リスト型攻撃対策として、トークンレス二要素認証ソリューションを拡販

株式会社アズジェンと、Swivel Secure Ltd.の日本総代理店であるSecurity Strings合同会社は、トークンレス二要素認証ソリューション「PINsafe」の販売において代理店契約を締結しました。

現在、ネットサービスを狙った不正アクセス事件が多発しています。
その中でも特に猛威を振るっているのが「リスト型攻撃（リスト型アカウントハッキング）」と呼ばれる攻撃手法です。リスト型攻撃は、ユーザが同一のパスワードを複数のインターネットサービスで使いまわす傾向があるという、いわば人的な脆弱性を突いて行われます。例えば、あるユーザがとあるWebサイトやWebサービスで設定しているID・パスワードが悪意を持った第三者の手に渡ってしまった場合、その第三者（＝攻撃者）は当該ユーザが他のサイトでも同様のID・パスワードを設定されている可能性が高いという憶測のもと、不正ログインを試みます。これが、リスト型攻撃です。

これに対し、昨年12月に総務省からサービス提供事業者を対象としたガイドラインとして「リスト型アカウントハッキングによる不正ログインへの対応方策について」が公開されました。その中では、ID・パスワードの使い回しに関する注意喚起、パスワードの有効期間設定や推測が容易なパスワードの利用拒否設定の必要性、二要素認証の導入促進等のポイントがあげられています。しかしながら、ID・パスワードの使い回しという根本的な脆弱性はユーザ自身のセキュリティ意識に依存するため、サービス提供事業者において、十分な対策をとるのが困難な現状が続いています。

このような背景のもと、Security Stringsとアズジェントは、Swivelの「PINsafe」の拡販を行います。「PINsafe」は、ヨーロッパで多くの実績を持つトークンレス二要素認証ソリューションです。「PINsafe」を導入することで、ワンタイムパスワードをベースとした二要素認証を導入でき、リスト型攻撃対策を行うことができます。物理的なトークンを必要としない「PINsafe」を導入することにより、管理者はトークンの管理に伴う煩わしい手続きや処理から解放されると共に、ユーザも簡単な「PINコード」を記憶するだけでセキュアに様々なサービスを利用することができます。

【PINsafeの二要素認証】
1）ユーザは、予め固有のPIN（Personal Identification Number：配列順序）を設定して「記憶」
2）モバイルデバイスやWebを通じて、「セキュリティストリング」（ランダムな数字からなる文字列）を取得
3）取得した「セキュリティストリング」と記憶しているPINを照合し、ワンタイムパスワードを生成


アズジェントは、既存パートナーを通じて、「PINsafe」の販売を行うとともに、自社のセキュリティサービス「セキュリティ・プラス」の認証サービスとして、Swivelの技術を活用していく予定です。