不正アクセス、不正ログインを防ぎます! パズル認証、ログイン履歴の分析で対策
「Capyパズルキャプチャ」。ゆがんだ文字の入力でなく、パズルにピースを埋め込むという認証方法は、そのゲーム感覚が受けている
そもそも、不正ログインの対策として進められてきた一つの方法は、ユーザーにゆがんだ文字を入力させることだった。経験したことのある人は多いだろう。IDとパスワードに加え、機械が認識できないゆがんだ文字を入力することによって、機械による不正ログインを防ぐのである。しかし、光学文字認識(OCR)技術の発達で、機械はかなり文字を認識できるようになった。もっとゆがんだ文字となると、今度は人間がついていけなくなってしまう。
その問題を解決するのが「Capyパズルキャプチャ」だ。イラストでわかるように、OCRでは解析できないパズル型であり、やり方は指一本で画面のパズルにピースを埋め込むだけ。もともとは、創業者でCEOの岡田満雄氏が京都大学博士課程在学中に、セキュリティ技術を研究する課程で生まれたアイデアである。「アイフォーンの発売後、タッチパネルを生かした認証がいけるんじゃないか」と思いついた岡田氏は、米国と日本を行き来している中で同じ京都大学の後輩である島田幸輝氏と出会い、エンジェル投資家などの支援を受け起業に至った。創業後はテクノロジーに強い島田氏が開発を担当している。
「Capyパズルキャプチャ」は13年12月から提供を開始し、現在約10サイトに導入されている。しかし、対策ツールは、これだけで十分ではない。キャプチャはリスト型攻撃を防ぐことはできるが、すでに不正ログインされた場合には有効でないからだ。
「その人らしいログインか」を判断
「Capyリスクベース認証」。ユーザーのログイン履歴を学習し、ユーザー以外のログインを未然に検知する
不正ログインに成功したハッカーは、今度は機械ではなく手を使って、個人情報を探り、なりすまして、その人が貯めているポイントを交換するなどの犯罪行為を行うという。それを防ぐために開発されたのが「Capyリスクベース認証」だ。
これは「その人らしいログインかを判断する技術」(島津氏)。関東地方からログインしたのに、1時間後に広島でログインしたら、それはなりすましではないかと判断するのである。具体的にはIPアドレスと時間帯をもって、どこからどの端末を使ってログインするかを、学習する。おかしいと思われるログインがあり、高い確率で本人ではないと判断すると、サービス提供者に情報を提供する仕組みだ。
この対策が進んでいるのは金融機関だが、この技術サービスは高額なために、数億円かかる場合もあるという。「銀行やトップクラスのEC(電子商取引)サイトでなければ、セキュリティにそれだけの金額を払えない。われわれは安価に提供することで、インターネット上に会員ページ、ログインページを持っている企業すべてに、普及させたい」と島津氏は語る。現時点で2社への導入が決まっており、「年内に二つのサービスを合わせて50社への導入を目指す」(同)。代理店も増えてきており、営業活動を本格化させる段階だ。
ログインはこちら