ログイン認証セキュリティについて考える話

Pocket
LINEで送る
GREE にシェア
LinkedIn にシェア

普段はAmazonでしか買い物をしないんですが、ある商品を購入するためにビックカメラの通販サイトに行って、ログインをした時に用意されていたログイン認証用の独自セキュリティシステムに対して、少し違和感を覚えたので、技術検討してみたいと思います。
 

https://www.biccamera.com/
 

ビックカメラの画像認識システムは穴だらけという件

アカウントの新規登録が完了しているユーザーは、ページ上部にある「ログインする」というページを押すとアカウントログインページへ遷移します。
 


 

問題の認証システムは、「会員ID」と「パスワード」を入力して一度「ログインする」ボタンを押した後で下部に表示されます。
 


 

ビックカメラのロゴマークが表示されている画像をクリックすると、画像の色が反転するという仕様で、マーク画像のみをクリックして見た目を判別させるというセキュリティです。
 


 

ちなみに、上記画像の右側が通常状態で、左側がクリックして色が反転された状態なのだそうですが、色が反転されるのではなく、画像が薄くなるという状態ですね。
 

個人的にはこの意味を理解するのに少し時間を要してしまいました。 
おそらく、ITリテラシの低い人などは、この時点でログインできないでしょうね。
 

さらに、この認証は「画像認証」と言われて、ロボットアクセスなどを排除する為に設置しているのだと考えられるのですが、クローリングシステムを構築する際にこのやり方だと簡単に突破できてしまいます。
 

ソースコードを見ると明確なんですが、IMGタグのsrc内で画像の有る無しが判別できているので、非常に簡単にクロールできてしまいます。
 

一体どういう理由でこの機能を付けているのかいささか不明というところでしょうか?
 

これならGoogleの提供している「reCapture」を使ったほうがよほどいいかもしれませんね。
 

https://www.google.com/recaptcha/intro/v3.html
 

このシステムは色々なサイトで利用されているので、目にしたことがある人も多いのではないでしょうか?
 

無料で使えるこのシステムをGoogleが画像認識の機械学習として二次利用しているという噂もありますが、そんな事は気にしなくてもいいと思います。
 

ビックカメラもこうしたシステムを真似して付けている機能なのかもしれませんが、穴だらけのセキュリティはもはや付けないほうがよほどいいとも考えられますね。

認証セキュリティは何故必須なのか?

こうした認証セキュリティってどうしてサイトに導入する必要があるのでしょうか?
 

これはニュースでもよく耳にする「個人情報漏洩」事件と非常に密接な関係が有ることをご存知でしょうか?
 

インターネットは、環境さえあれば誰でもどこでもアクセスできるという利便性がある反面、善意と悪意の判別が難しい状態になっています。
 

個人情報が漏洩した先には、その個人情報を高額な金額で購入している組織があり、高額で購入された個人情報は色々なサイトで同じパスワードでログインできてしまわないかを自動的にチェックするような仕組みになっているんですね。
 

この時に利用するのが、ボットと言われる、クローリングと似ている仕組みで、個人情報リストに載っているメールアドレスとパスワードに全てアクセスして、ログインが成功するかしないかというフラグを付けていきます。
 

ここでログインが成功するということは、他のサイトでもログインが成功する可能性も高いと考えられ、同じパスワードを使いまわしているログインサイトは軒並み乗っ取られてしまうという事になります。
 

個人情報が漏洩してサイトでログイン認証されて、個人情報に白黒情報をつけるという事は、その個人情報の価値をさらに挙げてしまうという事になり、その責任はログインシステムを提供しているサイト運営側にあるとも考えられるため、ログイン機能を設けているサイトはこうした認証セキュリティをつけるという事なんですね。
 

色々な認証セキュリティ

文字認証


 

画像の中に書かれている文字を読み取ってテキストエリアに入力する方法です。
文字を崩して機械に認識されることを防止するやり方ですが、文字が読みにくいという苦情もまあまあ多いようですね。
 

画像認証


 

分割された画像を指定の箇所のパネルを選択する方式です。
色々な画像パターンがありますが、面倒くささが上回り、ログイン画面の離脱にもなっている事もあるようですね。
 

パズル認証


 

クレディセゾンのログイン画面で使われているパズル認証というシステムです。
 

非常にわかりやすいシステムですが、capyという会社で特許を取得しているようです。
Googleではないんですね。
 

今後の認証セキュリティを考える

認証セキュリティも今現在もどんどん発達しています。
 

iPhoneの「指紋認証」や「顔認証」などは、利用しているユーザーも多いと思いますが、目ん玉の「虹彩認証」、指の血管を使った「静脈認証」などは、サーバーセンターなどの高度なセキュリティ対策として使われているようです。
 

こうしたリアル認証と言われる分野も日々進歩していますが、利用ユーザーの最も多いWEBシステムにおける認証セキュリティが今最も求められていると考えられます。
 

capyのパズル認証は簡単でわかりやすいのに何故、世の中に沢山普及していないのかと言うと、Googleと違って利用料がかかるからなのですね。
 

特定の企業だけしか使えないサービスになっているのが残念です。
 

どうやらcapy社の内部事情にも色々な問題があるようですけどね・・・orz
 

そして今後もっと便利でわかりやすく、WEBサイトでも導入しやすいセキュリティが現れたらGoogleのモノを簡単に入れ替えることも可能になるでしょうね。
 

このポイントを踏まえてシステムを構築してみてもいいかもしれません。
 

なんなら特許を取ることもできるでしょうし、ガジェット形式で簡単導入できる仕組みを作って、世の中の認証システムを書き換えることができたら、そこのログデータから得られる情報でさらなるビジネスが生み出される可能性も非常に大きく感じますね。
 

ビックカメラのシステム担当の方がこの記事を見ていたら、是非とも壁打ちで意見を差し上げたいと考えている今日このごろです・・・

Leave a Reply

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です