古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

本当に使って大丈夫? “お金が絡む”Webサービスの安全性を見分ける4つの方法

ITmedia NEWS のロゴ ITmedia NEWS 2017/08/23
本当に使って大丈夫? “お金が絡む”Webサービスの安全性を見分ける4つの方法: 「VALU」トップページより © ITmedia NEWS 提供 「VALU」トップページより

 最近“お金”に関係するさまざまなWebサービスが登場しています。自分自身の“評価額”に相当する額の株式をビットコインで販売し、資金調達ができる「VALU」、手持ちの物品を写真だけで評価し、その評価額分を現金化できる“オンライン質屋”「CASH」、そして知人限定でクラウドファンディングを行えるアプリ「polca」など、名前を聞いたことがある人も多いのではないでしょうか。話題性がある反面、さまざまなところで問題を指摘する人が出てきたり、実際に使ってみたら大変だったりと反響もさまざまです。

 たまに「こういうサービスってどうなの?」と聞かれはしますが、私自身はこれらのサービスには手を出していません。お金に関するネット上のサービスが、ITセキュリティに関してどのような姿勢を持っているかはすぐには分からず、その点で手を出しにくいのです。

 ただし、一般的な視点で分かることもいくつかあります。そこで今回は、特に“金融サービス”において極私的にチェックしている「そのWebサービスがどの程度セキュリティを考えているか」を判断するポイントを、セキュリティの基礎知識と共に紹介したいと思います。

●【必須】HTTPS通信が使われていること

 お金に関係するサービスで、HTTPS通信を使っていないのはもはや論外です。SSLサーバー証明書は皆さんもよくご存じの、URLバーのところに表示される「錠のマーク」が目印で、これがあることで「通信が暗号化」されていることが確認できます。

 この錠のマークがあれば安心と考える方も多いでしょう。この錠のマークは、通信を暗号化するだけでなく「相手が正しいサーバである」ことも証明できます。HTTPS通信を行うためのSSLサーバ証明書には「ドメイン認証」「企業認証」「EV認証」の三段階があり、大手の金融機関のほとんどは、その組織の存在を確認した上で発行される「EV認証」を持っています。EV認証はWebブラウザ上で「組織名が表示される」という特徴があり、これを確認することでフィッシングサイトではないことがすぐに分かります。

 まず、SSLサーバ証明書が使われていない場合は「論外」。本来はお金が絡むサービスならば、それなりにハードルが高い「EV認証」を使っていることが望ましいです。「ドメイン認証」「企業認証」の違いを判断するには、証明書の中身を見なければなりません。ドメイン認証は誰でも簡単に使え、悪意あるフィッシングサイトすら暗号化通信をする時代です。そのため、安全であることをアピールするのであれば「利用者が一目で安全であることが分かるEV認証」を使ってほしいと思います。

●クレジットカードのセキュリティコードを確認してくること

 ECサイトや有料会員サービスであれば、クレジットカードによる決済が関連してくるはずです。このとき、クレジットカードの入力欄として「セキュリティコード」の欄が存在するかをチェックしてください。

 セキュリティコードとは、カードの裏面に記載された3桁または4桁の数字で、カード保持者しか知り得ない番号です。これはサーバ上で保管してはならない番号で、これを使うと今行われている決済がカード保持者本人かどうか確認できます。

 問題は、このセキュリティコードが保管されていないことを利用者は確認できないということ。もしクレジットカード情報を保存するような仕組みがあり、そこにセキュリティコードも含まれるような実装だった場合、そのWebサービスを提供する企業はクレジットカード決済の基本すら分かっていないと判断できます。

 個人的には、さらにセキュリティ強度を上げられる本人認証サービス「3Dセキュア」を利用していることが望ましいですが、カード会社によって呼び方が違ったり、そもそも日本では普及しておらず理解が進んでいなかったりという点が悩ましいです。

●2要素認証が使えること

 こちらも金融関係のサービスならば、ぜひ対応してほしい機能です。2要素認証とは、ログイン時にID、パスワードを使うだけでなく、本人が持つデバイスをもとに、ログインしようとしている利用者がパスワードを盗んだものではなく、本人であることを確認する仕組みです。

