多要素認証の危険性について

こんばんは。松川です。そういえば、私一応ITエンジニアなんですよ。なので、今日はちょっと「多要素認証」「利用の危険性」「アンバランスなセキュリティ」等々について語ってみたいと思います。まぁ、色々あるのですが、なにかにメモにしつつ、ちょっとでもどなたかのお役に立てればと思いまして。たぶん、今後この手の問題はすごく増えると思います。（すでに色んな所で、大問題になっていると思う。

多要素認証、二要素認証とは

最近割と流行っているので、ご存知の方が多いと思いますが、イメージしやすいのは、どこかのサイトにログインするときに「ID」と「パスワード」の状態だと、認証の要素は１つなんですね。認証の要素を増やすことで、より安全性を高めるという考えです。ちょっと大雑把に言えば下記。

ID：ユーザを指定するもの（特定にはならない。←メールアドレスとか
パスワード：１つ目の認証の要素（つまり1つ目の鍵）
携帯電話など：２つ目の認証の要素（つまり2つ目の鍵）
静脈など：３つ目の認証の要素（つまり3つ目の鍵）

という感じで、異なる要素の認証(鍵)を使いしてあげて、認証の強度を上げるという考え方ですね。で、最近流行りなのが「携帯電話(スマートフォン)」の電話番号か、Duo、Google Authenticator などのアプリを使ったもの。

基本的には「多要素認証」とか「二要素認証」のほうが「安全ですよ」とほんの３日ぐらい前までは、心から信じていたので、そのように言っていましたが…。考え方を変える必要があると思いました。

どこのサービス(ベンダ)とはいいませんが。

世界中で、地球上で最も有名なサービスとだけは言わせていただきます。
基本的に、クラウド系のサービスを使う場合、圧倒的に「多要素認証」を推奨されますし、私もほんの数日前まではそのように主張していました。そりゃそうだ。私も盲信していましたよ。絶対に使うべきだと。試験でもそのようにでますからね（笑）。ちなみに、基本的にはクラウドサービスなんて、個人では使わないよと思うかもしれませんが、ちょっとした試験対策だったりそういったので、個人でも使うことはゼロではないと思います。実際、私もちょっとした勉強のために必要で使っていましたが…。

詳細は伏せますが、多要素認証で使っていた携帯電話のトラブルで使えなくなってしまいました。つまり2つ目の鍵が壊れたという状態ですね。そこで、私がベンダ(企業)に連絡をしたのは下記。

１）IDとして使っているメールアドレスを伝える
２）2つ目の鍵である携帯電話が使用不可であること（受信できない
３）従量課金なので、速やかにサービスを止めたい
４）クレジットカードの持ち主であることを伝える（明細の一部を送る
５）多要素認証を解除してほしい（そしたら、後は自分でなんとかするから。電話以外の要素についてつたえるから！住所とか！
６）もしも、５）に時間がかかるならば、サービスを停止してほしい。緊急停止を希望する。

これらのことをしてわかったことは
１）超絶たらい回し（絶対にたらい回し必須！！意味不明な「セキュリティ」を連呼して助けてくれない。セキュリティってそういう意味じゃないんですけどねぇ。まぁ、内部連携めんどくさいのでやりたくないのもわかりますが。自分と関係ないことはやりたくないですよね。うんうん。
２）使えなくなったと申告している電話に「何度も電話したのに繋がりませんでした」という意味不明な対応をする。自分たちが作った問い合わせフォームすらまともに確認をしていない。
３）絶対にサービスは停止してくれない（本人が死亡した場合であっても
４）多要素認証の解除には、解除要請の書類かつ「公証役場」での「公証」したもの＋「パスポート」などの写真付きの身分証明書が必要
５）４）のような結構な書類が必要なのに、これらの書類の提出は「メール平文」(アップロードサーバがない。私にとって、最も意味がわからないのがここ。なんでこういった情報をメールで添付してください。となるのかが意味不明。

( ＞дﾟ) 何言っているのかな？ゴシゴシ。
セキュリティってなんでしょうかねぇー。某企業様って、セキュリティ関連の製品ありますけどねぇ。

アップロードサーバぐらいご用意できると思うんですよねー。ただ、解約するだろうユーザの個人情報なんて漏洩しても気にナーイなんでしょうね。そうでなければ、パスポート等の個人情報を「メールで添付して送ってください(ハート)」なんてバカなことは言わないし、言えない。私は絶対に言わない。言ったこともないし、今後も言わないと思います。企業のセキュリティポリシーと実際の運用がちぐはぐすぎるのがよくわかる例です。ユーザではなくなるような人の個人情報なんて、どうでもいいのです。ただ、私は、まだユーザなんですけどねぇ。なんかいろんなセキュリティの認証取ってたとは思うんですけどね。そういうの全部無視なのかな？と思ってみたりです。はい。（あ、そういうのどこかに通報できないかな。

まったくもって、セキュリティとは何かを理解してなくて、企業が適当にユーザにごまかす(めんどくさいことは避けたい)ための理由に「セキュリティの観点より」と使っているだけであって「可用性」を全部無視したものは、セキュリティとは言いません。ついでに、自分たち(企業)にとって便利なためには「可用性」は使うくせに、本来お客様の重要な個人情報の「機密性」と「完全性」については、完全にスルー。セキュリティってなんでしょうかねぇーという話になります。企業名は出しませんが、世界中で最も有名なクラウドサービス企業様は、暗号化していないメール、メールの平文、もしくは、zip パスワードが未だに安全だと信じているようです。だけど「セキュリティのため、本人確認はー」を連呼します。セキュリティポリシー見直したほうがいいですよ。と、心の底から思います。

こんな残念思想の人達が作ったサービスを使う上で、多要素認証を使えと言っているのです。心の底から、こういうサービスでは、使ってはダメだなと思いました。理由は単純で、緊急時に止める方法とその必要性を理解できないから。もっと言うと、正直言って、踏み台にされたほうが、多分まだマシだから。（踏み台にされる確率の方が、まだ低いだろうに。一方で、普段使っている携帯電話が盗難、紛失、破損する可能性のほうがずっと高いと思う。日々そこらじゅうで携帯電話の忘れ物があるというのいに…。

ポリシーを策定した人達が、どういう情報が、どうつながっているのか？どどう処理されているのか？どう操作されているのか？を、きちんと理解できているとは思えないし、末端のオペレーターには理解させなくていいと考えているから。つまり、思考停止の企業と言えますね。（そうでなければ、メールに個人情報を添付しろとはいわない。

死んでもサービスは止めてくれない！

文字通り、ユーザが死亡してもサービスは止めてくれません。クレジットカードの支払い主が死んでもサービスは止めてくれません。遺族はたまったもんじゃありません。どんなにクレジットカードの支払い持ち主であることがわかっても。絶対に止めません！！（クレジットカードの「クレジット」の意味を考えつつ、どういう状況(情報をもとに)でカードが作成されたか理解できるはずなのに、そういったこと理解できない方々のようです。情報の繋がりが理解できないようです。

ご家族に、そこそこITに対して詳しい方がいなければ、まず、まともな問い合わせすらできません。そして、言っている意味もわからないと思うのです（多要素認証ってなに？デバイスってなんぞ？という状態でしょうから）。この状況で緊急停止ができない。（もちろん、サービスを緊急停止するということの波及効果も理解できますが）一方で、ずっとログインの形跡のないアカウントから「サービス止めたいです」と連絡が来ても「ダメです」の一点張り。クレジットカードの持ち主から「サービス止めろ」と言っても「ダメです」なのが、どうしても納得できないのです。当該アカウントで使っているクレジットカードの番号と、そのカードの持ち主が一致しいて、さらにもう１つの身分証明ができるようなもの(写真付きのほうがいいでしょうから、パスポートとか)があれば、まずは緊急停止できてもいいと思うんですよね。お金むしり取りたいのかな？ｗ。少額だったとしても、世界中にこういうユーザがそこそこいれば、それなりの収入になりますからねぇ。

しかし、絶対に停止はしない。

そういえば、昔どっかの電話会社がありましたよね。契約者が死亡してても解約できないとか、死亡したときの重要な書類の原本じゃないと解約させないとか意味不明なこと言っていたの。それに近いんじゃないのかなーと思います。

ルールも大切なのですが、「困っている」人を放置するルールは、基本的に良いルールとは言えず、まして、頭使ったサービスとは言えません。

もはや「サービスなんて絶対に停止させてやるもんか」という強い意思を感じます。ええ。

残念だけど「多要素認証」は使うべきではない。

ベンダがまったくもって融通がきかない場合「多要素認証」は使うのはかなりリスキーです。机上の空論で言えば「多要素認証を使え」なのですが、現実問題と照らし合わせると、かなりリスキーな選択肢でもあると言えます。

