不正ログイン対策:新技術を開発したベンチャー企業「Capy」に注目
2014年10月16日
JR東日本、LINE、NTTドコモ、ニコニコ動画……。今年に入り、これらの大企業が外部からの不正ログインの被害に遭っている。ユーザーの個人情報が不正に利用される恐れが高まる中、法人向け不正ログイン対策技術を開発したベンチャー企業「Capy(キャピー)」(https://www.capy.me/jp/)に注目が集まっている。大手情報通信会社も同社の技術を導入した。どのような技術で不正ログインを防ぐのか取材した。【石戸諭/デジタル報道センター】
Capyは京都大博士課程に在籍していた岡田満雄CEO(最高経営責任者、35歳)が、技術者で同大の後輩、島田幸輝CTO(最高技術責任者、25歳)と作った企業だ。岡田CEOがネットセキュリティー問題を研究する過程でタッチパネル搭載デバイスに最適化された認証システムを思いつき、この技術を開発するため2012年にアメリカで設立。海外での事業展開を視野に、本社はアメリカに置き、東京は支店とした。
◇リスト型攻撃が主流に
同社によると、何者かがウェブサービスに不正アクセスし、盗み出したアカウント情報を起点に他のサービスにも同様の攻撃を仕掛ける「リスト型攻撃」が最近の主流。被害の背景にあるのは翻訳ソフトとOCR(光学文字認識)技術の発展だ。
最近は翻訳ソフトを使うと、日本語のウェブサイトも攻撃する側の母国語で読めるように。機械ではデータ化できないゆがませたアルファベットなどの文字をユーザーに打ち込ませるセキュリティー対策も、OCRの進化で無効になりつつある。その結果、機械による自動的な攻撃が大量に仕掛けられるようになった上、ログインの成功率も上がり、被害が拡大しているという。
同社で事業開発、広報を担当する島津敦好さん(35)は「各社の発表を見ると、攻撃は14年に入って急増しています。私自身もほとんど使っていなかったウェブサービスが不正ログインの対象になったことがあります。幸い被害はありませんでしたが、やはり、被害は身近で起こるようになっていると感じます」と話す。
◇不正ログイン防ぐ二重の仕掛け 大手も導入
そこで同社が開発、導入したのは、パズル型の画面認証システム「Capyパズルキャプチャ」と、本当にユーザー個人がログインしたかを識別する「Capyリスクベース認証」だ。
パズルキャプチャは、ゆがんだ文字を打ち込ませる技術の代替策として開発した。スマホならタッチパネルで、パソコンならマウスでドラッグして、パズルのピースを動かし、ユーザーが1枚の絵を完成させることで認証される仕組み。人間は文字を打ち込むより簡単にできる一方、機械は認識できないため、機械による攻撃をブロックする効果が期待できる。
さらに、パズルキャプチャだけで防ぎきれない人による攻撃を防止するのがリスクベース認証だ。ネット上の住所にあたるIPアドレスや端末の情報などを組み合わせ、例えば1時間前に東京からログインしたにもかかわらず、30分後に九州地方からログインしたことが確認された場合にサービスを提供している法人に連絡をする仕組みという。
現在、大手情報通信会社や大手ゲーム会社が同社のシステムを導入し、不正ログイン対策に乗り出している。島津さんは「不正ログイン対策としてユーザー側ができることはパスワードなどを使い回さないことに限るが、安心してインターネットを使うにはさまざまな対策が必要。自分たちの技術がその一助になればいい」と話している。