令和4年春情報処理安全確保支援士試験 午後1問3の振り返りメモになります。
どんなお話?
スマホ向けQRコード決済サービスにおいてなりすまし(本人確認)の対策するお話でした。7payでは大問題になりましたし抑えるところでしょうね。
本人確認には「①身元確認」と「②当人認証」と2種類あり、それぞれリスクやその対策を問われました。
①身元確認について
身元確認とは?
利用者が「実在する本人」であることを確認します。
方法としては、免許書やマイナンバーカードなどから氏名、住所、生年月日が正しい事をアカウント作成時に確認しますが、確認内容が甘いとスキになります。
身元確認が甘いと?
テストでは「キャッシュカードの暗証番号」と「銀行口座番号」だけで、決済利用者と銀行口座を結びつけている機能が出され、あかんところはどこかを問われました。
上記だけだと番号の「不正入手」か「推測」で他人の銀行口座と紐づけが可能になってしまいます。
このため、顔写真付き書類チェックやマイナンバー電子証明書を使う方が良いですよという流れに移りました。
顔写真付き書類の身元チェックで大丈夫?
顔写真付きの書類の画像と本人の容貌の画像をチェックするやり方ですが、他人の画像が使われてしまうリスクがあります。
その対策として、アプリがランダムな数字を出して、その数字を書いた紙と自分の顔を撮影して送ってもらう方法を問われました。(意見公募されたようです。詳細は以下)
https://www.t2fifa.or.jp/info/pdf/info20190326.pdf
身元確認が超重要なシステムな場合など今後求められるかもですね。
②当人認証について
当人認証とは?
「①身元確認」された本人であることをログイン時などに、認証の3要素等の照合でチェックする認証です。3要素とは有名な以下
- 「知識認証(パスワードなど当人しか知らない情報)」
- 「所有認証(カードなど当人しか持っていない情報)」
- 「生体認証(指静脈など当人しか存在しない情報)」
当人認証ではどんな問題が出た?
一度ログインすると、ユーザ利便性向上のためログイン状態が保持されることあります。その状態で利用者がスマホ画面ロックをオフにしていた場合、スマホ盗難でサービスが不正利用されてしまう話が出ました。
で、その対策としてお金が動く(チャージや決済)操作のときは、利用者が選択した方式で認証する内容も問われました。母親の旧姓は?とか、最初に行った海外の国は?とかアレですね。