スマートフォンを 鍵 としたウェブサイトへの 自 動 ログイ ン 機 構 の 提 案 藤 川 真 一 山 内 正 人 砂 原 秀 樹 最 近,ウェブサイトが 不 正 アクセスされパスワードが 流 出 する 事 件 が 多 発 している.その 際, 流 出 したパスワードが 他 のウェブサイトと 同 じパスワードを 使 用 している 利 用 者 が 多 いため, 連 鎖 的 に 他 のウェブサイトへも 不 正 ログイン されるという 被 害 が 頻 発 している.これは,1) 簡 単 なパスワードが 用 いられておりクラックを 受 けやすいこと,2)セ キュリティホール 等 により 不 正 ログインが 可 能 である 場 合 があること,3) 複 数 のウェブサイトで 同 一 のパスワードを 使 っていることなどが 問 題 である. 解 決 法 として,ウェブサイト 毎 に 別 のパスワードを 使 うことや,2 段 階 認 証 など を 啓 蒙 している.しかし,ユーザの 意 識 に 期 待 する 手 法 は, 多 様 な IT リテラシーの 利 用 者 が 存 在 する 現 状 において 妥 当 性 のある 解 決 法 ではない.また 理 解 が 難 しいログイン 方 法 はユーザビリティの 低 下 を 招 き 普 及 の 障 壁 になってい る. 本 稿 ではこの 問 題 を 改 善 するために,ユーザビリティを 下 げることなく, 既 存 システムの 改 修 を 最 小 限 にしたロ グイン 管 理 システム SmartLogin Key を 提 案 する.これは,スマートフォンのアプリケーションにパスワードの 自 動 発 行 管 理 を 行 わせるものである.プロトタイプを 実 装 し,ユーザ 登 録 が 容 易 となり, 自 動 ログインが 実 現 可 能 であ ることを 確 認 した. The proposal of the automatic login mechanism to the website which used the smart phone as the "key" SHINICHI FUJIKAWA MASATO YAMANOUCHI HIDEKI SUNAHARA Nowadays, many web sites have been cracked and passwords are stolen by cracker. The stolen passwords are used for accessing to the other web sites. The problems are caused by 1) using easy password, 2) using same passwords for the other web sites. To solve these problems, using different passwords for each web site, 2-Step Verification are said to be effective. However, relying on users themselves for this problem and using a log-in complicated system cannot be said for the best solutions because they push responsibility to the users. In this research, we develop a log-in system using smart phones to purpose for a) not pushing so many tasks to the users, b) redeveloping existed systems minimally. The system is called SmartLogin Key. As the result, comfortable user registrations and automatic login could be showed using a prototype we developed. 1. 背 景 昨 今,ウェブサービスがクラックされ,パスワードを 含 むユーザ 情 報 が 流 出 し, 不 正 に 取 得 されたユーザ 情 報 から 芋 づる 式 に 別 のウェブサービスに 不 正 ログインされてしま う 問 題 が 頻 発 している. 最 初 はウェブサービス 側 のシステ ム 上 の 不 具 合 がきっかけとして 発 生 することが 多 い. 例 と して, 連 続 ログインの 処 理 が 不 適 切 でブルートフォースア タックによる 解 析 を 許 してしまう[1],データベースに 保 存 されているパスワードの 不 適 切 なハッシュ 化,またウェブ アプリケーションやサーバ 設 定 の 不 備 などが 挙 げられる [2].