金融取引におけるPIN認証のセキュリティ要件について1

摘要

金融機関では，CD/TMによる本人認証を主にキャッシュカードと4桁の暗ま正番号(PIN)を利用して行っている．キャッシュカードに関しては，わが国の多くの金融機関は，カードの偽造対策の1つとして，従来の磁気ストライプ·カードに代えてICカードの導入を現在進めている．こうした実態を踏まえ，我々はICカ一ドとPINを組み合わせて利用する認証システムにおけるセキュリティ要件について検討を遅めている．検討にあたっては，まず，組み合わせて利用する2つの認証方式について別々に分析を行い，それらの分析結果を組み合わせるというアプローチを採用する．我々は，既に2において，被認証者が正当なICカードを所持しているか否かを確認する認証システムに焦点を当て，偽造カード作製によるなりすましに対抗するための必要条件を導出した．そこで，本稿では，次の検討の対象として，PINを利用した認証システムに焦点を当てる．まず，ISO9564-1に基づいて同システムを5つのタイプに分類するとともに，なりすましを目的とする具体的な攻撃方法を明らかにする．そのうえで，なりすましに対抗するための必要条件を各タイプに応じて導出する．本稿および［2］の検討結果を同時に参照することによって，なりすましを想定した場合にICカードとPINを組み合わせて利用する認証システムのセキュリティ要件を容易に得ることができる．