よくある質問
キーテル認証のよくある質問
Q1.悪意者が、送信元(From:)のメールアドレスを偽造するとどうなるの?
悪意者は、送信元(From:)のメールアドレスを偽造することによって、正当なユーザになりすましてログインできてしまいます。 そこで、キーテルでは、以下の対策を実施することによって、悪意者によるなりすましをブロックします。
- キーテル認証の際に、送信元(From:)のメールアドレスの偽装を検知する。そして、送信元(From:)のメールアドレスが偽造されている場合には、悪意者からのログインであると判断して、認証失敗とする。 携帯電話は、迷惑メール防止対策が進んでおり、携帯電話から送信される電子メールについては、メールアドレスの偽装を容易に検知できます。
- キーテル認証をフィッシング・スパイウェア対策として用いる。 この場合、キーテル認証を、従来のID・パスワードによる認証と併用します。これによって、フィッシング・スパイウェアを完全に防止し、従来のID、パスワードによる認証以上のセキュリティレベルとなります。例えば、キーテル認証は、パスワード発行機やパスワードカードによる認証の代わりとなります。
Q2.悪意者が、送信先(To:)のメールアドレスを偽造するとどうなるの?
悪意者は、送信先(To:)のメールアドレスを偽造しても、一切利益を得られません。なぜなら、悪意者によって偽造された送信先(To:)のメールアドレスをワンタイムメアドとして表示した他人のパソコンが、悪意者としてログインされるからです。
但し、このような事態は、ほぼ100%起こりえません。なぜなら、ワンタイムメアドは、ランダムな文字列で構成され、一定時間後に破棄されるので、偽造がほぼ不可能だからです。
Q3.悪意者が、他人の携帯電話を拾って、電子メールを送信するとどうなるの?
キーテル認証は、電子メールの送信元(From:)のメールアドレスに基づいて、ユーザを特定します。よって、悪意者は、拾った他人の携帯電話からメールを送信することによって、この携帯電話の所有者になりすましてログインできてしまいます。
携帯電話からの電子メールの送信は、携帯電話会社の電話センターに連絡することで、止められます。 また、携帯電話を所有者本人しか操作できないように設定しておくことで、このような事態を防ぐことが出来ます。 なお、携帯電話は、個人情報の宝庫であり、所有者本人しか操作できないようにする様々な技術が開発されています。
Q4.どうして電子メールを送ると、WEBサイトにログインできるの?
ワンタイムメアドは、1回の認証で使い捨てられます。つまり、1つのワンタイムメアドが表示されているパソコンは、世界に1つです。したがって、ワンタイムメアドを送信先(To:)とする電子メールを送信することができるのは、そのワンタイムメアドを表示しているパソコンを操作しているユーザに限られます。
一方で、携帯電話のメールアドレスを送信元(From:)とする電子メールを送信することができるのは、その携帯電話の所有者に限られます。事前にWEBサイトへ携帯電話のメールアドレスが登録されていれば、携帯電話の所有者がどのパソコンを操作しているかを判別できます。
つまり、電子メールの送信先となったワンタイムメアドによって、電子メールの通信とパソコンからWEBサイトへの通信というまったく別個の二つの通信が対応付けられます。 この二つの通信の対応付けを利用して、WEBサイトへログインできるのです。
キーテル認証(ダイヤル版)のよくある質問
Q1.悪意者が、発信者電話番号を詐称するとどうなるの?
悪意者は、発信者電話番号を詐称することによって、正当なユーザになりすましてログインできてしまいます。 しかし、現在では、携帯電話の発信者電話番号の詐称は、ほぼ不可能です。 なぜなら、発信者電話番号は、携帯電話から発信されるのではなく、携帯電話会社の通信装置から発信されるからです。
発信者電話番号の詐称が心配な場合、キーテル認証(ダイヤル版)をフィッシング・スパイウェア対策として用いる。 この場合、キーテル認証(ダイヤル版)を、従来のID・パスワードによる認証と併用します。
これによって、フィッシング・スパイウェアを完全に防止し、従来のID・パスワードによる認証以上のセキュリティレベルとなります。 例えば、キーテル認証(ダイヤル版)は、パスワード発行機やパスワードカードによる認証の代わりとなります。
Q2.悪意者が、発信先の電話番号を詐称するとどうなるの?
通常、WEBサーバー(CTI機能付)は、ダイヤルを着信できません。 つまり、認証自体が不可能となります また、WEBサーバーが持つ複数の電話番号(サーバ電話番号)のうちの一つに発信先の電話番号が詐称された場合であっても、悪意者は、一切利益を得られません。
なぜなら、悪意者によって詐称された電話番号を表示した他人のパソコンが、悪意者としてログインされるからです。
Q3.悪意者が、他人の携帯電話を拾って、ダイヤルするとどうなるの?
キーテル認証(ダイヤル版)は、ダイヤルの発信者電話番号に基づいて、ユーザを特定します。 よって、悪意者は、拾った他人の携帯電話からダイヤルすることによって、この携帯電話の所有者になりすましてログインできてしまいます。
携帯電話からのダイヤルの発信は、携帯電話会社の電話センターに連絡することで、止められます。 また、携帯電話を所有者本人しか操作できないように設定しておくことで、このような事態を防ぐことが出来ます。 なお、携帯電話は、個人情報の宝庫であり、所有者本人しか操作できないようにする様々な技術が開発されています。
Q4.どうしてダイヤルすると、WEBサイトにログインできるの?
WEBサーバは、多数のサーバー電話番号を持っています。 サーバー電話番号は、1つの認証処理に割り当てられている間は、他の認証処理に割り当てられることがありません。 つまり、1つのサーバー電話番号が表示されているパソコンは、世界に1つです。
したがって、サーバー電話番号にダイヤルできるのは、そのサーバ電話番号を表示しているパソコンを操作しているユーザに限られます。一方で、携帯電話の電話番号を発信者電話番号とするダイヤルを発信することができるのは、その携帯電話の所有者に限られます。
事前にWEBサイトへ携帯電話の電話番号が登録されていれば、携帯電話の所有者がどのパソコンを操作しているかを判別できます。つまり、ダイヤルの発信先となったサーバ電話番号によって、ダイヤル(電話通信)とパソコンからWEBサイトへの通信というまったく別個の二つの通信が対応付けられます。
この二つの通信の対応付けを利用して、WEBサイトへログインできるのです。
Q5.ユーザに、通話代金の負担はあるの?
キーテル認証(ダイヤル版)は、携帯電話の発信者電話番号に基づいて、ユーザを特定します。ダイヤルが通話状態にならなくても、携帯電話の発信者電話番号は通知されるので、ユーザに通話代金の負担はありません。