警察庁のHPからネット犯罪の実態を見る
警察庁サイバー犯罪対策ページに平成18年度上半期の不正アクセス行為の発生状況が掲載されています。
平成18年上半期の不正アクセス行為の認知件数は383件で、不正アクセス禁止法違反の検挙件数は265件です。注目すべきは不正アクセスの手口です。
実は、セキュリティ・ホールを突いた件数は0で、総てはID/パスワードを盗んだものです。盗みの手口をみると、利用権者のパスワードの設定・管理の甘さにつけ込んだものが115件、識別符号を知り得る立場にあった元従業員や知人等によるものが35件、フィッシングサイトにより入手したものが102件などです。
各金融機関、ネットショッピング・オークションサイトや各企業は、不正アクセス、不正送金、情報漏洩にそなえ、数々のセキュリティ対策を施し、莫大なコストをかけています。
ところが、どんなにコストをかけても、簡単に正規のユーザになりすまされては不正を防ぎようがありません。
本人認証に、従来の固定のID/パスワードだけでは非常に危険で、二要素認証の必要性が叫ばれています。要素とは、本人の記憶、本人の所有、本人の特徴の三つであり、その内から少なくても二つの要素を組み合わせたものを二要素認証といいます。
ID/パスワードは本人の記憶であり、指紋などは本人の特徴です。トークンなどのワンタイムパスワード生成器は本人の所有です。
なりすまし防止対策の問題点はコストです。総ての顧客、従業員に指紋認証装置やトークンなどの専用デバイスを配布するには膨大なコストがかかります。
そこで目をつけたのが携帯電話とそのメール機能です。今ではほとんどの人が携帯電話を持ち歩いていますので新たなデバイスを必要としません。又、携帯メールは本人の携帯電話でしか受け取ることができないという一意性があります。
ID/パスワードと、携帯メールで取得したワンタイムパスワードを組み合わせたMITS OTPは、低いコストでなりすましを完全に防止することができます。