暗証番号

まえがき

ATMやパソコン、スマホの操作はいまや日常茶飯事となっています。そして、この操作の前提となっているのが暗証番号（PIN）とID・パスワードです。

PINやID,　パスワードという言葉の意味はなんでしょう？これらの言葉は同じなの？、どう違うの？、どのように関係しているの？、と聞かれても私は即答できません。

「暗証番号はなぜ4桁なのか？セキュリティを本質から理解する」（光文社新書）という一冊の小冊子が、これまで私が理解できなかったこれらの問題のジグソーパズルの空白に要（かなめ）のピースをもたらいてくれました。

そこで今回はPINに焦点を当てながら、ID, PIN, PASSWARDなどの意味をしっかり理解するため、以下に整理してみました。

1. IDとは

IDは英語のidentificationの頭文字で、識別、見分ける、と訳されています。

コンピュータの世界でいう「複数のユーザーを持つコンピュータシステムで用いるユーザー識別番号」や「識別子identifier、対象を識別するために使われる記号列」と同じ意味です。

インターネットのプロバイダーやLANのデータベースに接続する際に、ユーザーが本人であるかどうかを確かめるために用いられます。

一般的には、IDはパスワードとセットにして用いられます。IDは「ユーザー名」とも呼ばれます。

IDは、JANコードや商品アイテムコード（流通システム開発センター）、企業コード（東京商工リサーチ）、個人番号コード（行政における特定の個人を識別するための番号の利用等に関する法律）、住民票コード（住民基本台帳法）などの一種です。

２．PINとは

personal identification numberの頭文字です。一般に暗証番号と称されています。

データベースや情報サービスなどを利用する際に、利用者が本人かどうかを判断するために使用する文字列のことです。

本人のみが作成する秘密の識別番号です。大雑把にいうと、PINの役割と　と　パスワードとの役割とは同じですが、後述するように、厳密に見ると違いがあります。

PINはキャッシュカードやクレジットカード、パソコンなどの利用に際し、持ち主が本人かどうかを確認する使われる通常４桁の数字です（後述するように、ワンタイムパスワードは6桁です）。

3. パスワードとは

くだいて言うと「合言葉、たとえば、やまと言えばかわ」という意味です。コンピュータの世界では、コンピュータを利用するに際し、本人であることを証明するために用いられる秘密の文字及び数字の羅列を指します。

通常は、IDと対（つい）にして用います。セキュリティ上、パスワードの秘密性は厳重に守られていですが、桁数が低ければ低いほど、辞書攻撃や総当り攻撃などの手法で見破られる可能性が高いといわれています。

4. PINとPasswordの違い

キーボードをご存知ですね。パソコンのディスプレー機の前においてあるキーボタンを並べたパソコンへの入力装置です。

さまざまな種類があります。標準型でいうと、ひらがな、カタカナ、数字、英語のアルファベット、エンターキー、変換キー、ファンクションキー、テンキーなど106のキーボタンがずらりと並べられています（これをフルキーボードといいます）。

また、シンプルでボタンの数が0から10程度に限られている小型のキーボードもあります（これをテンキーボードといいます）。

パスワード作成に使われる文字、数字、記号などは、このキーボードに収められているものに限られています。

一方、PINは本質的にはパスワードと同じですが、PIN作成のために使えるのは限られた数字だけです。

パスワード作成のために使えるの文字等に比べて格段に限定されています。技術者や軍隊で使われている用語で　KISS principle (Keep It Short and SimpleまたはKeep It Simple, Stupid)という言葉があります。

直訳すると、「簡潔に、単純にしておけ」、または「シンプルにしておけ、この間抜け！」となります。PINとパスワードとの関係を調べているうちに、このKISSと言う言葉を思い出しました。

5. PINはいつごろから始ったか

ATMは1967年に英国のバークレイズ銀行で初登場しました。

当初は、ATMで本人認証のために使う手法として6桁の数字の組み合わせが考えられていましたが、覚え易いという理由で、4桁の数字になったと伝えられています。

PINは4桁に限られてはいません。アジアのほとんどの国は6桁、イタリアは5桁の暗証番号を採用しています。

PINを発明した人は、ジェームス・グッドフェロー（英国人）という人です。彼はその功で2006年に大英帝国勲章OBE (Order of the British Empire)を授与されました。

6. PINはなぜ４桁か

合理的、法律的、理論的な根拠はありません。次のような説がありますが、みな確たる説明ではありません。

1.  コンピュータに都合がよいから
2. 年寄りでも覚えられるから
3. あまり複雑で長い番号を作ると作った本人が忘れてしまうから
4. シンプルで覚えやすいから

