トークンという認証小物がやってきた

 インターネット銀行の1つ、ジャパンネット銀行を利用している人には全員、コレ、「トークン」というのが送られてくる。私のところにも届いた。Ask.jpで“トークン 銀行”でブログ検索してみるとあちこちで話題になっている。ジャパンネット銀行を利用してない人もそのうち見かけるようになるだろう。

 トークンは数字が表示されているキーホルダーみたいなもの。1分ごとに6桁の数字が変わって表示され、その時々の数字が第2の暗証番号になる。

ジャパンネット銀行のトークン

 従来、ジャパンネット銀行で支払いをする時は、あらかじめ用意された乱数表を見ながら「5なら7、12なら8」というふうに確認番号を入力していたけど(これがけっこうメンドくさかった)、この方式だと乱数表を持っている人なら誰でも確認番号の入力できてしまう。ということはスパイウエアとかでログイン用パスワードが漏れたら、自分の口座のお金がどこかに送金されてしまう危険性が高い。

 トークンの数字だと1分ごとに変わるから、この数字が盗まれても大丈夫。1分後にはもうその暗証番号は無意味になる。詳しい説明はジャパンネット銀行のワンタイムパスワードのご案内にある。万一ログイン用パスワードが盗まれても、トークンさえ握っていたら誰かに勝手に口座をいじられる心配はない。

 というわけで、ぎゅっと握ってみる。ちょうど大人の手のひらに隠れるほどの大きさ。大きいというわけでもないけど小さくもない。重さを量ってみると16グラム。それほど重くないけれど実感として軽いわけでもない。微妙。セキュリティーが高まったのは確かだけど、一生これを持ってないといけないのは、ちょっとどうかなという感じ。ほかのインターネット銀行もトークンを採用すると都合2、3個持ち歩かないといけなくなるのかも。ちなみに、ジャパンネット銀行のアナウンス、「トークン形式のワンタイムパスワードの標準化」についてには「ネットバンキングの取引認証をトークン形式のワンタイムパスワードに統一するのは、国内初の試みになります。なお、本件に関しましてはビジネスモデル特許を出願いたしております」とあるので、ほかのインターネット銀行では採用しないかもしれない。


現状ではセキュリティーはアップする

 ジャパンネット銀行のトークンをよく見ると、“secured by RSA”(RSAで安全)と書いてある。これはRSAセキュリティ株式会社の「SecurID 700」という製品だ。ほかにもパソコンの認証用にUSBポートに差し込んで利用する「SecurID 800」というのもある。すでに会社で使っている人もいるだろう。

 このほか、カード型や「SecurIDソフトウェア トークン」というのもある。重要なのは電子小物ではなく、毎分生成される暗証番号のほうだから、ソフトの形態ほうが便利かなとも思うが、暗証番号生成ソフトをオンラインバンクで使うときには、そのソフトを起動するためのパスワードが必要になるかもしれない……。セキュリティーというのは、厳密に考えるとどこまでいってもきりがない。

 あくまで理論的にはという限定付きだけど、トークンを使った2要素認証(Two-factor authentication)という方式は、「SecurityFocus」というサイトのBanks 'wasting millions' on two-factor authentication(英文)という記事を読むと「マン・イン・ザ・ミドル」や「トロイの木馬」などのアタックに弱いらしい。

 同じく理論上ということだけど……、トークンが毎分新しいパスワードを作るといっても、基になるパスワードは決まっていて、これを時刻の数字と組み合わせて特殊な計算をしているだけなので、その計算式と時刻が分かると、基になるパスワードがバレてしまうかもしれない。計算式やプログラムの中身を解明するのを“リバース・エンジニアリング”と呼ぶのだけれど、トークンについてもそういう研究が進められているようだ。

 もちろん現状ではトークンが以前よりもセキュリティーを高めているのは確かなんだけど。


失くさないように。でも名前は書かないで

 プログラマーとかがジョークで言うマーフィーの法則の1つに「想定される悪い出来事は必ず起きる」というのがある。トークンで言えば、このセキュリティー技術が破られる心配はほとんどないけど、単純に「こういうのって、よく失くしちゃうよね」という不安はある。一度不安を抱いたら止まらないのでトークンについてよくあるご質問を読んでみたが、よく分からない。

 意外だったのは、トークンに名前を書いてはイケナイらしい。

トークンに口座番号と名前を書いてもいいですか。
紛失時に所有者が特定されることになりますので、個人情報は記載しないようにしてください。個人情報を記載し、万が一、事故が発生した場合には補償の対象となりませんのでご注意ください。

 口座番号を書くのはどうかと思うけど、名前だけ書いた場合でも個人情報になりそうな感じ。携帯電話みたいにファッショナブルにデコレーションするというのはどうなんだろう?

 このほか、水に落としても大丈夫? とか、電池交換をする前に使用期限(裏面に期限が書いてあった)が来るとか、些細なことは分かったけど、肝心の紛失時の対処がよく分からないので電話で聞いてみた。

 どうやら、紛失時には再発行の手続きをするらしい。再発行には1050円が必要になるが、手続きはオンラインでもできるとのこと。同じくオンラインでトークンの利用を一時停止することもできる。

 こういう個人認証用のセキュリティー電子小物が増えてくると、それぞれを失くさないようにするのが大変になるのだろうな(ちょっと気が重い)。

筆者紹介 佐藤 信正(さとう・のぶまさ)
テクニカルライター。1957年東京生まれ。国際基督教大学卒業後、同大学院で言語学を学ぶ。小学生のときにアマチュア無線技士を免許をとり、無線機からワンボード・マイコンへ興味を移す。また初代アスキーネットからのネットワーカー。通信機器や半導体設計分野のテクニカルライターからパソコン分野へ。休刊中の「日経クリック」で10年間Q&Aも担当していた。著書「VBScriptハッカーズ・プログラミング」「JScriptハンドブック」など。

著者

佐藤 信正(さとう のぶまさ)

テクニカルライター。1957年東京生まれ。国際基督教大学卒業後、同大学院で言語学を学ぶ。小学生のときにアマチュア無線技士を免許をとり、無線機からワンボード・マイコンへ興味を移す。また初代アスキーネットからのネットワーカー。通信機器や半導体設計分野のテクニカルライターからパソコン分野へ。休刊中の「日経クリック」で10年間Q&Aも担当していた。著書「Ajax実用テクニック」「JScriptハンドブック」「ブラウザのしくみ」など。