近年、ウェブサービスからの情報漏えいが増加するなか、インターネット・バンキングや電子商取引サイト等のサービスにおいてパスワード(以下、「PW」と呼ぶ)を使い回しているユーザを対象とした不正ログイン(パスワードリスト攻撃)が急増している。同攻撃の原因の1つとしてPWの使い回しが挙げられるが、利用するサービス毎に異なるパスワードを設定すると忘失すると考えるユーザが、やむを得ず行っている場合が多いと考えられる。PWの使い回しを前提とすれば、PWのほかに所持物による確認等を併用する「2要素認証」が同攻撃への対策となるが、時間やコスト等の問題からすべてのサービスが同対策を直ぐに導入できるとは限らない。このほか、ユーザが記憶すべきPWの数を減らすことでPWの使い回しを回避するという対策もある。1つは、1回のユーザ認証で複数サービスへのログインを可能とする「シングルサインオン」であるが、同技術には、不正ログイン発生時の責任の所在が複雑になることを許容できるか、といったビジネス上の問題があり、すべてのサービスで利用できるとは限らない。もう1つは、各サービスのPWを1つのマスターPWで管理する「パスワード管理技術」である。同技術は、サービス側のシステム改修が不要であるほか、製品も多数存在する。しかし、いくつかの製品に欠陥があることが指摘されている等、同技術に求められる安全性について議論を深めることが不可欠である。そこで、本稿では、同技術の安全性要件や安全性の高い実現方法を示す。
キーワード:パスワードリスト攻撃、パスワード管理技術、2要素認証、パスワード使い回し、情報漏えい、なりすまし、認証
掲載論文等の内容や意見は、執筆者個人に属し、日本銀行あるいは金融研究所の公式見解を示すものではありません。