『良いデジタル化 悪いデジタル化』: 全文公開 第5章の5
『良いデジタル化 悪いデジタル化』(日本経済新聞出版)が2021年6月19日に刊行されました(日本経済新聞出版)。
これは、第5章の5の全文公開です。
5 集中型の本人確認には限度がある:分散型IDが必要
現金を金庫に入れ、抱えて寝るしかない?
2020年8月、銀行預金口座からドコモ口座などへの資金流出事件が起きた。また、SBI証券では、保有資産がインターネットを通じて盗まれる事件が発生した。これは、深刻な問題だ。ワンタイムパスワードなどのセキュリティー強化策が必要と言われるが、それで完全な安全性が確立できるわけではない。これは、金融機関などがIDを管理する方式が持つ本質的な欠陥だ。
これまで、「インターネットバンキングやスマートフォン決済は、どうも信用できないので使わない」と考えていた人も少なくないだろう。しかし、今回の事件で明らかになったのは、「インターネットバンキングやスマートフォン決済を利用していなくても、被害に遭う可能性がある」ということだ。
銀行口座を持っているだけで、潜在的には同様の被害に遭う危険があるのだ。日本の金融システムが不正行為に対してきわめて脆弱であることが暴露されたことになる。極端なことを言えば、いまの日本は、「現金を金庫に入れ、抱えて寝るしかない」ような状態なのだ。経済活動の最も基本的なインフラである金融システムがこのような状況では、まともな経済活動を期待することはできない。
口座番号とパスワードの組み合わせでは、なりすましを防げない
ドコモ事件には、問題が2つある。
① 本人でなければ引き出せないはずの銀行口座から、犯人が不正に預金を引き出した。
② 本人でなければ開設できないはずのドコモ口座を、犯人が不正に開設し、引き出した預金の受け皿にした。
いずれも、本人でなければできないはずの操作を、犯人が不正に行ったのだ。つまり、どちらも「なりすましが可能だった」ということだ。
「なりすまし」が可能であることは、インターネットが抱える最も深刻な問題だ。これを防ぐためにさまざまな措置がとられているのだが、それらの措置が突破されてしまったのだ。
今回の事件については、つぎのとおりだ。
⑴ 氏名、口座番号、パスワードが正しくないと、銀行口座からの引き出 しはできないようになっている。しかし、犯人は、この正しい組み合わせを見いだし、それを用いて預金を引き出した。
具体的には、フィッシング詐欺でパスワードを入手し、つぎに、このパスワードを固定して口座番号の総当たり攻撃をすることによって正しい組み合わせを見いだしたと考えられる(これは、「リバースブルートフォース攻撃」と呼ばれる手法だ)。
⑵ ドコモ口座の開設は、メールアドレスさえあればできるようになっていた。メールアドレスの取得は簡単にできるので、犯人は偽名の口座を開設したのだ。
今回の事件に関しては、ドコモ口座の開設手続きが甘すぎたことが批判されている。確かにそうだが、預金引き出しの際の本人チェックも、万全なものとは言えない。「口座番号とパスワードの組み合わせでは、なりすましを防げない」ということが明らかになったのだ。
なお、ゆうちょ銀行では、ドコモ口座以外に、PayPay などを通じても不正引き出しがあった。また、PayPay を通じては、ゆうちょ銀行以外からの不正引き出しもあった。
SBI証券では、顧客口座にあった金融資産が何者かに売却され、ゆうちょ銀行と三菱UFJ銀行に不正に開設した銀行口座に資金が移されていた。
「中央集権型ID」では、事故を根絶できない
今回の事件を受けて、金融システムのセキュリティーの強化が必要との認識が、急速に高まった。
そして、つぎのような方法によってセキュリティーを強めることが必要だと言われている。
⑴ 銀行口座からの引き出しについては、口座番号、パスワードのほかに、ワンタイムパスワードなどを導入する。これは、有効期限がきわめて短いパスワードだ。
⑵ ドコモ口座などの開設にあたっては、2段階認証の手続きを導入する。これは、開設者のスマートフォンにワンタイムパスワードを送信し、その入力を求めるものだ。
