無料お見積りブログ
BLOG
設定しなきゃヤバイ?二段階認証でセキュリティ対策
IDとパスワード、同じものを別のサービスに使いまわしていませんか?何年も同じ文字列を使っていたりしませんか?
さまざまなものがアカウントで管理される時代です。便利になる一方で、「IDとパスワードを知られたら個人情報が漏洩してしまう」というリスクも背負っています。
もちろん「サービスごとに固有の文字列を使う」「定期的にパスワードを変更する」といった対策は必要です。ですが、二段階認証を取り入れるだけで、つい管理を後回しにしがちなアカウントのセキュリティレベルがぐっと上がります。今回は二段階認証について解説いたします。
目次
二段階認証とは?
二段階認証とは、ログイン時のID・パスワード入力の他に、もうひとつ別の情報を使ってログインする方法です。
主な手法は、IDなどのログイン情報を入力した直後、ショートメールなどに届いた即時発行の認証コード(ワンタイムパスワード)を入力する形です。「ログインIDとパスワードを知っている」「登録しているアドレスあてのメールが見られる」という二つの条件が必要になるので、他人にログインされてしまう可能性が低くなります。
「多要素認証(MFA)」や「2要素認証」と呼ばれることもあります。MFAは「Multi Factor Authentication(マルチ・ファクター・オーセンティケーション)」の略です。
認証のための3つの要素
ログインにあたっての本人認証は、大きく分けて3つの要素が存在します。二段階認証、あるいは多要素認証は、これらの要素を複数組み合わせて本人確認を行う仕組みです。
知識情報
ユーザー登録をした本人のみが知っている情報です。パスワードや暗証番号(PIN)のことで、ほとんどのサービスは知識情報による認証を使っています。
パスワード再発行のために登録する「秘密の質問」などもこれに含まれます。
パスワードをメモした紙やデータを盗まれたり、入力する瞬間を盗み見されるといったことで外部に知られる可能性があります。
所有情報
所持情報とも言います。クレジットカードや先述したワンタイムパスワードなど、登録した本人しか得ることができない(持つことができない)情報のことです。
厳密に言えば、「知識情報」であるパスワードをメモしたものは「所有情報」にあたります。
生体情報
身体的な特徴によって認証を行います。指紋、顔、静脈、声紋などを検知して、本人確認ができるとログイン可能です
高度な技術を要することから、盗まれる可能性が最も低いと言える情報です。ですが、指や顔のケガといった日常的な要素でログインができなくなる方法なので、一般的にはほかの認証方法と併用されることが多いです。
どんなメリット・デメリットがあるの?
通常のログイン情報に加え、再度べつの文字を入力するという手間があります。一般的に「めんどうくさいから」という理由で導入しない方も多いようです。
ですが、ひと手間加えるだけでセキュリティレベルが上がると考えれば、むしろメリットの方が多いんです。うっかり他人にIDとパスワードを知られてしまっても、登録したメールアドレスあてに届く認証コードがなければ勝手にログインされる心配はありません。自転車に二種類のカギをかけるイメージに近いですね。
逆に、自分がログインしていないのに認証コードが届くようなら、「あれ、誰かが勝手にログインしようとしてるかも?」と気付くことができます。
その際は、すぐにIDやパスワードを変更してしまえば安心ですよね。大切な個人情報やアカウントを保護するためにも、設定できるサービスではなるべく二段階認証を活用することをおすすめします。
二段階認証も完璧じゃない?
フィッシングメール使って二段階認証を突破する手法も存在するので、注意が必要です。通常の二段階認証ログインは、
①ログイン画面にIDとパスワードを入力
②①の入力を検知して、登録アドレスに届いた認証コードを入力
という手順で行われます。
この「ログイン画面」を本物そっくりに偽装したページを使って、認証コードを入手する詐欺の手口に要注意です。
以下のような流れで認証コードが知られてしまいます。
①偽物のログイン画面のURLが書かれたメールが届く
②偽物のログイン画面にIDとパスワードを入力
③悪意をもった第三者が、入力されたIDとパスワードを本物のログイン画面に入力
④ユーザーあてに認証コードが届く
⑤ユーザーが偽物の入力画面に認証コードを入力
⑥悪意をもった第三者が本物の入力画面に認証コードを入力
⑦第三者によるログイン成功
通常なら本物のログイン画面とユーザー間で直接やり取りする情報が、悪意をもった第三者による「偽物の画面」が間に入ることで、情報が筒抜けになってしまいます。
他者が勝手にログインを試みた際は、「あれ?ログインしていないのに認証コードが届くなんて変だな…」とすぐ異変に気付くことができます。ですが、悪意をもった第三者が「ユーザーと同じタイミングでログインを行う」ことによって、違和感に気づくことができなくなってしまうんです。
詐欺を防ぐためには
二段階認証を利用したものに限らず、フィッシングメールによる詐欺被害防止には以下のような対策が有効です。「このメール怪しいな」と思ったときはもちろん、ふだんから気にかけるようにしてみるとよさそうです。
■メールアドレスが本物か確認する
■ログインページのURLが本物か確認する
■ログインページを開いてしまった場合、ページ内のリンクを押して、他のページに繋がるか試す
■ふだんから本物のログイン画面をブックマークしておき、そこ以外からはログインしない
■メールアドレス、URL、本文などをコピーして検索をかけてみる
■公式サービスが詐欺メールの注意喚起をしていないかチェックする
とにかく「安易にID・パスワードを入力しない」を徹底していれば大丈夫です。
情報を入力してしまったら
もし偽物の画面に情報を入力してしまっても、すぐに対処すれば解決できる可能性があります。慌てずに落ち着いて、以下のことを行ってください。
■パスワードを変更する
■登録メールアドレスを確認する
■ログインしている端末を、ユーザーページなどからすべてログアウトさせる
■連携しているほかのサービスとの接続を解除する
パスワードはもちろん、すぐに登録メールアドレスのチェックも必要です。登録メールアドレスを第三者のものに変更されてしまうと、勝手にパスワード再発行の申請をされて、再度不正ログインされてしまう可能性があります。
とにかく、
■第三者をログアウトさせる
■知られた可能性がある情報を変更する
…をすぐに行えば、被害を防げる可能性が上がります。
まとめ
3つの認証要素を組み合わせて本人確認を行う二段階認証。対応していないサービスもありますが、可能な限り設定するだけで、セキュリティレベルが上がります。
二段階認証を利用した詐欺も手口もありますが、ふだんから「届いたメールアドレスや記載URLは本物か」を確認するクセをつけて防ぎましょう。万が一情報を入力してしまっても、「第三者をログアウトさせて、すぐに登録情報を変更する」という対処で、被害を最小限にできます。
二段階認証の設定に加えて、定期的なパスワードの変更、使いまわしをやめる、という心がけで、大切な個人情報を守りましょう。
ライター:野倉
愛知 県内から 名古屋 を中心にホームページ制作を行っている会社
株式会社WWG(ダブルダブルジー)
愛知県名古屋市中村区名駅5-16-17 花車ビル南館5F
