第2話: 本人確認はID + パスワードだけで
安心か?

たとえば、あなたはインターネットで手軽に買い物ができるショッピングサイトを運営しているとします。ショッピングサイトは会員制で、会員はIDとパスワードで本人確認を行うと買い物ができます。

さて、あなたはIDとパスワードだけで会員が本当に「本人である」と確信できますか?

ハッカーはIDやパスワードを狙っている!

もし、会員の方が決めたパスワードが単純でわかりやすいものだったらどうでしょう?何らかの方法でIDを入手したハッカーがパスワードを類推したらどうでしょうか?

あるいは、会員のパソコンにスパイウェアが忍び込んでいるかもしれません。そのスパイウェアが会員のキーボード入力をハッカーあ てに送信してしまうものだったら?

ひょっとしたら、ハッカーはあなたのショッピングサイトにそっくりにできたニセのサイトを作るかもしれません。ハッカーが会員にニセのサイトに来てもらうような電子メールを送っていたら・・・。

IDとパスワードを入手したハッカーは、正々堂々とあなたのショッピングサイトで買い物し、高額な商品を受け取ることができるでしょう。

PKI Beginner's Guide

確かにハッカーがIDとパスワードを入手するのは簡単なことではないかもしれません。しかし、考えてみてください。ほんの数年前に比べて、ショッピングサイトの利用者は急増しています。

ハッカーはあなたのショッピングサイトの1 人分だけでも会員IDとパスワードを盗んでしまえば、さも正当な会員であるかのように、 買い物ができてしまうのです。

また、IDやパスワードの流出は、実際に被害として認識されるまで誰にも気づかれないことがほとんどです。そして、気づいたときには、計り知れない被害になっていることも珍しくありません。

インターネットの世界にも本人確認ができる証明書がある

ここで一度インターネットの世界を離れて、現実の世界を見てみましょう。

私たちがスポーツクラブの会員になるときや、携帯電話を契約するときには本人確認ができる証明書の提示を求められます。証明書を提示することで「私は本当に○○という名前で××に住んでいますよ」、ということを証明できるからです。

PKI Beginner's Guide

実はインターネットの世界にも本人確認ができる証明書があるのです。この証明書を利用すれば、IDとパスワードだけよりもずっと安全性が高まります。

インターネットは電子的な情報が行き交う世界です。だから証明書も「電子証明書」になります。

現実の世界に、パスポートや運転免許証など用途に応じて様々な証明書があるように、電子証明書も、個人を証明するものや企業や団体を証明するものなど、様々な種類があります。

電子証明書の例

電子証明書には証明書の所有者のほか、発行者や期限なども記載されています。電子証明書は暗号技術に基づいて作られているので、偽造するのがたいへん困難で、事実上不可能です。これらの点は現実の世界の証明書にも似ていますね。

あなたのショッピングサイトでは会員に電子証明書を発行するようにしておけば、万一ハッカーにIDとパスワードが盗まれても、被害を食い止めることができます。

第2話 まとめ

ID とパスワードは流出してしまうと、被害として認識されるまで、誰にも気づかれないことがほとんどです。インターネットで安全に本人確認を行うには、ID とパスワードに加えて、電子証明書を使うことが有効です。電子証明書は暗号技術に基づいて作られているので、偽造することが非常に困難だからです。