連載目次
対象サービスとハードウェア:Dropbox、Android OS搭載のスマートフォン/タブレット
*Android端末での操作方法については、次の記事を参照していただきたい。
Dropboxをはじめとするオンラインサービスは、インターネット接続さえあれば、どこからでも手軽に自分のファイルへアクセスできて大変便利だ。しかし、だからこそアカウントを乗っ取られてストレージ内の情報を窃取される危険性は、オフラインのストレージより高くなりがちだ。Dropboxについては、以下のような報道もあった。
Dropbox社は、自社からのパスワード漏えいを否定しているが、例えばユーザーによる同一パスワードの使い回しといった理由から攻撃者にアカウント名/パスワードが漏えいする危険性は常にある。
そこでお勧めなのは「2段階認証」という機能だ。これはDropbox社が提供しているセキュリティ強化機能の1つで、アカウント名/パスワードが攻撃者に漏れても、アカウントの乗っ取りを防止できる可能性を大幅に高められる。本稿ではAndroid端末を対象に、その導入手順や普段の認証手順、注意点を説明する。
ここでいう2段階認証(おおよそ同じ意味で「2要素認証」とも呼ばれる)とは、通常のパスワードによる認証が成功した後に、もう1つ別の認証をユーザーに求めることだ。Dropboxの場合、2段階目の認証として次の2種類の方法が用意されている。
- 「認証アプリ」で入手したセキュリティコードで認証する
- DropboxからSMSで送信されるセキュリティコードで認証する
1.の認証アプリとは、2段階認証でよく用いられるワンタイムパスワードを生成するためのアプリだ。2段階認証の導入時にDropboxとの連携を登録する。本稿では、代表的な認証アプリとして「Google認証システム」を利用した例を説明する。これはAndroidのほかiOS端末(iPhone/iPad/iPod touch)でも利用できる。
2.は、電話番号宛のSMSのメッセージを受信できる携帯電話/スマートフォンが必要だ。本稿では、Android端末のSMSアプリを例に挙げる。
もし1.と2.の両方に必要なデバイスを用意できるなら、1.をメインにして、2.をバックアップに使うとよいだろう(万一メインが使えなくなっても、別の手段である2.で代替できるため)。
認証アプリを利用する場合は、Android OSまたはiOSを搭載した端末に、「Google認証システム」をアプリストアからインストールしておく。
SMSを利用する場合は、SMSのメッセージを受信できる端末を用意する。一部のPHS端末は、2014年10月よりSMSを受信できるようになったので、確認するとよいだろう。
認証アプリによるDropboxの2段階認証を有効にするには、まずWebブラウザーでDropboxのPC向けWebページを開く。
もし、以下のようにスマートフォン/タブレット向けに最適化されたデザインのログイン画面が表示された場合は、下端にある「デスクトップ版」リンクをタップする。これにより、2段階認証を有効化するための設定パネルを参照できるようになる。
スマートフォン/タブレットに最適化されたWebページ
このページからは、2段階認証を有効化するための設定ページを開けない。
(1)これをタップすると、PC向けデザインのWebページが表示される。フォントが小さくて操作しにくくなるが、2段階認証を有効化するには必要である。
PC向けWebページを開いたら、対象のDropboxアカウントとそのパスワードでログインし、設定画面の「セキュリティ」タブで[2段階認証]−[有効にする]をタップしてウィザードを進める。
Androidで認証アプリによるDropboxの2段階認証を有効化する(その1)
これはDropboxのPC向けWebページからログインした直後の画面。
(1)このユーザー名の部分をタップする。
(2)開いたメニューからこれをタップする。
Androidで認証アプリによるDropboxの2段階認証を有効化する(その2)
(3)このタブを選ぶ。
(4)これをタップすると、2段階認証を有効化するためのウィザードが起動する。
Androidで認証アプリによるDropboxの2段階認証を有効化する(その3)
これは2段階認証を有効化するためのウィザードの初期画面。
(5)これをタップして次へ進む。
Androidで認証アプリによるDropboxの2段階認証を有効化する(その4)
(6)ログイン中のDropboxアカウントのパスワードを再度入力する。
(7)これをタップして次へ進む。