 例えば、「利用者本人がスマートフォンを持っている」という前提だとしましょう。もしパスワードが漏えいして、IDとパスワードのセットを悪意ある者が知っていたとします。何も対策がないと、これだけであなたのアカウントはのっとられてしまいます。銀行のアカウントならば、これであなたの預金はアウトです。2要素認証があれば、パスワードが漏えいしてもスマートフォンにSMSで送られるコードや、アプリで表示したコードをさらに入力しなければログインできません。これにより、安全性が高まるわけです。

 最近の金融機関は、ほとんどがこの2要素認証が利用できるはずです。徐々に浸透してきた仕組みで、お金が絡むサービスでは積極的に活用したい機能になったといえます。お金に絡むサービスでなくても、今ではGoogle(Gmail)、Apple(Apple ID)、Amazon、Twitter、Facebookなど主要なサービスは2要素認証が使えます。ぜひ、皆さんも使ってみてください。

●パスワードの扱いが適切であること

 実はこれが一番重要なポイントであり、かつ「簡単に見分けられる」もの。もしそのサービスのセキュリティレベルを把握したい場合、まず「パスワードは定期的に変更してください」という文言が“ない”ことを確認してください。ログイン画面や規約、登録時のメールにありがちなこの文言ですが、なぜパスワードの定期変更はいけないのでしょうか。

 パスワードを変更しなければならないときというのは、単純に「パスワードが第三者に漏れてしまった」ときです。その際は“すぐに”変更しなければ危険ですので、定期的にではなく「パスワードの漏えいが発覚したときに」変えればいいわけです。Webサービスを運営していてパスワードが漏えいしたら、その時点で利用者に通知されるはずです。

 それにもかかわらず定期変更を促すということは、「自分たちがいつ攻撃を受けてパスワードを盗まれたか分からない」と宣言しているに近い行為ともいえます。この「パスワードは定期的に変更してください」という文言は「私たちはパスワードに対して無頓着です」と言っているようなものなのです。

 同様に、パスワードに対する考え方の表れは、パスワードの「制限」にも現れます。例えばパスワードの長さがたった8文字しかなかったり、大文字限定で入力させたりするのはあまり褒められたものではありません。

 これまでであれば、大文字小文字を混在させるだけでなく、数字や記号を入れるのがトレンドでしたが、これも強要すべきことではありません。現在ではパスワードよりも自然な言葉を複数並べることで強度を高める「パスフレーズ」の利用も普及しつつあります。

 この場合、パスワードの長さは64文字程度は必要です。いまだに8〜12文字しかパスワードとして設定できない場合、サービス運営者が「パスコードを知らない=セキュリティのトレンドに乗り切れていない」と判断ができるでしょう。

 そのほか、「あえてパスワードを忘れたときのフローを試してみて、パスワードそのものがメールで送られてこないことを確認する」ことや、「ID登録時に本人確認のためのメールを送信してくる」などのフローを確認し、問題がないかを確認するのもいいかもしれません。

●「お金」に絡むサービスに対しては保守的でも問題なし

 個人的には、「お金」に絡むサービスには保守的です。どんなに便利なサービスが出たとしても、そのリスクを考え、利用には慎重になることを心掛けています。実際に利用した人たちがどのような反応をしているかや、どんなリスクが存在するのかを把握してからでも遅くはないでしょう。「いますぐやらないと損!」と煽るようならなおさら時間をかけるべきだとも思っています。

 今回は一般的な、Webサービスの外から見えるチェックポイントを紹介しました。もちろんこれ以外にも、各サービスの利用規約やプライバシーポリシーも確認する必要があるでしょう。しかし、分かりにくい表現になっていることが多く、一目では理解するのが難しいのが実情です。もし「パスワードは定期変更しましょう」という文言があったり、そもそもHTTPSに対応していなかったりするなら、私はその時点で利用しないと判断します。

 きっとそれ以外にも、たくさんのチェックポイントがあるのではないかと思います。皆さんの厳しい“視点”もぜひ知ってみたいですね。

ITmedia NEWSの関連記事

image beaconimage beaconimage beacon