ヤフーではさまざまなサービスを便利にご利用いただくために、ユーザーのみなさまにYahoo! JAPAN IDを取得し、ログインしていただくことを推奨しています。
ログインには、「パスワード入力」や「パスワードレス」などの方法がありますが、ヤフーでは過去、パスワード忘れによるパスワードの再設定が、毎日約2万件行われていたことがありました。パスワードを使ったログインは、
・同じパスワードを他のサービスでも使用していると、そのサービスからログイン情報を第三者に入手され、不正にログインされてしまうというセキュリティのリスク
・「複数サービスで異なるパスワードを設定し覚えておくことが大変」という使いやすさの課題
この2つの課題があります。
Yahoo! JAPAN IDでは、生体認証でのログインや登録されている携帯電話番号に確認コードを送信してログインいただくことが可能です。パスワードを使わないので、悪意を持った人の不正アクセスを防ぐことが可能になるとともに、パスワードを覚えておく必要もありません。
今回は、ヤフーがこの「パスワードを使わないログイン=パスワードレス」を推奨している理由、今後の展望などについて、IDの責任者に聞きました。
2009年入社。ID・セキュリティユニットマネージャー 。入社以来、ID関連のプロダクトに携わっている。
インターネットを悪用した不正ログインについて
パスワードを使ったログインは、ひとつのパスワードで使いまわしをしており、他のサイトなどからログイン情報を入手され、第三者に不正にログインされてしまうというセキュリティのリスクや、「複数サービスで異なるパスワードを設定し覚えておくことが大変」という使いやすさの課題があります。
ここ数年、特に、インターネット関係の犯罪や悪意を持った人による攻撃が増えています。総務省の調査結果によると、令和元年における不正アクセス行為の認知件数(※1)は2,960件で、前年と比較すると1,474件(約99.2%)増加しました。また、攻撃の手法も高度化し巧妙になっていると感じています。
インターネットの利用増加に伴って、攻撃を行う人も増えているという印象です。
ヤフーではこれまでも、不正なログインがあったらユーザーのみなさまにお伝えしたり、ログインを止めたりするなど、さまざまな攻撃への対策をしてきました。
そのひとつである「パスワードリスト型攻撃」は、攻撃を受ける側からすると、IDとパスワードを使って通常の手順と同様にログインされるので不正なログインなのかを判断しにくく、防ぎにくいという特徴があります。また、他社サービスから不正に入手されてしまったリストに書かれたIDとパスワードの組み合わせがヤフーで使われているものと同じであれば、ヤフーのサービスにもログインできてしまいます。
最近では、IDとパスワードを不正に入手した攻撃者が、国内のいろいろなサーバーを経由してアクセスしてくるため、特定がより困難になっています。
※1 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(PDF)
IDとパスワードの利用による潜在的な課題
IDとパスワードを使った認証には、以下の課題があります。
1)パスワードリスト攻撃(※2)にあうおそれがある(セキュリティ面の問題)
※2 パスワードリスト攻撃:
悪意を持った第三者が、何らかの手法であらかじめ入手してリスト化したID・パスワードを利用してウェブサイトなどにアクセスして利用者のアカウントで不正にログインする攻撃のこと。
2)パスワードを忘れたときにログインできなくなる(使い勝手面の問題)
「パスワードレス認証」を推進する理由
IDとパスワードの潜在的な課題への対応とパスワードリスト攻撃などに有効だと考えて私たちが推進しているのが「パスワードレス認証」です。
これは文字通り「パスワードがない」ということで、ウェブサービスを使用する際に求められるIDとパスワードというこれまでの組み合わせから、「パスワード」をなくすこと。これにより、根本的に攻撃の対象から外すことができます。
多くのサービスを利用していると、「パスワードを忘れてしまった」という経験をされた方もいらっしゃるのではないかと思います。パスワード忘れを防ぐため、複数のサービスで同じパスワードを使ってしまったり、覚えやすい簡単なパスワードにしてしまったりすることで、「弱い(攻撃されやすい)入り口」が開いている状態になってしまいます。パスワードを使わないことで「(パスワードの)使いまわしや弱いパスワードの利用を防ぐ=弱い入り口を閉める」ことができ、結果的にセキュリティを高めることにつながります。
