スマホを「鍵」にする二要素認証で「合鍵」を作れるアプリはありかなしか？：半径300メートルのIT（2/2 ページ）

IIJが二要素認証用のワンタイムパスワード管理アプリをiOS／Android OS向けに無料で公開しました。さっそく使ってみると「便利だな」と同時に「リスクかも」と思うのです。

[宮田健，ITmedia]

二要素認証のリスクは「移行忘れ」

　二要素認証の設定は、やってみると意外と簡単なことに気付きます。例えば、最初はよく知っている人に目の前で設定方法を実演してもらうといいかもしれません。ところが「機種変更」や「サービス退会」のときに大きな落とし穴があります。

　Gmailをはじめとするグーグルの二要素認証は「キャリアのメールアドレス」のみが利用できます。そのため、二要素認証の設定を解除しないままMNPを行ってしまうと、解約したキャリアメールに番号が届きます。つまり、パスワードを知っていたとしても「鍵」となる端末が手元になければ、そうそう簡単にはWebサービスへログインできなくなるのです。これはまさに二要素認証が強固だといえる理由の1つなのですが……。

　筆者の知人がこの落とし穴にはまってしまいました。復旧のためには秘密の質問や、さまざまな細かい質問に答えないといけませんでした。このような場合や万が一の紛失に備えて、二要素認証は「バックアップコード（復元コード）」を提供しています。二要素認証の利用時には必ずバックアップコードを取得してどこかに書き留めておきましょう。

二要素認証の「合鍵」を作る行為はリスクかも？

　さて、筆者もIIJ Smartkeyの設定引き継ぎ機能は便利だと思います。しかし、そもそも二要素認証とはパスワード以外に「その人しか持っていないもの／デバイス」を鍵にすることを前提とした仕組みです。2台のデバイスを鍵にすることは「合鍵」を作ることでもあり二要素認証の趣旨に反するともいえます。

　2台になれば、単純計算で「鍵になるスマホ」を紛失したり、盗まれたりする確率が2倍になります。そうでなくとも簡単に設定をエクスポートできるのであれば、ちょっと目を離した隙にだれかがこっそりと設定を別端末にコピーする可能性もあるでしょう。

　もちろん、IIJ Smartkeyも含め、ほとんどの二要素認証アプリは起動時にパスコードの入力を要求したり、指紋認証を使ったiPhoneの「Touch ID」と連携させたりして本人以外には使えないようになっています（IIJ Smartkeyでは、パスコードを設定しないことも可能ですが、絶対に設定しておくべきです）。それでも筆者は、二要素認証のデバイスを複数作ってもいい人は、絶対にそのデバイスを手元から離さないことができる人に限ると思うのです。

著者紹介：宮田健（みやた・たけし）

『デジタルの作法』

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より：

2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド＆PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。みなさんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。