一方で、いざってときにベンダが協力的であり、常識的かつ最低限の「セキュリティ」が理解ができるならば(パスポートの情報をメールに添付しろというバカなことを言わないとか)、「多要素認証」は使う方が安全でしょう。つまり、相手(企業)選んで、セキュリティのバランスを見て使えということですね。残念ですが、地球上で最も有名なクラウドサービス企業では、多要素認証を使うのはハイリスクと言えます。そうではないベンダ(企業)が存在していることを、心より願います。（人として、まともなとこないのかねぇー。

ユーザが死亡したとき、サービスを止めてもらえるか？

家族が連絡して、ユーザが死亡、もしくはユーザに支払い能力がないとき(重症で意識がないなど)、緊急停止をしてくれるか否か？今回、私が困ったなぁー状態になったサービス(ベンダ)は「絶対に止めません」。という強烈な信念をお持ちのようです。正直、ユーザが死亡して、関係者がサービス停止を懇願しているにも関わらず、緊急停止ができないようなサービスは使わないほうがいいです。ただし、どうしても使う必要があるならば…。多要素認証は使わない。なぜなら、多要素認証を解除するための書類提出の内容が「異常的な行為」「常軌を逸している」としか言えないから。（つまり、常識的なものであればいいと思います。

多要素認証を解除するためには、何が必要か？（何度も書いてあれですが。

多要素認証の解除には、解除要請の書類かつ「公証役場」での「公証」したもの＋「パスポート」などの写真付きの身分証明書

こんなの緊急停止が必要だったり、非常時に対応できます？パスポートは理解できます。例えばですが、マイナンバーカード、クレジットカード、このあたりは十分理解できる情報です。ただし「公証役場」での「公証」した書類。これは too much だと思うのです。つまり、アンバランス。セキュリティは「バランス」が重要。

何度いいますが、ベンダ(企業)は、これほどの個人情報をメールで添付しろ！と言っているのです。意味がわかりません。こういう意味不明なことを顧客に言いつつ、顧客から突っ込まれると「セキュリティのため」と、セキュリティを何でも自分たちの都合よく捻じ曲げるような企業のサービスを使わざるを得ないとき、多要素認証を使うのは、かなりリスクだということが、本記事をお読みの方に、正しく伝わると嬉しいです。

正直、普通の人は、こんな状態が発生したら、意味がわからなくて、何もできないと思うんですよね。（だって、英語でMFAの停止について書いてあるんですけど、意味わかります？）仕事でだいぶその手の単語を見慣れた人だって、プライベートの時間にこんなのみたら「うげぇ」となりますよ。ついでに、多要素認証を止めるための書類の必須項目を見ましたが、間違いなく普通の人(ご家族とか)は、何言ってんのか意味不明だと思います。それなのに「絶対に緊急停止はしてくれない」。

書類作成の費用は？

・多要素認証の解除には、解除要請の書類かつ「公証役場」での「公証」したもの
これいくらかかると思います？１万円以上かかります(現在対応中なので、詳細わかったらまた note に書きます)。当然ですが「公証役場」に行く必要もあるので、費用だけではなく時間もかかります。

IT・クラウド終活が重要。

今私が言えることは、IT・クラウド終活をすること。たしか、結構昔ですが「ハラキリ」とかいうツールありましたが、簡単に言えば、基本的に有料のサービスは本当に切ったほうがいい。しかも、元気なうちに解約をして、半年ぐらいは状況を確認しないと、ちゃんとアカウント停止できたかも怪しいです。よって、これ１年ぐらいのプロジェクトに近いです。

なお、クレジットカードの情報を外して解約できないものもあるので、解約したと思っても、数ヶ月は様子見が必要。せめてクレジットカードの情報は外したいのですが、どうやら、自称高セキュリティな企業様は、どうしてもやめた後のユーザのクレジットカードの情報を保持していたいようです。言っていることとやっていることがめっちゃくちゃなの、本人たちは全く持って理解できてないいようですが。

月並みですが、クラウドサービスは基本使わないほうがいいです。あとは、従量課金、定額料金問わずに、基本的に利用サービスはおそらく片手で済む程度、サービス提供者の窓口が明確でないものについては、パスワードを強固なものにしておいて(こういうところに限って特殊記号がダメなアホな作りな所ありますが)、多要素認証は可能な限り使わない。使う場合には、複数のデバイスを登録しておくこと。もしくは、複数の方法を登録しておくこと。一方で、複数のデバイス登録ができない等の場合は、本当に多要素認証は使わないほうがいいです。多要素認証をご利用の場合は、本当にご注意ください。

解約するのもパワーいるんだよねぇ。

結局、紙と鉛筆でいいんだよ。それか、昔ながらのトークンが最強。