Androidで認証アプリによるDropboxの2段階認証を有効化する(その5)
(8)認証アプリを利用するので、こちらを選択する。
(9)これをタップして次へ進む。
Androidで認証アプリによるDropboxの2段階認証を有効化する(その6)
認証アプリのセットアップが完了するまで、[次へ]ボタンはタップしないこと。
(10)このDropboxアカウントと認証アプリを関連付けるための情報が格納されたQRコード。認証アプリにこれを撮影させる。
(11)認証アプリあるいはそれをインストールした端末にQRコードの読み取り機能がない場合は、これをタップして手動で「シークレットキー」と呼ばれる文字列を認証アプリに入力する必要がある。
上記の画面までウィザードを進めたら、Androidスマートフォン/タブレットにインストールしておいた「Google認証システム」アプリを起動し、Dropboxの2段階認証と関連付ける。ここではDropboxが表示するQRコードを認証アプリに撮影させる方法を説明する。
Androidで認証アプリによるDropboxの2段階認証を有効化する(その7)
(1)インストールした「Google認証システム」のアイコン。これをタップして起動する。
Androidで認証アプリによるDropboxの2段階認証を有効化する(その8)初めて起動したGoogle認証システムの初期画面。
(2)これをタップして次へ進む。
Androidで認証アプリによるDropboxの2段階認証を有効化する(その9)
(3)Dropbox側のウィザードで表示されるQRコードを撮影することで関連付けを行う。本稿では、こちらをタップして次へ進む。
(4)QRコードではなく「シークレットキー」で関連付けを行う場合は、こちらをタップする。
Androidで認証アプリによるDropboxの2段階認証を有効化する(その10)
これはGoogle認証システムで、画面に表示されたQRコードを読み取っているところ。
(5)前述したDropboxのウィザードの途中で現れたQRコード。この白い枠内にQRコードを収めると自動的に撮影され、次に進む。
Androidで認証アプリによるDropboxの2段階認証を有効化する(その11)
QRコードが撮影・解読されると、このような画面が表示される。
(6)サービス名やアカウント名(メールアドレス)が表示される。複数のサービスがこの認証アプリに登録されることが良くあるので、これでどのサービス/アカウントなのか区別する。
(7)(8)の使用可能期限が表示される。このメーターの残量が0になると、(8)は自動的に新たな値に書き換えられる。
(8)認証に用いられるワンタイムパスワードの値(これがセキュリティコードになる)。これを記憶して(7)の期限までにDropboxのウィザードに入力する。
上記画面が表示されたらワンタイムパスワードの値(=セキュリティコード)を記憶して、再びDropboxのウィザード(QRコードが表示されている画面)に戻って[次]ボタンをタップし、セキュリティコードを入力する。
Androidで認証アプリによるDropboxの2段階認証を有効化する(その12)
これは前述のウィザード途中のQRコード表示画面で、[次]ボタンをタップした後に表示された画面。
(1)Google認証システムが生成したセキュリティコードを入力する。
(2)これをタップして次へ進む。セキュリティコードの使用期限が終わる前にタップすること。終わってしまったら、新たなセキュリティコードで再度試してみる。
Androidで認証アプリによるDropboxの2段階認証を有効化する(その13)
(3)バックアップのSMS受信端末(携帯電話やスマートフォン)があれば、その電話番号を記入しておく(先頭の「0」は省く)。認証アプリが使用不能な場合、これを用いて2段階認証を続けることが可能だ。指定せずに省略してもよい。
(4)これをタップして次へ進む。
Androidで認証アプリによるDropboxの2段階認証を有効化する(その14)
(5)「復元コード」「緊急用バックアップコード」と呼ばれる文字列。紙にメモして、他人に見られない安全な場所に保管しておく。2段階目の認証にどうしても失敗する場合は、これを利用して2段階認証を無効化できる(詳細は別稿で解説予定)。
(6)これをタップした後、次の画面で[完了]ボタンをタップすると、2段階認証の有効化は完了だ。
これで認証アプリによる2段階認証が有効になった。
2段階認証を有効化する以前にログイン済みだったDropboxクライアントは、引き続きそのまま利用できる。あらためてログインし直したりセキュリティコードを入力したりする必要はない。
