2段階認証の新たなリスク？ 「もしもスマホやPCを全部なくしても、アカウントを回復できるか」試してみた：半径300メートルのIT（1/3 ページ）

スマートな働き方からスマホの機種変更まで「安全な乗り換え」を可能にした2段階認証技術。でも、その鍵を一切なくしてしまった場合、大変なことになるのをご存じでしたか？　実際“どのくらい大変”なのか、それはぜひあなたの目で確かめてください……。

[宮田健，ITmedia]

　新しいiPhoneが発売され、多くの方が真新しい端末を楽しんでいるのではないかと思います。機種変更の作業は、スマートフォンが登場したころに比べると、今やほとんどのデータがクラウドに乗ったことで格段に楽になりました。例えば、自分の使っているアプリを新しい端末にダウンロードし、自分のアカウントにログインさえすれば、ほとんどのデータにこれまでと同じようにアクセスできるので、もはや「母艦」（同期元となるPC）は不要に近くなりました。

　ただし、そこには条件があります。それは「アカウントにログインできること」。きっと皆さんも2段階認証を活用していると思いますが、その物理的な鍵となるスマートフォンを変更するというのは、意外とリスクが高い作業です。数年前、隣の席に座る同僚がまさにその落とし穴に引っ掛かり、Googleアカウントの復活に苦労したことを思い出しました。

　そこで、今回はその苦労を再現してみたいと思います――2段階認証を設定したGoogleアカウントで、2段階認証の鍵となるスマホがなかった場合、一体どうなるのでしょうか。

テスト用のアカウントを作ってみる

　まずは、新規でテスト用アカウントを作ってみましょう。すると、ID名、パスワード、名前などを入力したあと、電話番号を入れるフローがしっかり入っていました。今回は、2段階認証のコード送信にのみ電話番号を利用してほしいので、「電話番号をGoogleに追加するかどうか」というフローでは、「スキップ」を選択します。

　個人的には、電話番号の活用についてGoogleが説明する際の「個人情報は非公開であり安全です」という表現と、“表示される広告”を含め、関連するGoogleのサービスに電話番号を利用するという内容には、いち利用者として不安を感じます。が、それはさておき、まずは大事な2段階認証の設定に入ります。

アカウント作成時、電話番号入力が必要になる

　今回は、パスワードを使わない簡単なログイン方式ではなく、昔ながらの6桁コードをSMSもしくはスマホアプリに送信して認証を行う「Google 認証システム」（Google Authenticator）を設定します。

テストアカウントに2段階認証を設定する

　単に2段階認証を設定しただけでは、「バックアップコードを保管せよ」という指示はありませんでした。既に2段階認証を利用している方でバックアップコードを保存している人は、恐らく少ないでしょう（もしかしたら、それが命取りになるかも知れませんが……）。