Dropboxをはじめとするオンラインストレージサービスでは、パスワード漏えいによるアカウント乗っ取り、そして情報漏えいの危険性が常にある。そこで「2段階認証」を導入すればセキュリティを大幅に強化できる。iPhone/iPad/iPod touchでの設定方法と注意点は?
対象サービスとハードウェア:Dropbox、iPhone/iPad/iPod touch
*Android端末での操作方法については、次の記事を参照していただきたい。
Dropboxをはじめとするオンラインサービスは、インターネット接続さえあれば、どこからでも手軽に自分のファイルへアクセスできて大変便利だ。しかし、だからこそアカウントを乗っ取られてストレージ内の情報を窃取される危険性は、オフラインのストレージより高くなりがちだ。Dropboxについては、以下のような報道もあった。
Dropbox社は自社からのパスワード漏えいを否定している。しかしそうだとしても、例えばユーザーが別のサービスで同じアカウント名/パスワードを使い回した、といった理由から攻撃者にアカウント名/パスワードが漏えいする危険性は常にある。
そこでお勧めなのは「2段階認証」という機能だ。これはDropbox社が提供しているセキュリティ強化機能の1つで、アカウント名/パスワードが攻撃者に漏れても、アカウントの乗っ取りを防止できる可能性を大幅に高められる。本稿ではiOS端末(iPhone/iPad/iPod touch)を対象に、その導入手順や普段の認証手順、注意点を説明する。
ここでいう2段階認証(おおよそ同じ意味で「2要素認証」とも呼ばれる)とは、通常のパスワードによる認証が成功した後に、もう1つ別の認証をユーザーに求めることだ。Dropboxの場合、2段階目の認証として次の2種類の方法が用意されている。
1.の認証アプリとは、2段階認証でよく用いられるワンタイムパスワードを生成するためのアプリだ。2段階認証の導入時に、このアプリをDropboxと関連付ける必要がある。本稿では、代表的な認証アプリとして「Google認証システム(Google Authenticator)」を利用した例を説明する。これはiOS端末(iPhone/iPad/iPod touch)やAndroid端末で利用できる。
2.には、電話番号宛のSMSのメッセージを受信できる携帯電話/スマートフォンが必要だ。本稿では、iPhoneの標準SMSアプリを例に挙げる。
もし1.と2.の両方に必要なデバイスを用意できるなら、1.をメインにして、2.をバックアップに使うとよいだろう。万一メインの手段が使えなくなっても、別の手段である2.で代替できるからだ(具体的な設定方法はこの後に説明する)。
認証アプリを利用する場合は、Android OSまたはiOSを搭載した端末に、「Google認証システム」をアプリストアからインストールしておく。
SMSを利用する場合は、SMSのメッセージを受信できる端末を用意する。一部のPHS端末は、2014年10月よりSMSを受信できるようになったので、確認するとよいだろう。
認証アプリによるDropboxの2段階認証を導入するには、まずWebブラウザーでDropboxのPC向けWebページを開く。
もし、以下のようにスマートフォン/タブレット向けに最適化されたデザインのWebページが表示された場合は、ログイン画面の下端にある「デスクトップ版」リンクをタップする。これにより、2段階認証を有効化するための設定パネルを参照できるようになる。
PC向けWebページを開いたら、対象のDropboxアカウントとそのパスワードでログインし、設定画面の「セキュリティ」タブで[2段階認証]−[有効にする]をタップしてウィザードを進める。
上記の画面までウィザードを進めたら、iPhone/iPad/iPod touchにインストールしておいた「Google認証システム」アプリを起動し、Dropboxの2段階認証と関連付ける。ここではDropboxが表示するQRコードを認証アプリに撮影させる方法を説明する。
上記画面が表示されたらワンタイムパスワードの値(=セキュリティコード)を記憶して、再びDropboxのウィザード(QRコードが表示されている画面)に戻って[次]ボタンをタップし、セキュリティコードを入力する。
これで認証アプリによる2段階認証の導入は完了だ。
2段階認証を有効化する以前にログイン済みだったDropboxクライアントは、引き続きそのまま利用できる。あらためてログインし直したりセキュリティコードを入力したりする必要はない。
一方、2段階認証の有効後にDropboxクライアントをインストールした場合は、ログイン時にセキュリティコードの入力が求められる。以下では、iOS端末にインストールしたDropboxアプリにログインする手順を説明する。
アカウント名とパスワードによるログインを実行した後、「セキュリティコード」という画面が表示されたら、認証アプリの方に注目し、そこに表示されているセキュリティコードを記憶する。
そして前述の導入時と同じく、使用期限前にセキュリティコードをDropboxアプリに入力・送信する。
Dropboxアプリの場合、いったん全ての認証に成功してログインできると、以後は明示的にログアウトしたり該当端末とDropboxとの「リンク」を切断したりするまで、パスワード認証も2段階目の認証も求められない。つまり、この後は2段階認証の導入前と同じく、アプリを起動するとすぐにDropboxの全機能を利用できる。
次に、もう1つの認証方式であるSMS(テキストメッセージ)受信を用いた2段階認証について説明しよう。まずは認証アプリの場合と同じく、DropboxのPC向けWebページの設定画面を開いて「セキュリティ」タブを選び、[2段階認証]−[有効にする]をタップする。2段階認証のウィザードが表示されたら、「セキュリティ コードをどの方法で受信しますか」という画面まで進める。そこで[テキスト メッセージを使用]を選び、SMS受信用端末の電話番号を指定する。
ここでSMSを受信するための端末の方に注目する。Dropboxからセキュリティコードを記したメッセージが届くはずだ。
届いたセキュリティコードを記憶したら、先ほどのDropboxのウィザードに戻ってセキュリティコードを入力し、ウィザードを完了させる。
これでSMSによる2段階認証の導入は完了だ。
2段階認証の導入前にログイン済みだったDropboxクライアントは、引き続きそのまま利用できる。あらためてログインし直したりセキュリティコードを入力したりする必要はない。
一方、2段階認証の有効後にDropboxクライアントをインストールした場合は、ログイン時にセキュリティコードの入力が求められる。以下では、iPhoneにインストールしたDropboxアプリにログインする手順を説明する。
通常のログインを実行した後、「セキュリティコードを入力」という画面が表示されたら、登録した電話番号を持つ携帯電話/スマートフォンでDropboxからのメッセージ受信を待つ。
そして2段階認証の導入時と同じく、速やかにセキュリティコードをDropboxアプリに指定・送信する。
Dropboxアプリの場合、いったん全ての認証に成功してログインできると、以後は明示的にログアウトしたり該当端末とDropboxとの「リンク」を切断したりするまで、パスワード認証も2段階目の認証も求められない。つまり、この後は2段階認証の導入前と同じく、アプリを起動するとすぐにDropboxの全機能を利用できる。
Dropboxに2段階認証を導入すると、攻撃者が用意した端末からDropboxにログインすることは、かなり困難になる。とはいっても、2段階認証は万能でも全能でもない。
■「認証デバイス」まで盗まれたらアカウント乗っ取りの危険性大
当然のことだが、攻撃者にアカウント名とパスワードだけではなく、認証デバイスすなわち登録した認証アプリまたはSMS受信端末まで奪われてしまったら、非常に容易にアカウントは乗っ取られてしまう。認証デバイスは持ち歩くものなので、紛失や盗難に遭いがちだ。その管理には十分に気を付ける必要がある。
もし認証デバイスをなくしたら、速やかにパスワードを変更し、さらに認証デバイスも差し替える。それにはDropboxのPC向けWebページの設定画面にある[セキュリティ]タブの[2段階認証]に注目し、「主要」と「バックアップ」のうち、なくした方の[編集]をクリックし、ウィザードを実行し直して新たな認証デバイスを登録する。
■「信頼」した端末を盗まれたら即座に情報漏えいの危険性大
前述の手順で2段階認証を経てログインに成功したDropboxアプリは、「信頼された」ことになり、以後はパスワード認証も2段階目の認証も求められない。そのため、信頼済みのDropboxアプリをインストールした端末を盗まれたら、攻撃者は認証なしに情報を取得できてしまう。
もし「信頼」した端末をなくしたら、速やかに「信頼しない」状態に変更すべきだ。それにはDropboxのPC向けWebページの設定画面にある[セキュリティ]タブの[デバイス]の一覧で、該当端末の右端に表示されている「×」をクリックして、リンクを切断する(これで信頼が「切れる」)。
■この記事と関連性の高い別の記事
Copyright© Digital Advantage Corp. All Rights Reserved.