※本ページはアフィリエイト広告を利用したプロモーションが含まれています。詳しくは利用規約をご覧ください。
2019年7月1日にスタートした、セブンイレブンのバーコード決済「7pay」だけど、たった4日で不正利用が多発したよね。会見の時に注目された「二段階認証」ってどんなものなの?
電子マネーを使ったり、サイトにログインしたりするときパスワードが必要なのは知っているよね。「二段階認証」はパスワードに加えて、もう一つの認証手続きを必要とするシステムのことだよ。
文字列のパスワードは乗っ取られやすい
電子マネーを使うときは、多くの場合電子マネーの所有者を特定するためのパスワードが必要になります(※使い捨てタイプの電子マネーは別)。
クレジットカードやネット銀行から電子マネーをチャージする、電子マネーの履歴を見る際などにパスワードは欠かせない存在です。
・PCやスマホに侵入して情報を抜き取るコンピューターウィルス
パスワードはアプリやインターネットサイトで自分の好きな文字列を設定することができます。そのため、「自分しか知らない情報」のはずですが、
・偽のウェブサイトを表示してパスワードを盗み取るフィッシング詐欺
・あなたの誕生日や電話番号などの組み合わせからの憶測
・サイトへのハッキング
などの手段で犯罪者にばれてしまうこともあります。
電子マネーにはチャージのための銀行情報やクレジットカード情報が登録されています。犯罪者にパスワードを盗まれるということは、これらの金融情報を好き放題にされるのと同じことなのです。
新しいパスワードを設定するのが面倒・覚えにくいという理由で同じパスワードを使いまわしていたりすると…
漏れた1つのパスワードで、あなたの使っているほとんどのサービスを乗っ取られてしまうこともあり注意が必要です。
ただしどんなに長くてたくさんのパスワードを使い分けていたとしても、文字情報のパスワードは1度漏れてしまえばどこの誰でも使えるという面で、セキュリティ上どうしても不安が残ります。
そんなパスワードの欠点を補うのが二段階認証のシステムなのです。
二段階認証は「鍵が2つ」ある状態
二段階認証のシステムでは、パスワードを入力した後にもう一度「本当に本人か?」を確認するための承認手続きが必要になります。
つまり、パスワード+もう一つの手続きで、計2通りの鍵がかかっている状態だということです。
これなら、仮にパスワードが漏れたとしても、もう一つの鍵で不正アクセスを防ぐことができます。
二段階認証のシステムは、電子マネーのみならず、googleアカウントの管理や、各種館員サービスの本人確認など幅広く使われているセキュリティシステムです。
もう一つの承認手続きって具体的にどんなことをするの?
承認手続きには電子マネーやWEBサービスの種類によっていくつかの方法があるよ。メジャーな物を紹介するね。
もう一つの鍵の種類
携帯電話に確認用のSMSメールが送られてくるもの
パスワードを使ってチャージなどの重要な手続きを行おうとすると、会員登録時に届け出た携帯電話番号にSMSメールが送られてきます。メールの中に記載された数桁の数字(セキュリティコード)を電子マネーアプリに入力したり、SMSメール内のURLをクリックすることで「電子マネーの所有者がアクセスを許可した」ことを確認するシステムです。
携帯電話という物理的な「個人の持ち物」を使うので、パスワード以上に強力な安全性が確保されます。
また送られてくるセキュリティコードは「ワンタイムパスワード」という「数分で使えなくなるパスワード」を使っている場合が多いです。メールの中に「有効期限が〇分」などの記載があるはずですので、有効期限内に使うようにしましょう。
模試期限が切れてしまった場合は、再度セキュリティコード配信手続きを行い、新しい「ワンタイムパスワード」を送ってもらうことになります。
よくアクセスする端末(自宅のパソコンなど)を安全な端末として登録すれば、2段階認証を省くことができる場合もあるよ。ただし不特定多数が使う仕事場のパソコンなどは危険だから、登録しないようにしようね。
携帯電話に電話がかかってくる
携帯電話に自動音声で電話がかかってくるという確認方法が取られる場合もあります。自動音声で聞き取った数字をアプリやWEBページのフォームに入力して認証手続きを行います。
SMSメールを利用できない人はこちらの方法の方が都合がよいでしょう。
Eメールにセキュリティコードが送られる
登録されたEメールアドレス宛にセキュリティコードを含んだメールが配信されます。
設定済み端末に許可を求める通知が
最初に安全な端末として自分のスマホで2段階認証を設定します。他のスマホからパスワードが入力されると「ログインしてもよいか」という通知が設定済みスマホに表示されます。
設定済みスマホで「OK」を選択し、パスワードを入力することで、ログインが可能になります。
こちらも電話番号を使った認証と同じく、手元にある自分のスマホがパスワードに続く2番目の鍵となります。
でもいちいち2段階認証するのって、面倒じゃない?電子マネーで支払いをするときも必要なの?
確かに面倒さはあるけど、セキュリティはその分強固になるよね。電子マネーの種類によっては支払いの際には必要がない場合もあるよ。
PayPayとLINEPayは2段階認証に対応している?
問題を起こした7Payと同じく、バーコード・QRコード決済(スマホ決済)型の電子マネーPayPayとLINEPayは2段階認証に対応しているのでしょうか?
PayPay
PayPayに異なる端末からアクセスがあった場合は、SMSで本人かどうか確認の通知が送信される仕組み、2段階認証が導入されています。
パスワードを複数回間違えた場合も不正ログインの可能性があるとして、登録済み電話番号にSMSの配信が行われます。
内容は以下のようなものです。
[PayPay]複数回ログインに失敗しました。お心当たりがない場合はPayPayのヘルプページをご確認のうえ、お問い合わせください。
https://paypay.ne.jp/help/c0024/ 「PayPayよくある質問 より引用」
LINE Pay
LINE PayはもともとLINEアカウントに紐ついており、LINEアカウントは1つのスマホに固定されています。LINEにはログアウトという観念がないのでまず別のスマホ端末からログインしてLINE Payを使うという場面がほとんど想定だれません。
パソコンからLINE Payを使うこともできますが、スマホアプリLINEでの認証操作が必要になってきます。(パソコンでのLINE Pay支払いの仕方:https://www.econtext.jp/support/wallet/linepay-pc.html)
問題はLINEアカウント自体が乗っ取られてしまう場合です。ただしLINE Payのアカウント引継ぎ手続きの際には元のスマホでの操作が必須になりますので、セキュリティは強固だといえるでしょう。
まずLINE Payを別のスマホからLINEアカウントにアクセスし、データーを引き継ぐためには元のスマホで「引継ぎの許可」設定をONにする必要があります。(しかも設定は36時間以内に自動キャンセルされるようになっています)。
さらにアカウントを引き継ぐ際は登録した電話番号に送られてくるSMS上に記載された認証番号を入力しなければなりません。
元のスマホで引継ぎ操作が行われないと、友達履歴などLINEサービス全般が消去されてしまうという仕様になっています。
別の端末でLINE Payにアクセスするためには元のスマホでの設定が必須になるというわけです。
参考URL https://jp.techcrunch.com/2019/07/05/7pay-unauthorized-access/