そこから 流 出 したログイン 情 報 と 同 じパスワードを 使 っている 他 のウェブサービスに 不 正 ログインされてしまう. これはユーザが 同 じパスワードを 複 数 のウェブサイトで 使 用 することで,インターネットという 分 散 環 境 の 中 で, 実 質 的 なシングルサインオンシステムになっていることが 問 題 である.しかし, 通 常 のウェブサービスの 利 用 規 約 では, ログイン 情 報 の 管 理 はユーザの 責 任 になっていることから, 慶 應 義 塾 大 学 メディアデザイン 研 究 科 Graduate school of media design, Keio University パスワードが 他 のウェブサービスと 共 通 化 されていること について 積 極 的 に 解 決 しようとするウェブサービス 事 業 者 は 少 ない. 各 ウェブサービス 事 業 者 は, 不 正 ログインの 被 害 を 受 け た 後 に,ユーザにパスワードを 他 のウェブサイトとは 別 の パスワードに 変 更 するように 指 導 しているが, 多 くのウェ ブサイトにてパスワードの 入 力 文 字 数 は 8 文 字 以 上 を 理 想 としており[3], 複 雑 なパスワードの 利 用 をユーザの 記 憶 に 頼 って 運 用 することは 非 現 実 的 である.パスワードによる ログインを 強 化 する 手 段 として,スマートフォンや 携 帯 電 話 とを 組 み 合 わせた 2 段 階 認 証 が 存 在 するが,こちらは 多 くのユーザにとって 概 念 を 理 解 することが 困 難 であり, 普 及 しているとは 言 いがたい. パスワードシステムは,システム 組 み 込 みのコストが 安 価 に 済 む 上 に,ユーザの 認 知 として 十 分 普 及 しているため に, 現 時 点 ではシステム 事 業 者,ユーザ 側 共 に 最 も 使 いや すいログインシステムである.そのため 現 状 のパスワード システムを 維 持 したまま,パスワードの 個 別 化 をサポート する 仕 組 みが 必 要 であると 考 えた. c2012 Information Processing Society of Japan 1
2. 問 題 の 解 決 についての 提 案 2.1 スマートフォンを 鍵 とした 自 動 ログイン 機 構 既 存 のパスワードシステムを 活 用 しつつ,ユーザビリテ ィを 損 なうことなくパスワード 個 別 化 を 実 現 するために, スマートフォンを 鍵 としたウェブサービスへの 自 動 ロ グイン 機 構 を 提 案 する. 現 在, 多 くの 人 が 所 有 するスマー トフォンには 電 子 メールや SNS,ネットバンキング 等 のア クセス 情 報 など, 様 々のパーソナルデータが 紐 付 いており, 肌 身 離 さず 持 ち 歩 くデバイスになっている.スマートフォ ンを 始 めとするスマートデバイスが,インターネットを 通 じて 別 の 端 末 上 のアクセス 認 証 を 行 えるようになることで, 鍵 のような 役 割 を 担 えると 考 える. 具 体 的 な 例 として, 以 下 のものを 提 案 する.PC のウェブ サービスにログインする 際 に, 既 存 のパスワード 入 力 と 並 行 し,ログイン 画 面 に QR コードを 表 示 する( 図 1).この QR コードを 読 み 込 んだスマートフォンのアプリケーショ ンが,ウェブサービスのログイン 管 理 サーバと 連 携 し,ア プリケーションが 自 動 でパスワードを 発 行 し,ユーザ 登 録 およびログイン 処 理 を 実 行 する.アプリケーションは,ユ ーザ 登 録 時 にランダムにパスワードを 発 行 することで,ユ ーザが 意 識 することなくウェブサービス 毎 にパスワードを 個 別 化 する. 再 ログイン 時 にも, 同 じ QR コードを 読 み 込 みアプリケーションがログイン 処 理 を 行 う. 個 別 化 が 可 能 である. tiqr は,QR コードを 活 用 した 認 証 の 仕 組 みで,ユーザ 体 験 およびバックエンドの 通 信 フローは 本 提 案 に 非 常 によく 似 ている.OATH と 呼 ばれる 認 証 プロトコルに 基 づいた 実 装 になっている. SQRL の 認 証 の 仕 組 みも 本 提 案 と 似 たようなユーザ 体 験 で 構 成 されている.QR コードに 記 載 されている URL がワ ンタイムキーとして 認 証 を 行 う 仕 組 みである. 2.3 本 提 案 の 特 徴 および 解 決 すること 本 提 案 が 先 行 事 例 と 比 べた 特 徴 と, 既 存 のパスワードロ グインシステムに 対 して 解 決 することは 以 下 の 通 りである. 1) 本 提 案 はツールではなく,ログイン 機 構 であり 仕 組 みの 提 案 である.スマートフォン 上 のアプリケーションを 鍵 と みなし, 他 のデバイス 上 のウェブサイトのログイン 情 報 を 関 連 付 ける 部 分 が 本 質 で,スマートフォン 上 のアプリケー ションの 実 装 形 態 は 本 論 文 で 実 装 したアプリケーションに 依 存 しない. 2) ウェブサイト 毎 に 個 別 のパスワードを 自 動 発 行 するこ とで,パスワード 情 報 流 出 の 影 響 範 囲 を 最 小 化 する. 3) ユーザがパスワードを 忘 れてしまってもスマートフォ ンさえあればウェブサイトにログインできる. 4) パスワードの 管 理 責 任 は 今 までどおりユーザに 委 ねる. 5) 既 存 のパスワードログインシステムをそのまま 流 用 す る. 本 提 案 を 導 入 する 際 のウェブサービスの 改 修 は 最 小 限 で 済 むように 設 計 されており,データのやりとりもシンプ ルである. 現 存 するデータベースの 構 造 を 変 えず,サーバ 側 にいくつかの 機 能 追 加 のみで 対 応 可 能 である. 3. 実 現 の 方 法 図 1 QR コードを 表 示 したログイン 画 面 の 例 2.2 先 行 事 例 スマートフォンのアプリケーションでウェブサイトのロ グイン 情 報 を 管 理 する 仕 組 みについては, 類 似 の 先 行 事 例 が 存 在 する.! 1password! tiqr! SQRL(Secure Quick Reliable Login) 1password は,マスターパスワード1つ 登 録 することで, 複 数 のパスワードを 一 括 管 理 するツールである.PC やスマ ートフォンにパスワードを 保 存 し,パスワードの 管 理 を 行 う.ランダムパスワードを 発 行 することで,パスワードの 3.1 本 提 案 の 実 験, 実 装 について. 本 提 案 を 検 証 するために, 以 下 のシステムを 開 発 した.! スマートフォンをウェブサイトの 鍵 とみなし,ログイ ンアカウント,パスワードを 管 理 するアプリケーショ ン Smartlogin Key( 以 下, 本 アプリと 記 載 する)! ウェブサービスと 連 携 するためのサーバサイドの 仕 組 み. 既 存 のパスワードによるログインに 加 えて,ロ グイン 画 面 に QR コードを 表 示 し,アプリケーション が QR コードを 読 み 込 むことで, 自 動 のユーザ 登 録 や ログイン 処 理 を 行 う. 3.2 Smartlogin key アプリの 機 能 概 要 本 アプリは, 以 下 の 機 能 で 構 成 される. a) ウェブサイトが 発 行 する QR コードを 読 み 込 み,QR コ ードに 記 載 されたログインポリシーの URL から,ログイン ポリシーを 取 得 し,アプリ 内 のデータベースに 保 存 する 機 能 c2012 Information Processing Society of Japan 2
b) 取 得 したログインポリシーに 記 載 された 内 容 を 元 に,ウ ェブサイトに 対 して,ユーザ 登 録 を 行 う 機 能 や, 自 動 でロ グインを 行 うサーバ 連 携 機 能 c) 登 録 済 みのウェブサイトを 一 覧 し,ログイン 情 報 の 編 集 や 削 除 等 を 行 える 機 能 d) ユーザ 登 録 時 に, 自 動 送 信 するためのプロフィール 設 定 機 能 e) ログインポリシーに 記 載 された 拡 張 属 性 に 対 応 するた めに,パスワード 変 更 やサービス 退 会 機 能 や,その 他,プ ライバシーポリシーや 利 用 規 約 などを 表 示 する 機 能 なお PC 側 の 端 末 を 識 別 するために QR コードに 含 まれる URL には 端 末 識 別 情 報 が 追 加 されている. 3.3 ログインポリシー 各 ウェブサイトが 発 行 する QR コードには,ログインポ リシーを 配 信 する URL を 埋 め 込 む.ログインポリシーとは, ウェブサイト 毎 のユーザ 登 録 に 必 要 な 情 報 を 記 載 したデー タである. 本 アプリでは,データベースに 保 存 されている 過 去 のログイン 情 報 と 照 合 し,ネームスペースとバージョ ン 番 号 が 一 致 したログイン 情 報 でログインを 試 み, 情 報 が 見 つからない 場 合 は,サービス 新 規 登 録 を 行 う. 表 1 にロ グインポリシーのフォーマットを 示 す. 表 1 ログインポリシーのフォーマット 名 称 データ 例 1 ネームスペース example.com 2 バージョン 番 号 1.0 3 サービス 名 称 Example Web Service 4 サービスの 説 明 自 分 だけの 素 敵 お 店 リス ト 作 成 サービス 5 サービスのアイコン http://example.com /icon.png 6 新 規 登 録 API URL https://api.example.com /user/register 7 ログイン API URL https://api.example.com /user/login 8 ログイン ID 種 別 (メールアドレスま たは 任 意 文 字 列 ) mail_address (メールアドレス) any 9 ログイン ID 利 用 可 能 A-Za-z0-9+-( 正 規 表 現 ) 文 字 列 10 パスワード 利 用 可 能 A-Za-z0-9+-( 正 規 表 現 ) 文 字 列 11 パスワード 最 小 文 字 7 数 13 パスワード 最 大 文 字 13 数 14 利 用 規 約 URL http://example.com /terms 15 プライバシーポリシ http://example.com ーURL /privacy 16 ログイン 情 報 変 更 https://api.exmaple.com/use URL r/edit 17 退 会 API URL https://api.example.com /user/resign 本 ログインポリシーの 記 載 内 容 の 詐 称 を 防 ぐためにポリシ ーファイルの 配 布 サーバのドメインとポリシーファイル 内 のネームスペースが 一 致 しない 場 合, 本 ファイルは 無 効 と する. 以 下 にログインポリシーのサンプルを 示 す. {"policy_version":1.0, "lang":"ja", "domain":"example.com", "service_name":"##name##", "service_description":"##description##", "service_icon":"http://example.com/icon.png", "register_url":"https://api.example.com/user/register", "login_url":"http://api.example.com/user/login", "id_type":"any", "login_usable_character":"a-za-z+-", "passwd_usable_character":"a-za-z+-", "passwd_count_min":6, "passwd_count_max":13, "term_url":"http://example.com/terms", "privacy_url":"http://example.com/privacy" } 3.4 ウェブサービスに 追 加 する 機 能 すでに 存 在 するウェブサイト,サービス,アプリケーシ ョンにおいて,データベース 構 造 やパスワードの 仕 様 を 変 更 せず, 以 下 の 機 能 を 新 規 に 追 加 するだけで, 本 システム を 実 現 する. i) ポリシーファイルの URL を 配 信 する QR コードを 生 成 し, 既 存 のログイン 画 面 に 掲 載 する. ii) ログインポリシーを 配 信 する API iii) 新 規 ユーザ 登 録 を 受 け 付 ける API iv) ID,パスワードを 受 信 し,ログイン 処 理 を 受 け 付 ける API v) ログイン 処 理 が 完 了 した 後 に,ウェブブラウザ 画 面 をロ グイン 完 了 画 面 に 導 く 機 能. これら 5 点 がウェブサービスに 必 要 な 機 能 である.その 他, 実 用 段 階 においては 登 録 内 容 の 変 更 機 能 や, 退 会 機 能 c2012 Information Processing Society of Japan 3
等 を 提 供 する API が 必 要 と 考 えられるが, 本 論 文 では 言 及 しない. 3.5 自 動 ログインの 処 理 フロー 本 アプリによる 自 動 ログインは, 図 2 に 示 すシーケンス でログイン 処 理 を 行 う. 本 アプリは QR コードからログイ ンポリシーを 読 み 込 み,API を 通 じて 自 動 で 認 証 を 行 い, 認 証 完 了 時 にウェブサーバからブラウザにログイン 通 知 を 送 る 流 れで 構 成 している. いる WebSocket が,Node.js サーバと 接 続 しているため,ロ グイン 完 了 時 にサーバからプッシュ 通 知 を 行 うことができ, それを 検 知 したウェブブラウザが 自 動 的 にログイン 完 了 画 面 に 導 いている. これら 機 能 を 用 いて,ログイン 画 面 ( 図 3)に 表 示 され ている QR コードをアプリで 読 み 込 み( 図 4), 自 動 ログイ ン 処 理 を 行 うことで,ウェブページを 自 動,かつ 速 やかに ログイン 完 了 画 面 ( 図 5)に 遷 移 させることに 成 功 した. 図 3 ログイン 画 面 図 2 ログインシーケンス 図 4 スマートフォンアプリによる QR コード 読 み 込 み ユーザ 新 規 登 録 の 際 には,パスワード 文 字 列 をログイン ポリシーに 定 められた 仕 様 に 沿 ったランダム 値 を 自 動 生 成 する.この 情 報 をアプリ 側 が 管 理 することで,ユーザをパ スワード 管 理 の 煩 わしさから 解 放 されると 共 に, 特 定 のウ ェブサービスがクラックされた 際 の 被 害 を 最 小 化 する. 4. 結 果, 実 装 について 本 研 究 の 実 装 環 境 を 表 2 に 示 す. 表 2 動 作 確 認 環 境 種 別 名 称 PC MacBook Pro Intel Core i7 2.4GHz メモリ 16GB OS Mac OSX 10.8.4 Web サーバ Ruby on rails 3.1.3 DB MySQL 5.5.27 Socket サーバ Node.js v 0.8.6 [4] ブラウザ Google Chrome 31.0.1632.4 スマートフォン ipod touch ( ios7.0.1) 図 5 ログイン 完 了 画 面 各 機 器 間 の 構 成 を 図 6 に 示 す. ログイン 処 理 を 行 うウェブシステムは,ログイン 画 面 を 表 示 するウェブサーバと,ログイン 処 理 完 了 後 に 完 了 画 面 を 表 示 する Node.js サーバで 構 成 されている. ウェブブラウザが 読 み 込 んでいる HTML5 [5] 上 で 動 作 して 図 6 サーバ 構 成 c2012 Information Processing Society of Japan 4
5. 考 察 本 提 案 のシステムを 使 うことで,ウェブサイト 毎 にパス ワードを 自 動 生 成 しながらも,ユーザに 負 担 をかけること なくウェブサービスへのログインが 可 能 になった.ユーザ の 利 便 性 という 観 点 において,スマートフォンアプリケー ションから QR コードを 読 み 込 むだけでログインできるロ グイン 管 理 ツールとして 機 能 しており,ウェブサイト 毎 に 異 なるパスワードを 覚 えることに 比 べ, 簡 便 な 方 法 で 日 常 のログイン 機 能 が 実 現 できた. このシステムの 問 題 点 は,スマートフォンと Web サーバ の 間 には,インターネットを 介 して 接 続 する 以 外 にシステ ム 上 の 繋 がりがないことである.また QR コードは, 配 信 するサーバのドメイン 等 に 依 存 せず 単 体 で 配 布 可 能 な 媒 体 のため, 悪 意 のある 攻 撃 者 によって, 全 く 違 う 場 所 にある 他 人 の PC にログイン 情 報 を 送 信 してしまう 問 題 も 想 定 で きる.また,ログインポリシー 自 体 が 詐 称 される 懸 念 にお いても 議 論 が 必 要 だと 考 える. 6. 課 題 今 後 の 課 題 として,QR コードに 含 まれる 端 末 識 別 情 報 が 詐 称 された 時 に, 悪 意 のある 利 用 者 の 端 末 にログインし てしまうことを 防 ぐ 検 証 が 必 要 と 考 える.また,ログイン ポリシーの 詐 称 可 能 性 についても 対 応 していく 必 要 がある. スマートフォンが 壊 れてしまった 時 やアプリを 削 除 して しまった 時 に,もとに 戻 す 仕 組 みが 別 途 必 要 になる.クラ ウドストレージ 上 に 暗 号 化 したデータでバックアップをと っておくことが 有 力 な 方 法 だが, 情 報 を 復 元 するためにパ スワードを 使 用 してしまうと,1つのマスターパスワード ですべてのログイン 情 報 を 管 理 しているのと 同 じ 状 態 にな ってしまうため,パスワード 文 字 列 に 委 ねるのは 避 けるべ きである. 代 替 となる 手 段 としては, 秘 密 の 質 問 を 活 用 する 方 法 [6] や, 記 憶 からパスワードを 生 成 できる EpisoPass[7]と 連 携 す るなどし, 特 定 のパスワードに 依 存 しない 情 報 から 復 元 さ せる 仕 組 みの 採 用 が 必 要 と 考 えている. 7. まとめ 今 回 は, 日 本 人 に 親 しまれている QR コードを 用 いて, スマートフォンによる 自 動 ログインシステムのプロトタイ プを 作 成 した.パスワードは 多 くのユーザに 定 着 しており, QR コードは,iOS の Passbook や,アジアの E コマースで 活 用 されるなど 認 知 が 高 まっていることから[8],シンプル でユーザ 認 知 が 高 い 仕 組 みのため 普 及 させやすいインター フェスと 考 えられる. スマートフォン 専 用 のウェブサービスについては, 本 ア プリから 直 接 ログインしてしまう 仕 組 みを 追 加 すれば 対 応 可 能 である. スマートフォンをウェブサイトの 鍵 となる 重 要 な 情 報 を 保 存 するという 行 為 に 対 するセキュリティの 懸 念 にお いては,スマートフォンに 今 後, 指 紋 認 証 等 が 搭 載 される ことでより 解 決 することが 期 待 される. また 前 述 した 通 り,QR コードは 配 信 するドメインと QR コードに 掲 載 されているウェブサービスのドメインとは 紐 付 かないことが 懸 念 材 料 ではあるが,セキュリティの 懸 念 が 解 決 してさえいれば, 電 信 柱 の 交 通 広 告,イベントのポ スター, 雑 誌 やショッピングバッグに 印 刷 した QR コード からウェブサービスに 簡 単 にアクセスできるように 発 展 可 能 なため, 今 後 出 てくる Google Glass 等 のスマートデバイ スなどの 画 像 入 力 が 可 能 で, 入 力 に 制 約 があるインターネ ット 接 続 デバイスとも 親 和 性 が 高 い 仕 組 みだと 考 える [9]. 今 後, 詳 細 な 課 題 を 解 決 した 上 で, 本 仕 様 を 公 開 し, ウェブサービスを 運 営 する 企 業 に 提 案 していきたいと 考 え ている. 謝 辞 本 研 究 は JSPS 科 研 費 24650031 の 助 成 を 受 けたものです. 参 考 文 献 1) Yan, J and Blackwell, A. and Anderson, R.,Grant, A.: Password memorability and security: Empirical results, Security and Privacy, IEEE, Vol. 2, No. 5, PP. 25-31 (2004) 2) 八 津 川 直 伸, 石 野 貴 子 : 重 大 な 脅 威 に 対 するセキュリティ 設 計 手 法 の 考 察 UNISYS TECHNOLOGY REVIEW, ユニシス 技 報, 日 本 ユニシス, Vol. 98, No.3 (2008) 3) 山 田 純 一 :パスワードの 安 全 性, 富 山 大 学 総 合 情 報 基 盤 センタ ー 広 報, Vol.10: pp.44-47 (2013) 4) Node.js http://nodejs.jp/ (2013 年 9 月 現 在 ) 5) HTML5 http://www.whatwg.org/specs/web-apps/current-work/multipage/ (2013 現 在 ) 6) 平 野 亮, 森 井 昌 克 : パスワード 運 用 管 理 に 関 する 考 察 および 提 案 とその 開 発, 信 学 技 報, Vol. 111, no. 286, LOIS2011-47, pp. 129-134 (2011) 7) EpisoPass - 記 憶 からパスワードを 生 成 http://episopass.com/ (2013 年 9 月 現 在 ) 8) QR コードに 関 する 調 査 を 東 アジア 主 要 4 カ 国 地 域 でス マートフォン 利 用 者 を 対 象 に 実 施 http://www.gmo.jp/news/article/?id=3953(2013 年 9 月 現 在 ) 9) QR コードで Google Glass にハッキング http://wired.jp/2013/07/19/glass-new-vulnerabilities/ (2013 年 9 月 現 在 ) c2012 Information Processing Society of Japan 5