パスワードではなく端末情報でアカウントを管理する「Project Verify」の問題をEFFが指摘

by TheDigitalArtist

アメリカの大手通信事業者4社が、パスワードではなく「電話番号」「IPアドレス」「SIMカード情報」といった端末情報でアカウントを管理するサービスを発表しました。この「Project Verify」は「バッドアイデア」であるとして電子フロンティア財団(EFF)が問題点を指摘しています。

The Devil Is in The Details Of Project Verify’s Goal To Eliminate Passwords | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2018/10/project-verify

アメリカの大手通信事業者であるAT＆T、Sprint、T-Mobile、Verizonの4社が「Project Verify」と呼ばれるプロジェクトに加盟したことが大きく報じられました。Project Verifyは、ユーザーがアプリやサービスを行う際の「パスワード」を排除するもので、パスワードの代わりに電話番号やSIMカードの情報、IPアドレスなどのほか、SMSやセキュリーティトークンを利用して認証を行うようにします。

Project Verifyの詳細は以下のムービーから見ることができます。

Introducing Project Verify - YouTube


現代のスマートフォンユーザーは平均92個のパスワードを持っており、全てを頭に入れるのは難しいもの。また、ユーザーはさまざまなウェブサービスやアプリのセキュリティを信頼しなければならないにも関わらず、データ流出の81％は「パスワードの盗難」によって起こっているのも事実。

そこで、「パスワードが引き起こす問題」の解決方法の1つとして生み出されたのがProject Verify。

Project Verifyは電話番号・IPアドレス・SIMカード情報、携帯電話のアカウントタイプ・アカウントの保有期間といった複数の要素によって構成される「マルチファクターID」によって認証を行うもの。

使い方は簡単。まずはProject Verifyをダウンロード。

Project Verifyが使えるようになった状態で、写真編集アプリを起動すると……

以下のように、アカウント・パスワードを入力するボックスの下に、「Project Verify」と書かれたボタンが表示されます。

アカウントやパスワードを入力せず、このボタンを押すだけで……

ログイン完了。

Project Verifyは多要素認証なのでセキュリティ面の安全性が高いのがポイント。

認証コードを指定のメールアドレスに送信する場面でも……

Project Verifyなら手間を省いてボタン1つで認証が可能になります。

また、Project Verifyはユーザーにコントロール権があり、Project Verifyを使いたいアプリと使いたくないアプリを各自設定することが可能。「シンプル」で「安全」、そして「コントロールできる」という3点がProject Verifyの特徴となっています。

ムービーにあるように、パスワードからアカウント情報が流出することは多く、EFFはパスワードマネージャーで強いパスワードを生成して管理することを推奨しています。近年はシングルサインオン(SSO)という方法を提供するサービスも多く、「Facebookアカウントでログイン」「Googleアカウントでログイン」というボタンを見た人もいるはず。このSSOシステムが落とし穴となって情報が流出する可能性もありますが、基本的にはSSOはセキュリティリスクが減るものと考えられています。

Project Verifyは、「一度1つのサービスでアカウント登録を行うと、他のサービスでも登録したアカウントやパスワードが使える」という点で、SSOと同じもののように見えます。しかし、Project Verifyが行う多要素認証のうち、「電話番号」と「IPアドレス」の2つを用いるという点について、EFFは懸念しているとのこと。

近年、アカウントと電話番号を結びつけることによって、問題が発生する傾向が高くなっています。詐欺の方法の1つで、攻撃者がプロバイダーに対してターゲットの電話番号と名前を告げ、「電話を紛失した」「SIMをなくした」という理由で、端末をリセットすることも増えています。このとき、プロバイダーが新しいSIMカードを攻撃者に与え、ターゲットのSIMカードを無効にすれば、攻撃者はSMSベースの多要素認証を使うなどしてアカウントを引き継ぐことが可能になるとのこと。

このほか、電話番号を使った認証は、単純に電話をなくした時、あるいは従業員が仕事でアプリを使用していたときなどにも問題が発生する可能性があります。電話番号が流出してしまうと詐欺・嫌がらせ・さらなるハッキングの可能性も生じます。

by geralt

また、IPアドレスが認証に用いられると、VPNやTorを使っていても通信事業者やウェブサイトの運営者に対してIPアドレスを公開することになります。Project Verifyが機能するためには、ユーザーがVPN、Tor、ローカルWi-Fiネットワークのうちどれを使っていても、アプリやウェブサイトへのログインに際して通信事業者が関係することになります。通信事業者4社を初めとするISPはユーザーデータを追跡・販売しているため、ユーザーがネットワークにログイン、あるいはネットワークからログオフした情報を筒抜けにしてしまうことは危険であるとEFFは述べました。

さらに、Project Verifyは「プラットフォームは消費者が同意した時にのみデータを共有します」としていますが、この「同意」がどのような形で求められてるかは定かではありません。

「Verify(確かめる)」という言葉が使われているにも関わらず、Project Verifyの詳細は、記事作成時点では多くの点が確認できないとのこと。「パスワードよりも安全で使いやすい認証方法」を求めること自体は価値のあるものです。ただし、Project Verifyに加盟する通信事業者はSIMスワップなどハッキング被害の責任がある企業だという点は見逃すべきではありません。過去にプライバシーに関して多くの失敗を重ねてきた通信事業者にこのような身元認証のゲートキーパーを任せることは、「歴史が示唆する内容から言えば、バッドアイデアだ」とEFFは述べました。