一方、2段階認証の有効後にDropboxクライアントをインストールした場合は、ログイン時にセキュリティコードの入力が求められる。以下では、Android端末にインストールしたDropboxアプリにログインする手順を説明する。
認証アプリを利用してAndroid版Dropboxアプリにログインする(その1)
これはAndroid版Dropboxアプリを起動した直後の画面。
(1)Dropboxのアカウント/パスワードを指定する。
(2)これをタップして次へ進む。
認証アプリを利用してAndroid版Dropboxアプリにログインする(その2)
2段階認証が有効になっていると、このような画面が表示される。ここで認証アプリ(Google認証システム)の方に注目する。
通常のログインを実行した後、「セキュリティコードを入力」という画面が表示されたら、認証アプリに表示されているセキュリティコードを記憶する。
認証アプリを利用してAndroid版Dropboxアプリにログインする(その3)
これは認証アプリ(Google認証システム)の画面。
(3)表示されているセキュリティコードを記憶する。
そして有効化の際と同様、使用期限が切れる前にセキュリティコードをDropboxアプリに指定・送信する。
認証アプリを利用してAndroid版Dropboxアプリにログインする(その4)
(4)認証アプリに表示されていたセキュリティコードを記入する。
(5)これをタップして「コードを確認中」という表示を経て、Dropboxのルートフォルダー一覧が表示されたら全ての認証は完了だ。
Dropboxアプリの場合、いったん全ての認証に成功してログインできると、以後は明示的にログアウトしたり該当端末とDropboxとの「リンク」を切断したりするまで、パスワード認証も2段階目の認証も求められない。つまり、以後はアプリを起動するとすぐにDropboxの全機能を利用できる。
次に、もう1つの認証方式であるSMS(テキストメッセージ)受信を用いた2段階認証について説明しよう。まずは認証アプリの場合と同じく、DropboxのPC向けWebページにログインして設定画面を開き、2段階認証のウィザードを「セキュリティ コードをどの方法で受信しますか?」という画面まで進める。そこで[テキスト メッセージを使用]を選び、SMS受信用端末の電話番号を指定する。
AndroidでSMSによるDropboxの2段階認証を有効化する(その1)
これは前述の認証アプリの場合と同じ手順で、DropboxのPC向けWebページから2段階認証の有効化ウィザードを起動して「セキュリティ コードをどの方法で受信しますか?」という画面まで進めたところ。
(1)こちらを選ぶ。
(2)これをタップして次へ進む。
AAndroidでSMSによるDropboxの2段階認証を有効化する(その2)
(3)ここにSMSの受信ができる携帯電話やスマートフォンなどの電話番号を記入する。先頭の「0」は省いて入力すること。
(4)これをタップすると、セキュリティコードを記したメッセージが(3)宛に発信される。
ここでSMSを受信するための端末の方に注目する。Dropboxからセキュリティコードを記したメッセージが届くはずだ。
AndroidでSMSによるDropboxの2段階認証を有効化する(その3)
これはSMSを受信するために用意したスマートフォンで、SMSアプリを起動したところ。
(5)Dropboxから送信されたメッセージに、このようなセキュリティコードが記されている。これを記憶する。
届いたセキュリティコードを記憶したら、先ほどのDropboxのウィザードに戻ってセキュリティコードを入力し、ウィザードを完了させる。
AndroidでSMSによるDropboxの2段階認証を有効化する(その4)
(6)受信したメッセージに記されていたセキュリティコードを記入する。
(7)これをタップして次へ進む。セキュリティコードには使用期限があるはずので、速やかに進めること(どれくらいで期限が切れるのかは確認できなかったが、少なくとも数分は持つようだ)。
AndroidでSMSによるDropboxの2段階認証を有効化する(その5)
(8)他にSMSを受信できる携帯電話/スマートフォンがあれば、その電話番号を記入しておく。最初に設定したメインの携帯電話/スマートフォンが使用不能になった場合、これをバックアップとして利用できる。
(9)これをタップして次へ進む。
AndroidでSMSによるDropboxの2段階認証を有効化する(その6)
(10)「復元コード」「緊急用バックアップコード」と呼ばれる文字列。紙にメモして、他人に見られない安全な場所に保管しておく。2段階目の認証にどうしても失敗する場合は、これを利用して2段階認証を無効化できる(詳細は別稿で解説予定)。
(11)これをタップした後、次の画面で[完了]ボタンをタップすると全設定の完了だ。
これでSMSによる2段階認証が有効になった。
2段階認証を有効にする以前にログイン済みだったDropboxクライアントは、引き続きそのまま利用できる。あらためてログインし直したりセキュリティコードを入力したりする必要はない。
一方、2段階認証の有効後にDropboxクライアントをインストールした場合は、ログイン時にセキュリティコードの入力が求められる。以下では、Android端末にインストールしたDropboxアプリにログインする手順を説明する。
SMSを利用してAndroid版Dropboxアプリにログインする(その1)
これはAndroid版Dropboxアプリを起動した直後の画面。
(1)Dropboxのアカウント/パスワードを指定する。
(2)これをタップして次へ進む。
SMSを利用してAndroid版Dropboxアプリにログインする(その2)
2段階認証が有効になっていると、このような画面が表示される。この時点で、登録した電話番号にはセキュリティコードを記したメッセージが送信されている。
(3)メッセージ送信先の電話番号の下4桁。これで認証用の携帯電話/スマートフォンをある程度特定できる。
通常のログインを実行した後、「セキュリティコードを入力」という画面が表示されたら、登録した電話番号を持つ携帯電話/スマートフォンでDropboxからのメッセージ受信を待つ。
SMSを利用してAndroid版Dropboxアプリにログインする(その3)
これはAndroid端末のSMSアプリの画面。
(4)受信されたDropboxからのメッセージ。このセキュリティコードを記憶する。
そして有効化の際と同様、速やかにセキュリティコードをDropboxアプリに指定・送信する。
SMSを利用してAndroid版Dropboxアプリにログインする(その4)
(5)SMSで受信したセキュリティコードを記入する。
(6)これをタップして「コードを確認中」という表示を経て、Dropboxのルートフォルダー一覧が表示されたら全ての認証は完了だ。
Dropboxアプリの場合、いったん全ての認証に成功してログインできると、以後は明示的にログアウトしたり該当端末とDropboxとの「リンク」を切断したりするまで、パスワード認証も2段階目の認証も求められない。つまり、以後はアプリを起動するとすぐにDropboxの全機能を利用できる。
冒頭で述べたように2段階認証を有効にすると、Dropboxのセキュリティを高めることができる。具体的には、攻撃者が用意した端末からDropboxにログインすることは、かなり困難になる。とはいっても、2段階認証は万能でも全能でもない。
■「認証デバイス」まで盗まれたらアカウント乗っ取りの危険性大
当然のことだが、攻撃者にアカウント名とパスワードだけではなく、認証デバイスすなわち登録した認証アプリまたはSMS受信端末まで奪われてしまったら、非常に容易にアカウントは乗っ取られてしまう。認証デバイスは持ち歩くものなので、紛失や盗難に遭いがちだ。その管理には十分に気を付ける必要がある。
もし認証デバイスをなくしたら、速やかにパスワードを変更し、さらに認証デバイスも差し替える。それにはDropboxのPC向けWebページの設定画面にある[セキュリティ]タブの[2段階認証]に注目し、「主要」と「バックアップ」のうち、なくした方の[編集]をクリックし、ウィザードを実行し直して新たな認証デバイスを登録する。
■「信頼」した端末を盗まれたら即座に情報漏えいの危険性大
前述の手順で2段階認証を経てログインに成功したDropboxアプリは、「信頼された」ことになり、以後はパスワード認証も2段階目の認証も求められない。そのため、このDropboxアプリをインストールした端末を盗まれたら、攻撃者は認証なしに情報を取得できてしまう。
もし「信頼」した端末をなくしたら、速やかに「信頼しない」状態に変更すべきだ。それにはDropboxのPC向けWebページの設定画面にある[セキュリティ]タブの[デバイス]の一覧で、該当端末の右端に表示されている「×」をクリックして、リンクを切断する(これで信頼が「切れる」)。
「Tech TIPS」