_ [日記] 生年月日確認による本人認証の脆弱さについて

最近はネットで色々な買い物や契約ができるようになりました。

当然本人確認は厳密に行う必要があり、パスワードの桁数やその他認証方法などがセキュアかどうか議論されるようになりました。

遠隔地から上記のようなことをしたいとき、ネットが普及する前主流であり、今でもよく使われる方法としてはオペレーターに電話をすることで目的を達成するという選択肢があります。

たとえば携帯電話の料金プランを変更したいとき、キャリアに電話してプラン変更の旨を告げれば目的を達成することができると思います。

このようなときに本人確認に使われる方法として生年月日の確認による本人確認があります。

そういえば選挙などのときに投票者が本人であるかどうかを確認するときもそうしますね。

しかしこれ、本当に安全なんでしょうか。

SNSなんかで生年月日を平気で公開している人もいますし、そもそも生年月日なんて住民票にも書かれたオープンな情報です。

最近は制限されるようになってきましたが、基本的に住民票は誰でも閲覧できます。

他にも車のナンバーが分かれば陸運局で誰が所有者であるかを誰でも調べることができますし、調べていけば生年月日も分かってしまいます。

だいたい取引の電話を他人に聞かれたら全部セットでばれます。

そして電話取引によって可能なことは意外と多いです。

銀行の取引でも電話取引ができるものがありますし、株式売買、先物売買なんかも電話取引がけっこう使われています。

この前、野村證券の自分の口座の残高を見ようと思ったらなぜかログインできません。

暗証番号を間違えたのかパスワードを間違えたのかわかりませんが、数回試したら早くもロックされてしまいました。

万が一のことを考えて電話取引で残高全額の引き出しを指示しました。

野村證券は大口顧客が多いので僕の引き出した金額はゴミのような値ですが僕にとっては大金でした。しかしその際聞かれた情報は口座番号と生年月日だけ（もしかしたら住所も聞かれたかも・・・）。

「え、、そんなだけで本人だと信じてしまっていいの！？」と思ってしまいました。まさかネットではそれはあり得ないでしょう。

残高の引き出しはあらかじめ指定した口座に対してしかできないので一応安全ですが、他人が自分になりすまして勝手に変な売り注文か買い注文でも出されたらたまりません。

妄想ですが、例えば証券会社の窓口取引してた金持ちそうな人の車のナンバー控えて、それを元に住所・生年月日を調べ、その人のポストから郵便物を盗んで口座番号を調べて、株式・先物などの無茶な注文出してそれを利用して自分の取引を(ﾟдﾟ)ｳﾏｰにするとか・・・さすがに無理か。まぁ他の方法にしろこれだけではお金を手にするまでにはまだまだ障害が多すぎて全然無理だと思いますが、やはり一箇所でもセキュアじゃないのは脆弱だと思うのです。

なんとかなりませんかねえ、生年月日だけによる認証方法。

住基ネットだけで批判的な日本ではIDふるような認証方法は受け入れられないでしょうしね。

SF的に声紋認証とか・・・絶対無理だな。

そんなわけで、少なくとも電話取引に不安を覚える人のために電話取引不可オプションみたいなものを用意して頂けるといいかなあと思います。

もしくは二つ目の選択肢として、他人に電話中聞かれても問題のないようにワンタイムパスワード計算機を利用して認証するのも良いかもしれません。

わざと違う生年月日で契約しておくとかいうのはあとあと問題になるかもしれないのでたぶん辞めておいたほうがいいと思われます。