iPhoneをなくして分かる、二要素認証の落とし穴半径300メートルのIT(1/2 ページ)

このコラムでもセキュリティ対策としてお勧めしている「二要素認証」。しかし、あるシーンで思わぬ壁にぶち当たったのです……。

» 2016年10月18日 07時00分 公開
[宮田健ITmedia]

 先日、新聞記者の方から「もし、スマートフォンをなくしたら何をすべきなのか」という取材を受けました。

 今やスマートフォンには、写真やアドレス帳、メモなどの「他人には見られたくない」個人情報がたくさん入っていますから、なくしたらすぐ、対策を講じなければなりません。取材では対策として、「端末のロックは必ずかける」「家族や仕事の緊急連絡先はメモとして別に取っておく」「なくしたときに備えて、必ず“演習”をしておくこと」などを挙げました。

 実はこの取材を受ける前、「なくしたときの演習」を自ら体験してみたのですが、ハッとするような事実にぶち当たりました。今回は、「これは、注意しないとまずい!」と思ったことをお話しします。

セキュリティ上級者ほどはまるワナ?

 今回の演習のシナリオは、「出先でスマホをなくしたので、家族に連絡して遠隔ロックをかけてもらう」という単純なもの。まず、家族に連絡するわけですが、はやくもここでつまずきます。手元にスマホがないから、すぐ電話をかけられず、電話番号もスマホの中にしかないので分からないのです。今どき、他人の電話番号を覚えているなんてまれなこと。紙にメモしてお財布に入れておいたほうがよさそうです。

 次に、家族に遠隔ロックをかける作業をしてもらいます。私はiPhoneを使っているので、電話口で妻に私のIDとパスワードを伝え、代わりに「iCloud」のWebサイトにログインして端末の遠隔ロックをかけてもらおうとしたのですが……妻がログインしようとすると、こんな画面が出てきたのです。

Photo Apple IDのログインをしようとしたら……

 出てきたのは、二要素認証の本人確認の画面。これを見て、大事なことを思い出したのです。私は主要なクラウドサービス(Apple、Google、Microsoft)は全て「二要素認証」と呼ばれる設定をオンにしており、スマートフォン自体が「鍵」になるようにしています。通常ならば、ログイン時に鍵となるスマートフォンを持っているかを判定するため、SMSやアプリにプッシュで「確認コード」を表示させ、それがあるかないかで本人を判定します。これで、万が一、パスワードが漏れたとしても、不正ログインを防げるわけです。

 ところが今回は、二要素認証のカギの役割を果たす「スマホ」をなくしたという状況。iPhoneもなければ、SMSが届く端末もありません。つまり、ログインできないのです。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