認証サービスのAuth0が不正認証について学べるアニメをYouTubeで公開、伝説のスーパーヴィットリオとAuth0が活躍!?

認証サービスのAuth0が不正認証について学べるアニメをYouTubeで公開、「伝説のスーパーヴィットリオ〜Auth0で不正ログインから世界を救う!」認証ソリューションを提供するAuth0(オースゼロ)は9月2日、不正認証について学べる約6分の短編アニメ「伝説のスーパーヴィットリオ〜Auth0で不正ログインから世界を救う!」をYouTubeで公開した。

ある企業のEC部門(と思われる)に勤務するナナは、「エンジニアの屍の上に作り上げた」セキュリティシステムを擁するはずが、突然の不正アクセス事件に見舞われる。そこへ、伝説のヒーロー、スーパーヴィットリオが登場し、セキュリティーと不正アクセスについて講釈すると、Auth0の導入を薦めるという内容。専門用語がガンガン出てくるので、楽しく学べるかどうかは微妙なところだが、素人にもセキュリティーの大筋はわかる。初心者は、多要素認証の3要素(知識・所持・生体)だけでも覚えておくといいだろう。

スーパーヴィットリオのモデルは、Auth0の認証アーキテクト責任者のヴィットーリオ・ベルトッチ(Vittorio Bertocci)氏。「堅苦しく捉えず、まずは動画を見て笑っていただけると幸甚に存じます」と同氏は話している。

Auth0は、創業者のユーへニオ・ペース氏とマティアス・ウォロスキー氏の出会いからAuth0の立ち上げ、プラットフォーム開発の経緯をマンガ化した電子書籍「マンガでわかる!Auth0誕生の秘密とは」を2020年11月に無償公開している。なかなか洒落っ気のある会社のようだ。こうなると、次を期待してしまう!?認証サービスのAuth0が不正認証について学べるアニメをYouTubeで公開、「伝説のスーパーヴィットリオ〜Auth0で不正ログインから世界を救う!」

環境音を多要素認証のトークンとして利用する

今や私たちは2要素認証にかなり慣れることができた。新しい場所からログインする場合に4桁のコードを入力するのは、それほど不便というわけでもない。しかし、とあるスイスの研究者たちが、何の作業も必要としないスマートな認証方法を発表した。環境音の利用だ。

多要素認証の背後にある考え方は、基本的には、あるログインが偽装者やハッカーによるものではなく、実際のユーザーからのものであることを確認しようとするものだ。ユーザーが所有する第2のデバイスに、チェックのためにコードを送るのは1つの方法だが、それが唯一の方法というわけではない。

チューリッヒにあるスイス連邦工科大学(ETHZ)からのスピンオフ企業Futuraeは、Sound-Proofと呼ばれるソフトウェアの中で環境そのものを認証トークンとして利用している。

あるサービスが認証チェックをしたい場合に、認証システムは、ログインしようとしているデバイスとユーザーが所有している個人的デバイス(おそらくはスマートフォン)の両者に対して問い合わせを行う。システムはそれぞれのデバイス上で3秒間の録音を行い両者を比較する。もし両者が実質的に類似しているなら、ユーザーはログインしようとしているデバイスと同じ場所にいるので正しいログインと判断され、ログインが先へ進められる。

例えば、同じ曲の同じ部分や、同じ内容のおしゃべりが、両デバイスのバックグラウンドで流れていた場合には、大丈夫だと判断される。しかし、電話が鳥のさえずりだけを聞いているのに、ラップトップが人びとの雑談の声を拾っていたとしたら、それはおかしい。同社は、携帯電話がポケットやバッグの中にあっても、あるいは隣の部屋にあっても、この機能はうまく働くと言っている。

もし完全に静寂だった場合には、バックグラウンドノイズの代わりに超音波を使うことができる。この場合、ログインを要請されたデバイスから人間の耳には聞こえないチチチという音を再生し、携帯電話のアプリでそれを聞き取るのだ。

当然のことながら、これらの比較は全て波形レベルで行われていて、録音された音自身が外部に送信されることはない。

もちろん、これは数字によるトークンやドングルを置き換えるものではないが、追加の要素として、あるいはリスク評価技法として利用することができだろう。

Futuraeは最近、地元のVenture Kickコンペティションで13万フラン(現在はほぼドルと同価値)を獲得した。同社はこのキャッシュを使って、Sound-Proofをデモ版から商用版に進化させる計画だ。

[ 原文へ ]
(翻訳:Sako)

FEATURED IMAGE: GETTY IMAGES / MIKE POWLES