「白鳥の湖」と「シンデレラ」の王子たちはここが違う　おとぎ話に見る多要素認証

「今ならサングラスが安い！」友達らしくない投稿には要注意

SNSを見ていたら、友達がサングラスやブーツを宣伝する投稿をしているのを見たことはありませんか？　あるいは滅多に連絡をとらない友人から突然なれなれしく「いまヒマ？」とメッセージが送られたことはありませんか？

これらはアカウントが乗っ取られた典型的なケースです。本人以外の誰かがその人としてログインに成功してしまい、その人になりすまして投稿やメッセージ発信を行います。誰かになりすますことは、誰かの信用を勝手に悪用するようなものです。

（ちなみにSNSでアカウント乗っ取りらしき投稿を見かけたら、SNS以外のルートで友達に教えてあげましょう）

悪意ある誰かが誰かを装い悪事を働かそうとする。そんな悪い試みは今に始まったことではありません。おとぎ話の世界でもあるのです。昔から人間関係による不正アクセスのようなトラブルはあったということですね。

「そっくりで間違えてしまいました」本人確認しなかったジークフリート王子

まずは本人確認を怠り失敗したケースから。

なりすましに気づかず、ひどい目にあったカップルがいます。それがバレエで有名な「白鳥の湖」です。現代なら、なりすましによる結婚詐欺と報じられるようなスキャンダルなのです。

昔々、ジークフリートという王子様がいました。次の舞踏会で花嫁候補を選ぶようにと命じられていたところ、美しい白鳥に出会いました。実はその白鳥はオデットという人間の女性で、悪魔の呪いで昼間は白鳥の姿に変えられていたのです。オデットにかけられた呪いを解くには、誰にも愛を誓ったことのない青年が彼女に愛を誓う必要がありました。ジークフリートは彼女に愛を誓おうと決意しました。

舞踏会になるとジークフリートはオデットのために「誰も選ばない」と宣言。ところが、会場にオデットそっくりで黒服に身を包んだオディールが登場します。実はこれは悪魔の罠。ジークフリートはまんまと騙され、人違いのオディールに愛を誓ってしまうのです。

この状況を現代のサイバーセキュリティにあてはめたら、悪魔が不正アクセスを試み、成功してしまったケースと言えるでしょう。

似ているだけで本人確認せず愛を誓ってしまうなんて、ジークフリート王子はちょっと軽率だったかもしれませんね。でもご安心ください。ジークフリートは後に悪魔を倒すことでオデットの呪いを解くことに成功し、二人が永遠の愛を誓うことで物語は終わります。ちなみにバレエ公演では、オデットとオディールは同じバレリーナが演じるのがお約束です。

「この靴がはけたら、あの日の彼女だ」靴で生体認証したシンデレラの王子様

逆に本人確認を徹底した王子様もいます。話を「シンデレラ」に移しましょう。

シンデレラは幼いころに母親を亡くし、父親の再婚相手となる継母や義理の姉たちから家事を押しつけられるなど、不公平な扱いをうけていました。舞踏会に参加できず悲しみに暮れていたところ、魔法使いが現れて舞踏会の支度を調えてくれたのです。それがカボチャの馬車にドレスにガラスの靴などです。

シンデレラが舞踏会に出席すると王子様はシンデレラのことを気に入りました。しかし王子様がシンデレラの名前を聞く前に魔法が解ける時間になり、シンデレラは慌てて退散しなくてはなりませんでした。シンデレラはせめて名前と連絡先をメモした名刺を持参するべきでしたね。

しかし幸いなことに舞踏会場にはシンデレラのガラスの靴が残っていました。どうして靴だけ魔法が解けなかったのかはさておき、この靴で王子様はシンデレラを探しました。シンデレラの姉たちなどが王子様に「あの日の私です！」となりすましを試みるも、王子様は靴がはけるかどうかできちんと本人確認をしました。そして無事にシンデレラとの再会を果たすことに成功します。

シンデレラに登場する王子様は靴のサイズや形状という本人を特定する生体情報で本人確認を実施し、見事に不正アクセスをブロックできました。

システムへのログインは基本認証から多要素認証へ

古今東西、なりすましの影には脅威が潜んでいます。おとぎ話の結婚詐欺だけではありません。現代なら、冒頭に紹介したように広告を装い、不正サイトへ誘導するなどの危険が潜んでいることもあります。

さらに深刻なケースもあります。企業に大きな損害をもたらすビジネスメール詐欺では、経営者になりすました第三者からのメールで詐欺が行われることがあります。

なりすましを防止するために重要となるのがログイン時の本人確認です。本人かどうかをきちんと見極めるということです。

かつてはユーザー名とパスワードを入力するだけでログインできるシステムが多数でした。こうした方法を「基本認証」と呼んでいます。

しかし近年では基本認証では不十分になってきました。パスワードを総当たりで試して探り当ててしまったり、フィッシング詐欺などでログイン時の情報が盗まれてしまい、第三者が不当にログインしてしまうことがあるからです。

そこで本人確認を確実にするために、本人しか持ちえない何かを組み合わせて第三者の不正アクセスを防ごうとしています。この「何か」というのはメールアドレスとパスワードといった情報ではなく、物理的な「何か」を用いるのがポイントです。

基本認証だけではなく、何かと組み合わせる本人確認を「多要素認証」と言います。

例えばSNSで多く見られるように、ログイン時にSMS（ショートメッセージサービス）で受信したパスコードを組み合わせることもあります。これは本人しか持ちえないはずの携帯電話を必要とします。

企業だとセキュリティキーが普及しつつあります。セキュリティキーとは暗証番号を意味する場合もありますが、多要素認証だとUSBインターフェースでパソコンに挿して使う物理的な鍵のようなものです。

いずれも本人しか持ち合わせることのない物理的な何かを組み合わせることで、不正アクセスを防ぐのです。

終わりに

今回はおとぎ話をたとえに、不正アクセスをいかに防ぐか、その対策の1つとして多要素認証をご紹介しました。ここに出てきた王子様たちは、サイバーセキュリティならサーバー側の立場になります。

一方、SNSやオンラインショッピングサイトを使う私たちはユーザー側です。不正な第三者にアカウントを乗っ取られないように、多要素認証を設定しておくべきでしょう。今では多くのSNSやオンラインショッピングサイトで、通常のIDとパスワードだけではなくSMS（ショートメッセージサービス）を使った多要素認証が設定できます。

これを機会に、普段使うサイトで多要素認証が可能かどうか確認し、可能なら設定しておくようにしてはいかがですか。