確かに、こうした手段によって、セキュリティーは、これまでよりは向上する。しかし、決して完全なものとは言えない。事実、ワンタイムパスワードを用いていたにもかかわらず、不正に預金を出金された例が報告されている。
生体認証を導入する動きもある。これは、顔情報などを登録しておき、操作者の映像が登録された写真と同一人物か否かを、AIの顔認識機能を用いてチェックしようというものだ。しかし、これも完璧なものとは言えない。
こうした方法は、結局は「いたちごっこ」であって、いずれ突破されてしまう可能性が高いのだ。犯人グループが国家レベルのプロ集団であれば、その危険はさらに高まる。
「安全確立はデジタル金融の大前提」だと指摘される。まったくそのとおりなのだが、IDを金融機関が管理する方式では、対策には限度があると考えざるを得ない。
「中央集権型ID」の問題点
では、完全に安全な金融システムの確立は、絶望的な課題なのか? そうではない。
以上でみたのは、「中央集権型ID」が持つ問題だからだ。これは、IDやパスワードなどを、金融機関などの中央集権型組織が管理する方式だ。
現在、インターネットでは、中央集権型IDが広く使われている。金融機関だけではない。メールサービス、SNSサービス、eコマースなどへのログインについても、IDとパスワードの組み合わせで本人を確認する方法がとられている。だからいま起きている問題は、「中央集権型組織が管理する方式では、なりすましは完全には防げない」ということなのだ。
なお、中央集権型のIDでは、利用者のプライバシーが侵されるという問題もある。これは、IDやパスワードなどを管理する中央集権型組織が、本人の知らないところで、利用履歴などのデータを利用するという問題だ。
実際、メールやSNSサービスを提供するプラットフォーム企業は、サービスの提供から得られるデータで「プロファイリング」を行い、それを用いてターゲティング広告を行っている。これは、これらのサービスを提供する企業(プラットフォーム企業)にとっての基本的なビジネスモデルになっている。
さらに、サービスごとに別々のIDとパスワードを用いなければならないので、その数が膨大なものとなってしまい、本人が管理しきれないという問題もある。IDやパスワードを忘れてしまうと、サービスにアクセスできなくなってしまう。
このように、中央集権型IDは、多くの問題を抱えている。そこで、「中央集権型ID」とはまったく違うアプローチである「分散型ID(DID)」という方式が提案されている。
これは、ブロックチェーンを用いるものだ。ここで、「ブロックチェーンに書き込んだ情報は、改竄することができない」という性質が用いられる(これは、「プルーフ・オブ・ワーク」という作業によって確保されている。なお、これとはやや異なる方式で改竄不能性を確保するブロックチェーンもある)。
分散型IDとは、本人である証明をブロックチェーンに記録し、本人が必要に応じて相手に見せる方式だ。銀行預金の不正引き出し事故が拡大している日本では、ぜひとも必要とされる技術だ。
分散型IDは、金融機関などにおける本人確認だけでなく、印鑑からの脱却にあたっても重要な役割を果たすものだ。その意味でも、現在の日本で必要な技術だ。また、これによって、サービスごとに違うID・パスワードを管理することの煩雑さからも解放される。
分散型IDについては、多くの研究が進んでいる。マイクロソフトは、ION(Identity Overlay Network)という仕組みを開発している。また、銀行口座開設における本人確認のほか、eコマース、ヘルスケア、保険など、さまざまな分野でブロックチェーンを用いるDIDのプロジェクトが立ち上がっている。世界経済フォーラム(WEF)は、DIDを使ったパスポートの電子化などのプロジェクトを進めている。
政府の「デジタル市場競争会議」は2020年6月16日に公表した中期展望レポートで、分散型IDに言及した(ただし、同レポートは、ブロックチェーンを用いないDIDもあるとしている)。レポートは、信頼を再構築した Trusted Web の実現を目指すとし、DIDはその中核技術になるだろうとしている。
この記事が気に入ったらサポートをしてみませんか?