続けて、2つ目の提案である。これはぜひとも、1つ目と併せて実施してほしい対策だ。本来ならば、この対策を1つ目として挙げたかったほどである。なぜなら、この対策をしておけば、最悪フィッシングやサーバのクラックによって自身の認証情報が漏えいしても、被害を最小限に抑える手立てとなり得るからだ。しかし、サイトによっては実施不可の場合があるため、「2つ目」の提案とした。
その対策とは「二要素認証」である。解説するまでもないかもしれないが、二要素認証とは、読んで字の如く、2つの異なる要素を用いて認証を行うことである。
ユーザー名とパスワードだけでは不正利用されてしまうリスクはなくならず、改善の余地がある。たとえ、推測されないような複雑なパスワードを設定していたとしても、数回入力をミスしたらロックアウトするよう設定されているサービスを利用していたとしても、マルウェア感染による漏えい、サービス提供側からの漏えい、盗み見などが起こらないとはいえない。
だが、このような事象が発生してしまった場合でも、もう1つ別の要素を用いて認証を行い、それが合致しなければサービスにログインさせない仕組みが二要素認証である。代表的なものとして、銀行などでも採用されている「セキュリティトークン」(一定時間ごとに数字が変わるデバイス)や、静脈・虹彩などを用いた「バイオメトリクス」などが挙げられる。
最近では、iCloudが原因で米GIZMODEのツイッターアカウントがハックされた事件を受けてか、「Yahoo! Mail」「Google Account」「Facebook」「Dropbox」など主要なWebサービスでも、二要素認証を設定できるようになってきた。これらのサービスではほとんどが「2つ目の要素」として、携帯電話に対するメールや、SMS、音声通話のいずれかを用いている。
ここでは例として「Google Account」を見てみよう。二要素認証を有効にしていないアカウントで二要素認証設定のページにアクセスすると、下図のような画面が表示され、設定を始めることができる。
Google Accountでは認証アプリを用いることも可能だが、筆者は携帯電話による認証を利用している。携帯電話を用いる場合は、メールか音声通話で認証の情報が送られてくる。しかし、メールの宛先として選択できるドメインが、キャリアのものに限定されてしまっている。
筆者はキャリアメールを利用していないことに加え、音声のワンタイムパスワードを利用するほうが、他のサービスとのひも付き(パスワード復元用のバックアップアカウントなど)を断てるという理由もあって、音声通話での通知を選択した。
二要素認証をオンにし、正しいユーザー名とパスワードにて認証を行うと、確認コードを入力する画面に遷移し、間もなく電話が鳴る。それに出ると確認コードを読み上げてくれるので、そのコードを入力すればよい。
この画面で、「このパソコンを信頼できるパソコンとして登録する」のチェックをオンにしてログインすると、以降は、いまログインしたコンピュータとブラウザの組み合わせで再度確認コードを送信する必要はなくなる。他人に利用される可能性が少ないコンピュータではこのチェックをオンにし、そうではないコンピュータの場合はオフにするというのも1つの運用方法だろう。
これで、自分が許可したコンピュータ以外から、認証情報を知っている誰かによる不正ログインの試みがあったとしてもブロックされ、代わりにあなたの携帯電話が鳴ることだろう。もしこのように電話が鳴ったら、あなたのパスワードが何らかの方法で悪意のある者に知られてしまったことを指す。つまり、パスワード変更の合図といえるだろう。また、もしすでに不正ログインの被害に遭い、メールなどが盗み見などされていた場合も即座にブロックし、その事実を知らせてくれるだろう。このように二要素認証を利用していれば、万一フィッシングに引っかかってしまっても、それ以上の被害からあなたを守ってくれるはずである。
二要素認証というと、何やら難しく面倒な印象が先行しているのかもしれない。先日、筆者が「不正ログインの可能性の通知が来た」という知人に二要素認証を提案してみたところ、「ここまであっさり簡単にできるものとは思わなかった」という感想をもらった。このように使ってみると案外そうでもなく、その労力以上にセキュリティレベルが向上したことを実感できるだろう。
冒頭にも述べた通り、今回提案した2つの対策は、筆者が常々、広く一般に実施してほしいと思ってきたものだ。ここでは認証情報を盗もうとするフィッシングへの対策として紹介したが、カバー範囲はそれだけではなく相当広い。
まず、パスワード管理ソフトを導入することで、自力でパスワードを覚えておく必要がなくなり、安心して強固なパスワードを設定できる。この結果、パスワードの使い回しからも解放される。もし、どこかのサービスでパスワードが漏えいしたという報道があっても、芋づる式の不正ログインに怯えたり、多くのサービスに対してパスワードをあらためて変更する必要はない。1つのサービスのパスワードを変更するだけで「安心」を手に入れることができる。そして、アクセスしたサイトが本来アクセスすべきサイトであるのかどうかも機械的に見極めることができる。
二要素認証では、何かしらの方法でパスワードが悪意のあるユーザーに知られたとしても、またたとえ漏えいが報道されず水面下で行われた場合でも、それだけではサービスにログインさせないだけではなく、正しい認証情報を使った不正なログインの試みを検知することも可能なのである。
この2つの対策を実施することで、あなたは何層にも守られ、しかも利便性も手に入れることができる。
確かに何もしないほうが楽だろう。しかし、それでは安心を得ることはできない。少しでもセキュリティに興味を持った方であれば、「悪意のあるユーザーはローリスクハイリターンを狙う」といった言葉を見たり聞いたりしたことがあるのではないかと思う。これは筆者の感覚でしかないが、今回の話は、守る側にとっての「ローリスクハイリターン」ともいえるのでないだろうか。
腰を上げるまでは大変かもしれないが、いったん動いてしまえば、少ない労力で大きな安全、安心を手に入れることができる、利便性とセキュリティのバランスが取れた形ではないかと思っている。
個人レベルでも組織レベルでも、多くの金銭や労力を掛けることだけがセキュリティではない。今騒がれている「セキュリティ対策」よりも先に、しかも少ないコストでできることはたくさんあると筆者は常々考えている。
案ずるより産むが易し――この記事を参考に、読者1人1人がこれらの対策を実施し、体験してくれることを筆者は願っている。その中で利便性とセキュリティのバランスについて考えてほしい。ひいてはそれが、世の中のセキュリティレベルの向上とセキュリティの間口を広げることにつながれば、筆者にとってこんなにうれしいことはない。
Copyright © ITmedia, Inc. All Rights Reserved.