iPhoneをなくして分かる、二要素認証の落とし穴:半径300メートルのIT(1/2 ページ)
このコラムでもセキュリティ対策としてお勧めしている「二要素認証」。しかし、あるシーンで思わぬ壁にぶち当たったのです……。
先日、新聞記者の方から「もし、スマートフォンをなくしたら何をすべきなのか」という取材を受けました。
今やスマートフォンには、写真やアドレス帳、メモなどの「他人には見られたくない」個人情報がたくさん入っていますから、なくしたらすぐ、対策を講じなければなりません。取材では対策として、「端末のロックは必ずかける」「家族や仕事の緊急連絡先はメモとして別に取っておく」「なくしたときに備えて、必ず“演習”をしておくこと」などを挙げました。
実はこの取材を受ける前、「なくしたときの演習」を自ら体験してみたのですが、ハッとするような事実にぶち当たりました。今回は、「これは、注意しないとまずい!」と思ったことをお話しします。
セキュリティ上級者ほどはまるワナ?
今回の演習のシナリオは、「出先でスマホをなくしたので、家族に連絡して遠隔ロックをかけてもらう」という単純なもの。まず、家族に連絡するわけですが、はやくもここでつまずきます。手元にスマホがないから、すぐ電話をかけられず、電話番号もスマホの中にしかないので分からないのです。今どき、他人の電話番号を覚えているなんてまれなこと。紙にメモしてお財布に入れておいたほうがよさそうです。
次に、家族に遠隔ロックをかける作業をしてもらいます。私はiPhoneを使っているので、電話口で妻に私のIDとパスワードを伝え、代わりに「iCloud」のWebサイトにログインして端末の遠隔ロックをかけてもらおうとしたのですが……妻がログインしようとすると、こんな画面が出てきたのです。
出てきたのは、二要素認証の本人確認の画面。これを見て、大事なことを思い出したのです。私は主要なクラウドサービス(Apple、Google、Microsoft)は全て「二要素認証」と呼ばれる設定をオンにしており、スマートフォン自体が「鍵」になるようにしています。通常ならば、ログイン時に鍵となるスマートフォンを持っているかを判定するため、SMSやアプリにプッシュで「確認コード」を表示させ、それがあるかないかで本人を判定します。これで、万が一、パスワードが漏れたとしても、不正ログインを防げるわけです。
ところが今回は、二要素認証のカギの役割を果たす「スマホ」をなくしたという状況。iPhoneもなければ、SMSが届く端末もありません。つまり、ログインできないのです。
関連記事
- 「半径300メートルのIT」記事一覧
- あらゆる個人情報を奪われたWIRED記者が犯した“痛恨のミス”
一見、強固に見える「本人確認」にもスキがある――。それを実感させられる事件が米国で起こりました。あらゆる個人情報をハッキングされたこの事件はどうして起こったのでしょうか。こうした事態を防ぐ方法はあるのでしょうか。 - 万人にお勧めしたいけれど、まだまだ面倒くさい「二要素認証」
IDとパスワードの組み合わせ以外に、もう1つ何かを入力しなければいけない「二要素認証」。セキュリティを確保するためにはオンにしてほしい仕組みですが、まだまだ安心よりも「手間」が勝ってしまうようです。 - 個人情報の保護なんて気にしないあなたへ
2016年1月1日からマイナンバー制度が始まりました。これから時代は個人情報の活用がより多方面へ広がっていくかもしれません。個人情報保護を考える2つの読みものをご紹介します。 - 「きょう誕生日の人RT」「#ペットの名前」に反応してはいけない理由
ソーシャルネットワークサービスを使う人が増えてきました。自らの手で公開している個人情報を組み合わせることで、予想外のことまで分かってしまいます。
Copyright © ITmedia, Inc. All Rights Reserved.