連載
» 2019年07月23日 07時00分 公開

半径300メートルのIT:「二段階認証を知らない」を笑えない理由

本連載は「半径300メートル範囲内くらいの、身近なIT」をテーマにしています。連載が始まった頃には「難しすぎる」と言われていた技術も、いまや「知らないなんて!」と言われる常識レベルの知識になっていました。

[宮田健,ITmedia]

 「安全意識は事件をきっかけに大きく変化する」といわれています。7payにまつわるインシデントは、ITセキュリティやデジタルに強い人以外にも「二段階認証」というキーワードを浸透させました。ITセキュリティ業界にとって、象徴的な事件になったといえるでしょう。

「被害の大きさ」と「経営者が二段階認証を知らない」ことが話題となった 「被害の大きさ」と「経営者が二段階認証を知らない」ことが話題となった(出典:セブンペイ)

 本連載は7年前、「ITなんかよく分からない、デジタルなんて関係ない」という方に向けて、それでも知ってもらいたいITの基本を伝えるためにスタートしました。連載当初、二要素認証について書きましょうと編集部に提案し、「対象読者には難しすぎる」とボツにされたのを覚えています。

 しかし現在、二段階認証は、銀行やキャッシュレス決済システムを中心にさまざまなサービスで利用されています。既に身近なサービスで導入されていたため、7pay事件で初めて二段階認証という言葉を知って、すぐに「ああ、登録した電話番号に数字が送られてくるあれか」とピンと来た方もいたのではないかと思います。また、今回の事件をきっかけに、多くの方が「二段階認証の手続きのないサービスは怖い」という意識を持ったのではないでしょうか。

 セキュリティの理想は「何も考えなくても安全でいられる状態」です。しかしその状況は、まだまだ遠いように思います。

二段階認証を設定すれば安全!……ではない

 今回、セブン・ペイの開いた会見に対して、多くのIT関係者が「二段階認証を知らないなんて!」と反応されていたのが印象的でした。確かに私も「知っておいていただきたい」と思った一人です。しかし、あの会見を見て驚いたり、笑ったりしていた私たちも、本当の意味で二段階認証を理解しているでしょうか?

 セキュアな認証システムとして急激に注目を集めた結果、二段階認証はさまざまなメディアで紹介されるようになりました。しかし、テレビで解説されるフリップの中には、微妙に、はたまた完全に誤解しているのではないかと思われるものもあります。私は、細かい方式の話ではなく、もう少し別の部分で、気を付けるべきではないかと思うのです。

 結論から述べましょう。二段階認証とは「設定するだけで安全になるもの」ではありません。具体的には最低限、以下を注意するべきです。

  • スマートフォンはもはや“物理鍵”、絶対に肌身離さずに
  • 画面ロックは確実に
  • 通知画面の設定を見直す

よくある、危険な光景

 先日、喫茶店で仕事をしようと席を探していたら、誰も座っていない席にスマートフォンがポツンと置かれていました。席取りのつもりだったのかもしれませんが、これがまさに、二段階認証の“敵”なのです。

 二段階認証とは、ユーザーの本人確認のために、パスワード(=あなたしか知らない記憶情報)に加えて、さらにもう一つ証拠となるものを要求する仕組みです。

指紋認証は「SYA」の一つ 指紋認証は「SYA」の一つ

 よく似た言葉に「二要素認証」があります。これは、「あなたしか知らない記憶情報(SYK:Something You Know)」「あなたしか持っていないもの(SYH:Something You Have)」「生体情報(指紋や虹彩)など、あなたしか持っていない特徴(SYA:Something You Are)」のいずれか2つを認証に使う仕組みです。多くの場合、二段階認証でもこれらのうち2つを使って、本人の証明をします。

 これらのうち、「あなたしか持っていないもの」としてよく利用されるのがスマートフォンです。

 具体的に、「インターネットバンキングで振り込みをするとき」を想定してみましょう。PCのブラウザから銀行のWebサイトにログインするときはパスワードを入力します。振り込み処理を実行するときは、手元のスマートフォンに「アプリの通知」や「SMS通知」といった形で、二段階目の証明となる番号が送られてきます。ここに書かれている番号は、登録済みの端末にしか届かないため、「この振り込みを実行しようとしているのは、確かに事前に端末を登録した本人です」という証明となります。

 この場合、スマートフォンは、「あなたがあなたである」ということを認証するための、物理的な鍵として使われます。つまり、スマートフォンが奪われたり、画面から情報を盗み見られたりした場合、他の人間による「なりすまし」が可能になってしまうのです。

スマートフォンの認証情報が狙われる スマートフォンの認証情報が狙われる

 たとえ二段階認証を設定していても、認証情報が盗まれては意味がありません。スマートフォンは肌身離さず大事に扱い、必ず画面ロックを設定しましょう。

 さらに注意したいのは、スマートフォンの通知設定です。SMSで送られてくる情報が、ロック画面に表示される設定になっていないでしょうか?

 カフェのテーブルに置かれたスマートフォンの画面に二段階認証の情報がそのまま表示されてしまうような状況は、「ソーシャルエンジニアリング」と呼ばれる、古典的なサイバー攻撃の対象になります。サイバー犯罪者が「特定の企業の役職者」などの明確なターゲットを狙っていたとしたら、ターゲットが放置したスマートフォンを見逃さないでしょう。

日常の防犯意識と合わせて活用する

 脅すようなことばかり述べてしまいましたが、それでも二段階認証は、設定しないよりは格段に安全性が向上する仕組みです。現在、多くのWebサービスが二段階認証を提供しはじめています。「実はパスワードを使いまわしている」という方は、まず二段階認証が提供されているサービスの利用設定を済ませましょう。そのうえで、二段階認証が用意されていないWebサービスのパスワードは定期的に変えていく……というステップで、自分を守ってください(とても大変なことですが、いつかはパスワード使いまわしもやめること!)。

 それから、もう一つ。鍵となるスマートフォンは、いつか必ず機種変更が必要になります。機種変更時に情報を移行する方法の確認や、移行のテストをしておくことを、強くお勧めします。また、二段階認証の設定時にバックアップコードが発行されるサービスはこれをしっかり印刷し、厳重に金庫で保管しましょう。

バックアップ コードを使用してログインする - パソコン - Google アカウント ヘルプ

 二段階認証は安全ですが、ほんの少し面倒、かつ、まだまだ「人の油断」に付け入る隙のあるものです。この面倒がITで解消される日まで、ほんの少しITに歩み寄り、安全な世界を実現できるようにご協力ください。

 最終的には、デジタルもアナログも区別なく、防犯は「高い意識を持って日頃から気を付けること」を求められています。

著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -