ニュースリリース

人に聞こえない「音」がパスワード代わりに
記事提供:TechTargetジャパン

 米Googleがイスラエルの新興企業SlickLoginを買収した。SlickLoginは、「音」を用いたオンラインサービスのユーザー認証技術を開発している。SlickLoginは、自社WebサイトでGoogleによる買収を認めている。だが、買収に関する金銭的な条件などは明らかにしていない。

記事

SlickLoginを用いたユーザー認証の仕組み

SlickLoginを利用するオンラインサービスでは、まず人間の耳では聞こえない音の信号をPCのスピーカーから出力し、利用者のスマートフォンにインストールされたSlickLoginアプリでその信号を検知。そして、スマートフォンからPCに信号を送り返すことで、ユーザー認証を完了する仕組みとなっている。

SlickLoginのテクノロジーは、Wi-FiやBluetooth、QRコードなどの通信プロトコルと連携する。これにより、利用者のスマートフォンとオンラインサービスにアクセスするPCが、同一の場所に存在するかを確認する。

同技術の開発者らは、SlickLoginは「軍用レベル」のセキュリティを提供すると主張している。全てのデータは厳重に暗号化され、スマートフォンによる音の認証が機能するのは極めて限定的な時間のみであるという。

SlickLoginのWebサイトによると、創業者の3人は、最近までイスラエル国防軍のエリートサイバーセキュリティ部門に所属していた。また、最新情報セキュリティプロジェクトに6年以上従事していた経験を持つ。

パスワードの置き換え、追加のセキュリティレイヤーとしての可能性

同社のテクノロジーは、パスワード認証システムの置き換え、あるいは2要素認証を可能にする追加のセキュリティレイヤーとして利用できる。

米Googleは、2要素認証を早期に導入したオンライン企業の1社である。その後、ユーザー名やパスワードの大規模な流出が相次いだこともあり、その他の企業もこれに追従した。

現在利用されている多くの2要素認証システムは、携帯電話のSMS経由で送られたワンタイムパスワードや、セキュリティトークンなど特別な端末などによって自動生成されるコードを利用する仕組みとなっている。

だが、テキストベースのシステムには脆弱性が潜んでいる。例えば、ハッカーがアカウントを乗っ取り、携帯電話番号の設定を変更すれば、認証に必要なコードを受け取ることが可能になってしまう。

SlickLoginには、こうした脆弱性が存在しない。また、一部の銀行などが提供するコード生成用の端末を別途利用する必要もない。

SlickLogin買収、Googleの思惑は

一部のアナリストは、GoogleがAndroidデバイスとGoogleサービスの2要素認証に、このテクノロジーを利用するのではないかと予測している。

Googleは、オンライン認証をより容易かつ安全なものにすることを目指しており、今回の買収もその流れの中で説明できる。

2013年10月、Googleは2要素認証用のセキュリティトークンを提供する計画を認めている。同社はまた、セキュア認証の推進団体であるFast IDentity Online Alliance(FIDO Alliance)のメンバーにもなっている。

同団体は、よりシンプルで強固な認証標準の策定を目的としたオープンな業界コンソーシアム。最近では、新たな認証プロトコル「Online Security Transaction Protocol」(OSTP)の技術仕様のドラフトを発表した。

OSTPは、多種多様な認証方式の相互運用を可能にすることで、将来的にパスワードを不要にする可能性を秘めている。

対象となる認証方式には、バイオメトリクス技術やTrusted Platform Module(TPM)、USBセキュリティトークン、組み込みセキュアエレメント(eSE)、スマートカードなどが含まれる。