証方法についてすぐに起きる疑問は、「過去に撮影された写真ではないこと」が条件になっているという点です。また、その場で撮影されたことを証明するために、まばたきしなくてはならないともいいます。ということは、認証情報を格納している側においても過去の写真では不適切でしょうから(若い頃に撮影した画像でユーザ登録するだけでは、認証時に撮影された写真が古いかどうかを古い画像だけで判定することになります)、登録しておく画像も定期的に(パスワードの話でよく出てくるフレーズですね)更新しなくてはならないのではないでしょうか。

二つめに、この認証技術について報じられている他の報道によると、「同アプリは利用者の指紋も顔写真もMasterCardに送信することはない。その代わりに、画像をコードに変換してMasterCardに送信する」とされていますが、通信に対する攻撃というフェイズに着目すると、これでは従来の HTTPS プロトコルを使ったパスワードの認証とリスクは同じです。別に生体認証だからといって、パスワード認証よりも安全になるというわけではありません(しかし逆に言えば、リスクが同じなら簡単な方がいいという意見もあるでしょう)。

次に、もし顔を撮影するだけで認証できるのであれば、攻撃者が離れた場所から望遠で本人の顔を撮影しても同じ結果になってしまいます。これを防ぐには、スマートフォンという端末の UDID、MACアドレス、IDFV、AdvertisingIdentifier、IMEI/MEID/ESN、シリアル番号、ANDROID_ID、AdvertisingID 等の識別情報を組み合わせたり、TFA(二要素認証)として別の認証情報を要求しなくてはなりません。ただし、これを利用者が気にしなくてもいいように運用するなら、それは認証情報とその通信をユーザのあずかり知らぬところで固定することになり、これはこれで別の問題があります(例えば端末の識別 ID が漏洩してもユーザは気づきにくく、漏洩したからといっても端末の ID はユーザが任意に変更できません)。

更に、この記事そのものについても指摘しておきたい点があります。タイトルでは「消費者はパスワードが大嫌い?」と疑問を投げかけるような調子ですが、記事の本文では「マスターカードの安全対策部が断言するように、『消費者はパスワードが大嫌い』」と、そのまま断定しています。こうした趣旨のよく分からない記事は素人のライターに書かせている場合が多く、情報セキュリティについて何の見識も興味もない人が書いていたりします。したがって、自分自身の書いている内容が読み手にどういう印象を与えるかについて、業界の動向や思惑を理解した上での予想が書き手としてできないため、何か話題になっていることを「報道」しているつもりで実は宣伝の片棒を担いでいるという場合が多々あります。僕は、生体認証をプライベートな機器の運用なりオンラインサービスに利用するのは(一定のリスクを弁えた上で)構わないと思っていますが、こうした潮流が安易に助長され企業が従業員に強制するようになると、そこには違法性があると考えています。したがって、オンラインサービスの利用方法として生体認証の話を出すのはよいとしても、このような記事が安易に生体認証をどういう状況でも正当な「ソリューション」であるかのように持ち上げようとするのであれば、やはり一定の留保は加えておきたいと感じます。

パスワードはお嫌いですか? パスワードの運用は、確かに面倒臭いです。僕は殆どのサービスについて複雑なパスワードを設定しているため、全く覚えていません。でも、パスワードに愛着などなくても構いません。寧ろ、親しみをもつほど意味のある文字列でパスワードを設定する方が危険なのですから(慣れてくれば文字の羅列でも愛着をもつようになるかもしれませんが、それは好き嫌いとは別の話でしょう)。認証情報は、しょせん僕たち自身ではないのです。愛着も親しみもなくて構いません。或るシステムに対して、僕たち自身がコントロールしているのだと証明できる文字列として、粛々と運用するのが正しい姿です。「認証」を愉快なイベントにする必要などもともとありません。

1この RBB TODAY というサイトを運営しているのは株式会社イード(IID, Inc.)という上場企業さんで、いわゆる「メディア」と俗に呼ばれているウェブサイトの運営と、コンテンツの制作や運用に関するマーケティングを事業としているようです。ちなみに、オンラインで見かける「マーケティング」という言葉は非常に意味が狭く、またミスリードな場合も多々あります。オンラインで有料のウェブページを提供したり、メルマガを配信している場合には、それらウェブページやメールが「コンテンツ」なので、メールの書き方やウェブページの制作方法あるいはそれらの適切な広告について検討するのは「コンテンツ・マーケティング」と言ってよいでしょう。しかし、コンテンツ・マーケティングのコンサルティングや業務代行を提供すると称している企業の多くは、他業種の会社が自社のコンテンツである物品をオンラインで宣伝する広告手法や市場分析まで「コンテンツ・マーケティング」と呼んでいます。こうしたミスリードは、他業種の会社さんにとって本来のコンテンツを改善する動機付けを弱めてしまい、ネットで綺麗なデザインの派手なページや広告を作ったり、Google Analytics の使い方を覚えたらいいという間違った思考にゆがめてしまいます。このようなことは、本当はウェブコンテンツが本来の「コンテンツ」である企業にしか通用しない理屈であり、他の大多数の業種においては自分たちが作っている商品を改善する方が大切です。概して、「マーケティング」という言葉を殆ど広告宣伝と混同している企業人はたくさんいるわけですが、もともと「マーケティング」は商品開発から市場分析やロジスティクスにまで至るプロダクトマネジメント全体をカバーする言葉なので、一部の素養しかない人々や限られた経験しかない人々(特に IT ベンチャーや広告代理店)が自分たちの無能を隠蔽するために、わざと意味を狭くして使っていると見做した方が賢明です。

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook