Dropboxをはじめとするオンラインストレージサービスでは、パスワード漏えいによるアカウント乗っ取り、そして情報漏えいの危険性が常にある。「2段階認証」を導入してセキュリティを強化しよう。Androidスマートフォン/タブレットでの設定方法は?
対象サービスとハードウェア:Dropbox、Android OS搭載のスマートフォン/タブレット
*Android端末での操作方法については、次の記事を参照していただきたい。
Dropboxをはじめとするオンラインサービスは、インターネット接続さえあれば、どこからでも手軽に自分のファイルへアクセスできて大変便利だ。しかし、だからこそアカウントを乗っ取られてストレージ内の情報を窃取される危険性は、オフラインのストレージより高くなりがちだ。Dropboxについては、以下のような報道もあった。
Dropbox社は、自社からのパスワード漏えいを否定しているが、例えばユーザーによる同一パスワードの使い回しといった理由から攻撃者にアカウント名/パスワードが漏えいする危険性は常にある。
そこでお勧めなのは「2段階認証」という機能だ。これはDropbox社が提供しているセキュリティ強化機能の1つで、アカウント名/パスワードが攻撃者に漏れても、アカウントの乗っ取りを防止できる可能性を大幅に高められる。本稿ではAndroid端末を対象に、その導入手順や普段の認証手順、注意点を説明する。
ここでいう2段階認証(おおよそ同じ意味で「2要素認証」とも呼ばれる)とは、通常のパスワードによる認証が成功した後に、もう1つ別の認証をユーザーに求めることだ。Dropboxの場合、2段階目の認証として次の2種類の方法が用意されている。
1.の認証アプリとは、2段階認証でよく用いられるワンタイムパスワードを生成するためのアプリだ。2段階認証の導入時にDropboxとの連携を登録する。本稿では、代表的な認証アプリとして「Google認証システム」を利用した例を説明する。これはAndroidのほかiOS端末(iPhone/iPad/iPod touch)でも利用できる。
2.は、電話番号宛のSMSのメッセージを受信できる携帯電話/スマートフォンが必要だ。本稿では、Android端末のSMSアプリを例に挙げる。
もし1.と2.の両方に必要なデバイスを用意できるなら、1.をメインにして、2.をバックアップに使うとよいだろう(万一メインが使えなくなっても、別の手段である2.で代替できるため)。
認証アプリを利用する場合は、Android OSまたはiOSを搭載した端末に、「Google認証システム」をアプリストアからインストールしておく。
SMSを利用する場合は、SMSのメッセージを受信できる端末を用意する。一部のPHS端末は、2014年10月よりSMSを受信できるようになったので、確認するとよいだろう。
認証アプリによるDropboxの2段階認証を有効にするには、まずWebブラウザーでDropboxのPC向けWebページを開く。
もし、以下のようにスマートフォン/タブレット向けに最適化されたデザインのログイン画面が表示された場合は、下端にある「デスクトップ版」リンクをタップする。これにより、2段階認証を有効化するための設定パネルを参照できるようになる。
PC向けWebページを開いたら、対象のDropboxアカウントとそのパスワードでログインし、設定画面の「セキュリティ」タブで[2段階認証]-[有効にする]をタップしてウィザードを進める。
上記の画面までウィザードを進めたら、Androidスマートフォン/タブレットにインストールしておいた「Google認証システム」アプリを起動し、Dropboxの2段階認証と関連付ける。ここではDropboxが表示するQRコードを認証アプリに撮影させる方法を説明する。
上記画面が表示されたらワンタイムパスワードの値(=セキュリティコード)を記憶して、再びDropboxのウィザード(QRコードが表示されている画面)に戻って[次]ボタンをタップし、セキュリティコードを入力する。
これで認証アプリによる2段階認証が有効になった。
2段階認証を有効化する以前にログイン済みだったDropboxクライアントは、引き続きそのまま利用できる。あらためてログインし直したりセキュリティコードを入力したりする必要はない。
一方、2段階認証の有効後にDropboxクライアントをインストールした場合は、ログイン時にセキュリティコードの入力が求められる。以下では、Android端末にインストールしたDropboxアプリにログインする手順を説明する。
通常のログインを実行した後、「セキュリティコードを入力」という画面が表示されたら、認証アプリに表示されているセキュリティコードを記憶する。
そして有効化の際と同様、使用期限が切れる前にセキュリティコードをDropboxアプリに指定・送信する。
Dropboxアプリの場合、いったん全ての認証に成功してログインできると、以後は明示的にログアウトしたり該当端末とDropboxとの「リンク」を切断したりするまで、パスワード認証も2段階目の認証も求められない。つまり、以後はアプリを起動するとすぐにDropboxの全機能を利用できる。
次に、もう1つの認証方式であるSMS(テキストメッセージ)受信を用いた2段階認証について説明しよう。まずは認証アプリの場合と同じく、DropboxのPC向けWebページにログインして設定画面を開き、2段階認証のウィザードを「セキュリティ コードをどの方法で受信しますか?」という画面まで進める。そこで[テキスト メッセージを使用]を選び、SMS受信用端末の電話番号を指定する。
ここでSMSを受信するための端末の方に注目する。Dropboxからセキュリティコードを記したメッセージが届くはずだ。
届いたセキュリティコードを記憶したら、先ほどのDropboxのウィザードに戻ってセキュリティコードを入力し、ウィザードを完了させる。
これでSMSによる2段階認証が有効になった。
2段階認証を有効にする以前にログイン済みだったDropboxクライアントは、引き続きそのまま利用できる。あらためてログインし直したりセキュリティコードを入力したりする必要はない。
一方、2段階認証の有効後にDropboxクライアントをインストールした場合は、ログイン時にセキュリティコードの入力が求められる。以下では、Android端末にインストールしたDropboxアプリにログインする手順を説明する。
通常のログインを実行した後、「セキュリティコードを入力」という画面が表示されたら、登録した電話番号を持つ携帯電話/スマートフォンでDropboxからのメッセージ受信を待つ。
そして有効化の際と同様、速やかにセキュリティコードをDropboxアプリに指定・送信する。
Dropboxアプリの場合、いったん全ての認証に成功してログインできると、以後は明示的にログアウトしたり該当端末とDropboxとの「リンク」を切断したりするまで、パスワード認証も2段階目の認証も求められない。つまり、以後はアプリを起動するとすぐにDropboxの全機能を利用できる。
冒頭で述べたように2段階認証を有効にすると、Dropboxのセキュリティを高めることができる。具体的には、攻撃者が用意した端末からDropboxにログインすることは、かなり困難になる。とはいっても、2段階認証は万能でも全能でもない。
■「認証デバイス」まで盗まれたらアカウント乗っ取りの危険性大
当然のことだが、攻撃者にアカウント名とパスワードだけではなく、認証デバイスすなわち登録した認証アプリまたはSMS受信端末まで奪われてしまったら、非常に容易にアカウントは乗っ取られてしまう。認証デバイスは持ち歩くものなので、紛失や盗難に遭いがちだ。その管理には十分に気を付ける必要がある。
もし認証デバイスをなくしたら、速やかにパスワードを変更し、さらに認証デバイスも差し替える。それにはDropboxのPC向けWebページの設定画面にある[セキュリティ]タブの[2段階認証]に注目し、「主要」と「バックアップ」のうち、なくした方の[編集]をクリックし、ウィザードを実行し直して新たな認証デバイスを登録する。
■「信頼」した端末を盗まれたら即座に情報漏えいの危険性大
前述の手順で2段階認証を経てログインに成功したDropboxアプリは、「信頼された」ことになり、以後はパスワード認証も2段階目の認証も求められない。そのため、このDropboxアプリをインストールした端末を盗まれたら、攻撃者は認証なしに情報を取得できてしまう。
もし「信頼」した端末をなくしたら、速やかに「信頼しない」状態に変更すべきだ。それにはDropboxのPC向けWebページの設定画面にある[セキュリティ]タブの[デバイス]の一覧で、該当端末の右端に表示されている「×」をクリックして、リンクを切断する(これで信頼が「切れる」)。
■この記事と関連性の高い別の記事
Copyright© Digital Advantage Corp. All Rights Reserved.
Windows Server Insider 鬮ォ�ェ陋滂ソス�ス�コ闕オ譁溷クキ�ケ譎「�ス�ウ驛「�ァ�ス�ュ驛「譎「�ス�ウ驛「�ァ�ス�ー