7. 暗証は仏教用語

暗証番号についていろいろ調べているうちに、「暗証」という言葉の語源が、仏教用語の「暗証禅師」に由来していることを知りビックリしました。

PINを直訳すると「個人識別番号」です。これを「暗証」と名付けた人が誰なのかは「読み人知らず」です。

仏教用語というと、暗証禅師とは、経典の言葉から離れてひたすら座禅ばかりしてお釈迦様の悟りを直接体験しようとする禅僧のことです。

他宗のお坊さんがこれを嘲けって名付けた名前だそうです。仏教界では暗証についていろいろな説明が加えられ適増した。

あるときは「どっちもどっち」、あるときは「暗闇で悟る」なんていう解釈まで出たそうですが、今では「ある人が本人であることを暗に証明すること」と解釈されているそうです。

8. パスワードやPINを窃取する方法

パスワードやPINを推測する手法としてよく使われるのが、辞書攻撃法と総当り法です。

前述したとおり、パスワードやPINは数字や文字の組み合わせです。すこし根気よく推測していくと正式なものに「ビンゴ！」です。

辞書攻撃法

PINは4桁の番号の組み合わせです。つまり、0000から9999まで一万通りの番号がありえます（ただし、銀行によっては、同じ番号たとえば1111、連続番号1234、0から始る番号0111などをPINとしては受付けないところもありますから、PIN番号の種類はその分だけ一万通りより少なくなります）。

総当り攻撃法（ブルートフォース攻撃法）

パスワードやPINなどで理論的にありうるパターンすべて入力して解読を試みる方法で、数字が1桁で0から9までの場合は10パターン、4桁で0000から9999までの場合は10,000パターン、6桁の場合では000000～999999なら10万パターン、英数字000000～ZZZZZZなら36の6乗パターン、英数字：大文字、小文字もあるなら62の6乗パターンがあります。

途方もなく多いパターン数があるように見えますが、コンピュータを使えばさしたる難作業ではありません。

その他の代表的な手法

1. 儲け話しに乗せる
2. 肩越しの覗き見
3. 騙して、あるいは脅して聞き出す
4. フィッシング
   Phishing(魚釣り)とPhreaking(電話回線への侵入)とを組み合わせた造語。実在するカード会社や大手加盟店などを装ってメールを送りつけ、カード情報を盗み出す手口。
5. ファーミング
   Farming(農業)とsophiscated(洗練された)とを組み合わせた造語。「土を耕し種を蒔き後は収穫を待つ」ことをもじった言葉。パソコンのキー操作を記憶し、DNSサーバを使ってカード情報を転送するウイルスを埋め込み、カード情報を転送する手口。
6. 不正アクセス
7. 偽サイト（twitter やfacebookを含む）を悪用
   本物そっくりの偽のサイトを作り、閲覧者にPINやパスワードを入浴させて窃取する手口。

9. パスワードやPINの秘匿策

パスワードやPINを秘密にする上で心掛けるべき主な対策は次のとおりです。

1. パスワードを作成する場合、使える数字や文字の種類を出来るだけ多く使う。
2. 記憶するのが大変ならばメモしてよいが、IDとパスワードのメモは別々に保管する。
3. ワンタイムパスワード（注）を使い、PINを定期的に変更する。
   （注）一定期間ごとに自動的に新しいパスワードに変更され、しかも一度しか使うことが出来ないパスワードのことです。
   銀行に申し込むと、一定条件の下で、ポケットサイズで持ち運びが便利な「カード型ワンタイムパスワード専用端末」が利用できます。スマホ利用に対応した「モバイル・ダイレクト」と呼ばれるワンタイムパスワードもあります。
4. ログイン記録を常時確認し、不正侵入を早めに探知する。
5. 多数の人が使用するパソコンには、ID・パスワードは入力しない
6. フィッシング・ファーミング詐欺に注意する。
7. 無料のWi-Fiサービスを安易に利用しない。
   公衆Wi-Fiの仕組次第では、通信を他人に盗み見られたり、自分のパソコンにウイルスを仕掛けられ、遠隔操作で個人情報が盗まれることがあります。
8. ログイン画面が表示されたら、URL（ドメイン）を必ずチェックする
   偽サイトはネット上で平文でパスワードを送信するので盗聴されるリスクがあります。
   犯人は本物のサイトと同じサイトを表示することはできますが、URLは同じものを使えないので見間違い易い文字を使います（たとえば、twipitterやitterなど）。
9. パスワードに関するメールは信じない
   金融機関は決してパスワードに関するメールは出しません。このメールを信じてはいけません。NHKが、振り込め詐欺対策の一つとして繰り返して放送している「電話でお金の話が出たら決して信じてはいけません」という警告と同じです。
10. あるサイトにアクセスするときは、必ず公式のブックマークを利用する。