ヤフーでは、「パスワードレス認証」にSMS認証と生体認証を採用しています。
SMS認証とは、ユーザーがウェブサイト上でIDや携帯電話番号を入力後、保有するスマートフォンなどのSMSに対して送られた番号を入力すればログインができるという仕組みのことです。SMSに対して送られた番号は有効期限が決まっており、また、1回のログイン時のみ有効なので、パスワードがもれることや他サービスでの使いまわしをなくすことができます。
パスワードレス認証は、パスワードを使わないことでセキュリティを高められ、さらに(パスワードを)覚えておく必要がないという、セキュリティ面、使い勝手面の2つのメリットを得られます。
パスワードレスを推進するまでは、毎日かなり多くのパスワード忘れのお問い合わせをいただいていましたが、最近では減ってきています。パスワードレスログインでは、ユーザーのみなさまの携帯電話番号をベースにしているため、パスワードを忘れないですみ、確実にログインし続けられるという安心を実感していただけると思います。
潜在的な脆弱(ぜいじゃく)性への対応、使いやすさへの取り組み
認証方法には他にも、2段階認証(記憶、所持、生体の内2つの認証を行う、パスワードとSMS認証の組み合わせで行うなど)があります。2つの要素を組み合わせるとセキュリティを高められるのですが、手順が多かったり、パスワードを覚えておく必要があったりしてなかなか普及しない、というのが実情です。
ヤフーでも二段階認証の仕組みを提供していますが、より多くのユーザーにセキュリティを高めていただきたいと考え、パスワードを使わないSMS認証を特に推奨しています。潜在的なセキュリティリスクに対しても常にアンテナを張り、悪意のある攻撃や想定されているリスクへのケアも継続的に行っています。
また、ユーザーのみなさまの使いやすさをより向上できる仕組みがあれば、それらも積極的に採用していきます。たとえばFIDO(※3)の規格を利用したログインもその一つです。
※3 FIDO:
Fast IDentity Onlineの略。パスワードに代わる新しい認証技術で、指紋などの大事な情報をサーバーに渡さない、生体認証などのさまざまな認証方法を使えるというメリットがある
また、Yahoo! JAPAN IDのログイン画面のバリエーションを作らないようにしています。いろいろなパターンがあると、「これもヤフーのログイン画面かもしれない」と思って利用してしまうかもしれません。1パターンのみにしておくことで、「(ログイン画面が)いつもと違う」と感じた際、それは怪しい、と判断していただきやすくなっています。
また、怪しいと感じたリンクはクリックしない、よく使うサイトはブックマークしておきそこからアクセスする、なども不正ログイン対策になりますので、ぜひ気をつけてみてください。
パスワードレスの推進は「ユーザーのみなさまを守るため」
ヤフーは2017年からパスワードレスを推進しています。パスワードレスを実行してくださっているアクティブユーザーは約2,700万。現在のアクティブユーザーが約5,100万ですので、半分以上のユーザーがパスワードレスで使ってくださっていることになります。
さらに多くの方にパスワードレスログインをご利用いただきたいと思っており、今年度中にはパスワードレスでご利用いただく方を3,000万以上に伸ばしたいと考えています。現在は、新規にYahoo! JAPAN IDを取得する際にはパスワードレスが前提となっています。また、パスワードを忘れてしまって再設定する際にも「パスワードレスの設定にしませんか」と提案させていただいています。
私たちは、ユーザーのみなさまの大切なデータをお預かりしています。データを用いることでより便利なサービスを提供するため、日々改善を行っていますが、その際にみなさまのデータが危険にさらされることは決してあってはならないと考えています。
ヤフーがパスワードレスを推進・普及することでみなさまのデータを守り、これまで以上に安心してヤフーのサービス、そしてインターネットを使っていただけるよう、これからも取り組んでいきます。
【関連リンク】
- パスワード無効化設定
- Yahoo! JAPAN IDガイド
- 「安全・安心・便利」FIDO(ファイド)を使ったパスワードレスログインとは(コーポレートブログ)
- 「スマホを落としただけなのに」スマホのセキュリティ対策(コーポレートブログ)