多要素認証基盤「Symantec VIP」に「MITB攻撃にも効果的」な新機能

モバイルプッシュ認証の概要

　株式会社シマンテックは19日、多要素認証クラウド「Symatec Validation and ID Protection（VIP）」の」新機能「VIP Access Push（モバイルプッシュ認証）」を発表した。

　VIPは、ワンタイムパスワード（OTP）認証、機器のIDを利用するデバイス認証、リスクベース認証、二経路認証、送金時認証などの複数の認証方式を自由に組み合わせ、ネットサービスへの不正アクセスを防ぐクラウド型多要素認証サービス。

　モバイルプッシュ認証は、これら既存の認証方式より、さらにシンプルに使える上、認証後にトランザクションの内容を改ざんするため、認証では対応できないMITB（Man-in-the-Browser）攻撃にも一定の効果が期待できるという。

　モバイルプッシュ認証は、サービスへのログイン時にスマートフォンで本人認証する機能。社内へのVPN接続、クラウドサービス、オンラインバンキングといったサービスを利用する際に、専用スマホアプリにてサービスID・パスワードを入力。すると、サービス側からスマートフォンに通知（モバイルプッシュ認証画面）が送られてくる。そこにある承認ボタンを押すだけで認証され、PC上の画面が自動で遷移し、ログインが完了する。

　メリットは、OTP認証と同等のセキュリティレベルをワンクリックで実現する点。OTP用デバイスを持ち歩く必要もなく、一般の人にも敷居の低い認証が可能になるとしている。また、ユーザーに意識させず、VIPのほかの認証方式と組み合わせることも。例えば、デバイス認証により認証済みのデバイスかどうかの確認や、リスクベース認証により認証元情報を分析し、不正利用者からの操作でないかのチェックなどが可能となる。

　送金認証にも利用が可能。モバイルプッシュ認証画面にログイン情報（サイトのドメインや時間など）を表示できるため、正規のサイトかをスマホ上で確認できる。また、送金の段階でモバイルプッシュ認証を行うようにすれば、送金金額や振込先が途中で勝手に改ざんされていないかを確かめられるため、MITB攻撃の対策としても一定の効果があるという。

　価格は、1000人の場合で年額2400円/ユーザー。既存ユーザーは追加料金なしでモバイルプッシュ認証を利用できる。