銀行、顔認証で入出金 (FIDO認証の採用)


令和3年8月2日付け日経新聞です。りそなHDが顔認証による入出金や振り込みを始めます。2022年に実用化する予定でJCB、大日本印刷、パナソニックと共通インフラを構築し、小売店などでの利用も可能にします。4社の役割分担は、大日本とパナソニックが本人確認と画像認識技術、りそなが顔データの保管技術、JCBが加盟店開発を担当するとのことです。

記憶認証であるID/PW方式の脆弱性は周知の事実ですし、実際に被害は増え続けています。銀行にとっては預金者保護法などにより、利用者が余程の過失か故意でもない限り、ATMやネット取引での不正被害は補償せざるを得ません。ただ、わが国は諸外国に比べてPWの盗用・悪用の被害額は圧倒的に少ない。ですから、欧米の金融機関ほどには、他要素認証や生体認証へ移行するインセンティブは高くありません。

利用者も複雑な認証方式より簡便さを求める傾向があります。それは、自分が実際に被害に会うリスクが低いからでしょう。実際、筆者の生活メイン口座は、1967年に第二地銀で開設した際の登録内容のままです。その銀行が吸収合併されて新銀行のカードに変わって30年以上になりますが、パスワードはそのまま、カードも磁気ストライプのままです。せいぜい引出上限額を抑えたくらいで、何事もありません。自分自身は、昔から磁気ストライプと4桁数字PWは危険だと講演などで強調してきたのですが。すりきれつつあるカードが最新型ATMでも問題なく処理できるので毎回、感心しています。

同時にクレジットカードと異なり、銀行はカード更新を言ってこない。その面倒臭がりと吝嗇さにも感心します。生活口座として多くの引落口座となっているので他行に移る懸念がないのでしょう。ただし、ネットとなると話は全く異なる。PWとIDさえあれば、盗み放題となります。ですから筆者はネット口座の残高は必要最小限にしています。オートチャージなどとんでもない。リスク管理で言うとリスク許容型といったところでしょうか。

多要素認証でPWと生体認証を組み合わせる方式は以前から本命視されてきました。生体認証の方式として指紋、指/掌静脈が注目されましたが、指紋は偽造の容易性や温度など利用環境に難があり、静脈は認証デバイスの大きさやコストが普及を阻害しました。一番可能性が低いと思われていた顔認証が、スマホ・カメラの高精度化と認証技術の進歩で一挙に実用性が高まりました。FIDOがパスワードを使わずに、デバイス認証と生体認証の併用を標準と定め、それぞれの技術基準も制定しました。並行してアップルなどスマホでの認証も顔認証方式に変わりつつあります。つまりスマホ・バンキングでの認証方式の主流となる条件がそろってきたということでしょう。

FIDO認証の肝はデバイスを登録する時に作成される秘密鍵にあります。これがないと、署名や公開鍵を入手しても何もできません。この秘密鍵は当該デバイスにしかありませんし、デバイスから秘密鍵を無傷で読み出す方法はありません。つまりデバイスを奪うしかないということです。ネットワーク犯罪ではなくなります。犯人にとって手間が増えて捕まるリスクが高まります。小口犯罪では割に合わないでしょう。

スマホが機能や形状において現在の延長線上で進化していくのか、突然変異が起きるのか分かりませんが、少なくとも向こう10年は延長線上にあるでしょう。FIDO認証を突破しようと攻撃者も必死になるでしょう。法人を対象に犯罪被害の大口化が進み、手口はソーシャルエンジニアリングの分野にシフトしていくでしょう。個人利用者においては、セキュリティ懸念が薄らぎ、スマホに多くのアプリを取り込むことになるでしょう。それがスーパーアプリの出現を可能にするかは分かりませんが。少なくとも現在の手間隙かかるQR決済などは消えるのではないでしょうか?

気になるのはマイナンバーカードです。マイナポイントの発行でカード普及率が一年で一挙に16%(2020年5月)から30%(2021年5月)に上がりました。政府は2022年までに普及率を60%(建前は100%)にするとします。そのインセンティブに様々な新サービスを追加しますが、2022年度内には、スマホにマイナカード機能を搭載できるようにします。マイナポイントの還元を繰返すことや健康保険証、運転免許証などとの一体化により、スマホのメイン画面がマイナンバーになる可能性が高まります。その個人認証の機能もFIDO化されるかも知れません。(現在でもほぼ同等の認証方式です。)すると銀行アプリを含めて多くのサービスはサブメニュー化され、銀行間のサービス競争はオープン化してUI/UX勝負となります。ますます、決定権は利用者側に移りますし、アプリの変更も頻繁になるでしょう。何が選択されるキーファクターとなるか?今から様々なシナリオを考え、いかに対応するかを練っておく必要がありそうです。

りそなが参加する生体認証コンソーシアムは当然に認証プラットフォーマーの地位を目指すでしょうが、マイナンバーを含めたプラットフォームがいくつ出来るのか?残るのか?安心、安全を売り物にする金融業界では、セキュリティが大きなセールスポイントになると思われていますが、FIDO認証というデバイス認証と生体認証による多要素認証が普及しだすと、セキュリティは人並みか劣悪の2ランクだけとなります。どちらを選ぶのか?

顔認証に対し拒絶感を持つ個人は60%もいるとされます。しかし、我々は既にiPhoneなどで使い出していますし、様々な場所で検温機に顔を突き出しています。空港やオリンピック会場などの入退場もIDと顔認証です。これからは勤務先や公的サービス利用などで否応無しとなりそうです。顔認証を拒否する自由もありますが、それは利便性を犠牲にすることとなります。IDと4桁数字PWでの認証を売りにする金融機関が出てくるかもしれません。

 

                              (令和3年8月9日 島田 直貴)