オン銀行が、指紋認証のみで使えるATMの実証実験を開始するとのニュースを知り、耳を疑いました。セキュリティに対する意識が退行しているとしか考えられないからです。私は現在は零細なる個人事業主ですが、以前はセキュリティシステム構築を含むシステムインテグレーションを生業とする会社に勤めておりました。実は細かい部分は別として、セキュリティには、次のように、必ず実装しなければならない機能が存在します。
- 桁数の長大なパスワード等、偶然またはランダム操作によって容易に判明し得ないキーによって守られる事。
- 物理的なキーが固定のモノであったとしても、システム内部で用いるキーには最終アクセス日時やその時の取引金額を元に暗号化した内部キーを付与して、キーの整合性チェックをより高度に行えるようにしておく事。
- 上記2番の代わりにRSAランダマイザー等を利用して作成したキーを付加する事で、キーの整合性チェックをより高度に行えるようにしておく事。
- .パスワードの使い回しをせず、アクセスID毎に別のパスワードを用いる事で、一カ所のパスワード漏洩が他のサービスに影響を与えてしまわないようにする事。
- 一旦漏洩してしまったパスワードはその場で破棄し、新たに設定し直せる造りである事。
特に最近のトレンドは2.のキーの一部が流動的に変化する方式で、その為に接触・非接触に関わらずICチップを搭載したカードに、ユーザすら知らない長大な内部キーを格納し、使用する度にその内部キーが書き換わっていく方式が取られています。また話題のビットコインで用いられるブロックチェーン技術も、こうした一々変化するデータを複数のオープンサーバに格納し続ける事で、データ整合性を保ちながら複数のサーバデータを同時に改竄する事が事実上不可能である事を利用して、正当な取引である事を保証していますから、カード内部に変化するキーを格納する方式は、最新のブロックチェーン技術とも親和性が高いのであります。
ところが今回のイオン銀行の試みは、こういったセキュリティ・トレンドに逆行する、古〜い考えのセキュリティシステムそのものなのであります。
まず、指紋データは暗号化された上でサーバに格納されているから安全だ、とイオン銀行側は主張しています。トランザクション照合の際は、1.指紋の画像データをサーバに送付しそこで格納されているデータと同様の暗号化を掛けて今作ったばかりの暗号化データと、サーバに元々格納されていた暗号化データをつきあわせて認証を行うか、2.指紋の画像データをサーバに送付し、サーバに格納されていた暗号化データを復号して、画像データ同士を突合するという2つの方法のうち、どちらか又は両方が採られる事になります。
この方式では何らかの方法で、口座番号と暗号化済み指紋データのリレーションに変更を加えられてしまえば、他人の口座から易々とお金をひきだせる事になります。特に怖いのは中途半端に不可逆性を利用している場合でしょう。指紋データを暗号化する事は出来ても復号化する事が難しいという構造でセキュリティ強度を半端に向上させようと画策していた場合、差し替えられた暗号済み指紋データから、指紋の画像に戻せない事も考えられ、これでは犯人の思うツボであります。暗号化データから指紋の画像を得られない以上、警察が犯人を特定し辛くなるのは必定だからです。
イオン銀行のアーキテクチャの本当にヤバい点は、「4.パスワードの使い回しをせず、アクセスID毎に別のパスワードを用いる事で、一カ所のパスワード漏洩が他のサービスに影響を与えてしまわないようにする事。」、「5.一旦漏洩してしまったパスワードはその場で破棄し、新たに設定し直せる造りである事」というセキュリティの基本中の基本のセオリーに反している点です。カード番号が漏洩したらそれを破棄し新しいカードを発行する。パスワードが洩れたらそれを破棄し新しいパスワードを設定する。こんな当たり前の事が、イオン銀行の提唱するアーキテクチャでは不可能なのであります。指紋を唯一のキーとして構築されたセキュリティシステムでは、漏洩事故が起きた時、指を取り替えるしかなくなってしまいます。
この事は特定のサーバのセキュリティレベルの話を遙かに越えた事象の問題であると認識すべきでしょう。例えば生体タッチノイズを通す材質で出来た薄いゴム手袋に指紋が印刷されていて、ATMのセンサがこれを偽物と判断出来ない場面を想定すれば、犯人は銀行口座に限らず特定の人物の指紋を採取するだけで、あらゆるサービスを乗っ取ってしまう事が可能になるのです。我々は普段から手袋をし、あらゆる場面で指紋を残さない努力をしなければならなくなるかも知れません。
あらゆるセキュリティは所詮人間が考えた仕掛けに過ぎない以上、いつかは破られる運命にあります。「5.一旦漏洩してしまったパスワードはその場で破棄し、新たに設定し直せる造りである事」というセオリーを無視したシステム構築は絶対にすべきではありません。利便性だけを考えればカードも通帳も判子も持たずに指だけでお金が出し入れ出来るという機能は、十分にキャッチーであり、未来的でもあります。銀行の広報担当とすれば、こうした施策を進める事で多くのユーザを取り込みたいという意図があるのでしょう。しかしシステム担当者は、セキュリティの観点から、これにストップを掛ける勇気を持つべきであります。少なくとも双方向通信可能なICチップ付きのカードと併用する、又はスマートフォンのアプリに格納された可変の暗号化キーと併用するなど、指紋単独での運用は絶対に避けるべきである事を、イオンのシステム担当者は今一度考え直し、広報や上層部を説得して貰いたいと思います。というか、この仕掛け、一旦事故を起こせば銀行がつぶれる程の大事に至る可能性すらあります。とすればイオン銀行一行の問題ではなく、経済産業省主導で、今回の開発にストップを出すくらいの行動が求められる案件であると思うのです。マジ、やばいで〜これは。
【つづく】
「あれこれ」の目次に戻る