フィッシング詐欺を防止!ブロックチェーンを活用した認証システムを6月上旬より金融機関向けに提供開始


ログインの際のID・パスワード不要、セキュリティを強化したワンタイムパスワードで認証

ブロックチェーン開発事業を手掛ける株式会社ナンバーワンソリューションズ(所在地:東京都目黒区、代表取締役:面来哲雄、以下当社)は、フィッシング詐欺を防止できる、ブロックチェーン技術を活用した認証システムの提供を2020年6月上旬より開始します。当システムは、BC Auth(ビーシーオース)と称し、金融機関向けサービスとして無償での提供を予定し、1年後に100社の導入を目指します。
 

■個人情報の流出を防ぐために開発したシステムをフィッシング詐欺の対策に利用

ビーシーオースは、当社が2018年に開発した技術基盤で、個人情報の登録を必要としない認証システムです。利用者が生成した乱数をハッシュ化(入力されたデータをもとにして作られた値)して、権限付きブロックチェーンに保存することで、特定のサービスを認証することができます。ブロックチェーンを利用することで、堅牢かつ利用者にとって利便性の向上した認証システムを提供することができます(特許出願中「特願2018-159648」)。

今回、開発したビーシーオースは、グーグル社 のブラウザChrome(クローム)やマイクロソフト社のedge(エッジ)のプラグイン(Webブラウザの機能を拡張するソフト)として使えるように製品化しました。

■特定の端末からのみログイン可能、ログインURLのドメインも個別に指定

ブロックチェーンの認証システム「ビーシーオース」は、ブロックチェーンサーバーとプラグインで構成しています。ブロックチェーンサーバーは当社が運営し、認可サーバーの代わりとして装備します。

金融機関側はビーシーオースのシステムを導入します。同システムは次の4つにより構成されています。
1.Webサイトにビーシーオースでログインするためのソースコードを設置
2.ブロックチェーンからワンタイムパスワードのデータを取得する機能
3.プラグインダウンロード用のページ
4.利用者がログインするURLの指定(希望する企業のみ)です。

利用者側は金融機関の専用ページからビーシーオースのプラグインをダウンロードします。プラグインを起動して、新規でアカウントを登録します。アカウント作成後は、ビーシーオースを利用し、金融機関のサイトにハッシュ化されたワンタイムパスワードでログインすることができます。

利用者側がログインする際、プラグインで自動生成されたワンタイムパスワードが金融機関に送られ、同一のワンタイムパスワードがハッシュ化されブロックチェーンに送られます。金融機関は当社のブロックチェーンからハッシュ化されたワンタイムパスワードを取得し、プラグインより自動生成されたワンタイムパスワードと照合します。一致した場合は、ログインできます。

取得したワンタイムパスワードのみで認証をするため、個人情報(ID・パスワード)を必要としない認証システムを実現しました。
ブロックチェーンに加えて、プラグインは強固なセキュリティ機能を搭載しています。

まず、特定の端末でしかログインできない環境を実現することでセキュリティを強化しています。利用者がプラグインをダウンロードする際に、一意のIDが自動的に付与されます。端末にダウンロードすることで、金融機関は利用者本人が使用している端末(ブラウザ)として識別できます。

次に、金融機関はログインできるURLのドメインを指定することでセキュリティを強化しています。指定していないURLでは、ビーシーオースのログインは機能しません。フィッシングサイトに誘導されIDやパスワードの入力を促された時点で、利用者は詐欺であることを即座に認知できます。
ビーシーオースは、ブロックチェーンとプラグインの強固なセキュリティにより、フィッシング詐欺を防止できます。

■ワンタイムパスワードでセキュリティを強化した結果、認証までの手順が煩雑で利便性低下

従来の認証システムではログインする際は、3回にわたり利用者の本人確認を行います。
1.IDとパスワードでの本人確認
2.ワンタイムパスワードでの本人確認
3.企業側が認可サーバーに確認する利用者確認です。

全ての確認で利用者本人と認証されると、ログインできます。認可サーバーとは、利用者本人によるログインかどうかを判別するために利用されるサーバーのことで、利用者のIDとパスワードを保管しています。

利用者の本人確認のセキュリティを強化した結果、手順が煩雑になるなど利便性が低下しました。認可サーバーが攻撃されることで、利用者のIDとパスワードが流出する危険性を有しています。

ワンタイムパスワードの普及により減少傾向にあったフィッシング詐欺でしたが、2020年2月以降、ワンタイムパスワードが破られる事例が頻発しています。破られる手口は、フィッシングサイト運営者が利用者を銀行などの虚偽サイトに誘導してIDと固定パスワードを入力させ、利用者を装い正規のネットバンキングにログインします。銀行から利用者にワンタイムパスワードが送られるタイミングに合わせ、虚偽サイト上に新たな画面を表示し、ワンタイムパスワードも入力させる方法です。

ブロックチェーンを活用した認証システムでは、IDやパスワード、ワンタイムパスワードの漏洩を防ぐことができます。

■毎月増加するフィッシング詐欺の被害

フィッシング詐欺とは、総務省によれば、「送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザーID、パスワードなど)といった重要な個人情報を盗み出す行為のことをいいます」。 

「2020/04フィッシング状況報告」(フィッシング対策協議会)によると、2019年12月は8,208件、2020年1月は6,613件となり、減少傾向にありました。しかし、同年2月は7,630件、3月は9,671件、4月は11,645件と増加しています。フィッシング詐欺が増加している原因は、Amazonなどのショッピングサイトをかたりクレジットカード情報を詐取することを目的としたフィッシングが激増しているためです。フィッシング詐欺の手口としては、既存のワンタイムパスワードによる認証を破る手法が横行しているためです。
ワンタイムパスワードは、ネットバンキング利用時に利用者が元来設定している固定パスワードに加え、事前に登録した携帯電話などに毎回異なる使い捨てのパスワードが届く仕組みです。パスワードのみの認証よりセキュリティが強化され、一定期間フィッシング詐欺防止に役立っていました。各金融機関は新たな防止システムの確立を急いでいます。

当社は、ビーシーオースの利用状況を検証しつつ、有償化も視野に事業展開を目指します。

【株式会社ナンバーワンソリューションズについて】

会社名 :株式会社ナンバーワンソリューションズ
本社所在地 :〒153-0043 東京都目黒区東山3-15-1出光池尻ビル7F
代表取締役 :面来哲雄(おもらい・てつお)
設立 :2002年7月
資本金 :5,000万円
連絡先 :TEL .03-6412-8470  FAX .03-6412-8471
URL :https://no1s.net
事業内容 :ブロックチェーン開発事業

■本件に関する報道機関からのお問い合わせ先

株式会社ナンバーワンソリューションズ  広報担当:堂本健司
TEL 03-6412-8470 / Email press@no1s.net

プレスリリースはこちらよりダウンロードできます
フィッシング詐欺を防止!ブロックチェーンを活用した認証システムを6月上旬より金融機関向けに提供開始