Twitterではしばしばアカウントの乗っ取り被害が報告されている。そこで「ログイン認証」と呼ばれる2段階認証を導入すれば乗っ取り防止に役立つ。だが運用には注意が必要だ。
対象サービスとハードウエア:Twitter、iOS 7以降を搭載したiPhone/iPad/iPod touch
※Android OS向け公式Twitterアプリについては、次の記事を参照していただきたい。
Twitter(ツイッター)では、アカウントが乗っ取られてスパムのツイートなどに悪用された、というニュースを見かけることがある。
Twitterで不正なスパムツイートといえば、まずアプリ連携の悪用を連想するかもしれない。だが上記のニュースでは、「流出したID・パスワードによる乗っ取り」という手口が考えられるとのことだ。その場合、アプリ連携をいくら解除しても解決できない。
では、どうすればTwitterアカウントの乗っ取りを防止できるのか? 他のサービスと同じパスワードを使い回さない、推測しやすい文字列をパスワードに使わない、といった対策はもちろん重要だ。
ただ最近では「2段階認証」を提供しているオンラインサービスも増えてきた。これは、ID/パスワードとは別に2段階目の認証を設けることで、ID/パスワードを知った攻撃者が不正にログインするのを防ぐ、という機能だ。
Twitterでも、「ログイン認証(Login Verification)」と呼ばれる2段階認証の機能が用意されている。ただし、その日本語版ヘルプページの冒頭には「現在、ログイン認証を一時的に停止しています。ご迷惑をおかけし大変申し訳ありません。」と記載されている。
その一方でTwitterのWebサイトや公式Twitterアプリでは、「ログイン認証」を有効化したり、2段階目の認証を実行したりするための機能が一通り提供されている。Twitterアカウントを持っているユーザーであれば誰でも利用できる(いくつか前提条件は必要だ。詳細は後述)。
実際に筆者が試した限りでは、ユーザーインターフェース上の表記に英語やおかしな日本語が散見されるものの、2段階認証そのものは大きな不具合なく利用できた。
そこで本稿では、執筆時点のTwitterのサービスを筆者が調べて分かった範囲で、2段階認証を導入して運用するための手順と注意点を解説する。Twitter社が正式に公開しているとは言いがたい状況なので、2段階認証を導入するかどうかは、本稿を読んだ後、読者の皆さま自身にご判断いただきたい。状況が変わった場合は本ページを適宜更新する予定だ。
また本稿では、2段階目の認証にiPhone向けの公式Twitterアプリを利用する。Android OSについては、右の関連記事を参照していただきたい。
本稿では、2段階目の認証にiPhone向けの公式Twitterアプリを「主に」利用するという前提で、2段階認証の有効化やその後の運用、無効化の各手順、および注意点について説明する。
本稿の手順で2段階認証を導入する場合、まず公式TwitterアプリをインストールしたiPhone/iPad/iPod touchが必要だ。このアプリは以下のページから無償で配布されているので、事前にインストールして、2段階認証を導入したいTwitterアカウントでログインしておく。
もう1つ、SMSを受信できる携帯電話も用意しなければならない。あくまでもSMSであり、携帯通信キャリアのメールアドレスや音声通話は利用できない(SMSオプションのないデータ専用の格安SIMは不可ということだ)。
このSMSは、公式Twitterアプリを2段階目の認証用として登録する作業と、導入後の2段階目の認証手段として必要だ。前述の通り、2段階目の認証手段には「主に」公式Twitterアプリが使うのだが、試した限りではSMSが(強制的に)選択されることがあった。そのためSMSを受信するのは、なるべく普段から持ち歩いている携帯電話やスマートフォンが望ましい。
また公式TwitterアプリとSMS受信機能を同じスマートフォンに並存させることは可能だ。認証デバイスが1台で済むので運用は楽になる一方、そのスマートフォンを紛失したり置き忘れたりすると、2つの認証手段が失われてしまう危険性があることは留意していただきたい。
その他、スパム対策などでSMSの受信を制限したりブロックしたりしている場合は、事前に解除しておくこと。
Twitterに2段階認証を導入するには、対象のアカウントに対して、SMSを受信できる電話番号を事前に登録しておく必要がある。ここでは公式Twitterアプリを使って登録する手順を説明する。すでに登録済みの場合は「公式Twitterアプリを使って、Twitterの2段階認証を有効化する」に進んでいただきたい。
指定した電話番号を持つ携帯電話/スマートフォンで、「確認コード」を含むテキストメッセージが届くのを待つ。筆者が試したときには、数秒で届くこともあれば、分単位で待たされることもあった。
公式TwitterアプリとSMS受信機能を同じスマートフォン/タブレットで兼ねている場合、確認コードが届くと、電話番号の登録が自動的に完了する。
逆に、それぞれ別々の端末に割り当てた場合は、公式Twitterアプリに手動で確認コードを記入する必要がある。
以上で携帯電話の番号登録は完了だ。
iPhone向け公式Twitterアプリを利用すると、PC版のTwitterページを参照することなく、iPhoneだけでTwitterの2段階認証の有効化作業が完結できる。その手順も難しくない。
ここで「バックアップコード」が生成される。これは公式TwitterアプリやSMSが使えなくなった場合、2段階目の認証手段としては「最後の砦」となるため、必ず保存しておく。
以上で2段階認証の有効化の作業は完了だ。この時点で2段階目の認証手段としては、デフォルトで公式Twitterアプリ、代替としてSMSとバックアップコードが利用できる。
2段階認証を有効化した後は、TwitterにログインしようとしてID/パスワードを入力して[ログイン]ボタンを押すと、2段階目の認証が求められるようになる。これはWeb版Twitterページと公式Twitterアプリ、サードパーティ製の連携アプリのいずれも同じだ。
以下では3種類の認証手段それぞれについて説明する。
■登録した公式Twitterアプリで認証する
前述した手順通りに2段階認証を有効化した場合、デフォルトで公式Twitterアプリが2段階目の認証手段として利用される。すなわち、1段階目の認証を通過すると、一部の例外を除いて必ず、登録済みの公式Twitterアプリに2段階目の認証を求める「ログインリクエスト」の通知が自動的に届く。
[A]
上記の(3)をタップすると、数秒〜数十秒後に元のアプリでのログインが自動的に完了し、Twitterアカウントが利用可能になる。
■SMSで受信した確認コードで認証する
前述した2段階目の認証を求める画面で、「get a verification code」というリンクをクリックすると、登録した電話番号に対してSMSで確認コードが送信される。
[B]
テキストメッセージから確認コードを記憶またはメモしたら、元のアプリの画面に戻って確認コードを入力してログインを完了する。
■バックアップコードで認証する
前述した2段階目の認証を求める画面で、「保存したバックアップコード」というリンクをクリックすると、バックアップコードの入力画面が表示される。ここで、2段階認証を有効化したときに保存しておいたスクリーンショットから、バックアップコードを転記する。
[C]
もし2段階認証の導入後、Twitterへのログインに支障が生じたら、2段階認証を無効化して元のID/パスワード認証に戻すことも可能だ。
それには、登録した公式Twitterアプリで、[アカウント]タブ−歯車アイコン−[設定]−<対象アカウント>−[セキュリティ]とタップし、[ログイン認証]をオフにする。
2段階認証を無効化しても、ログイン済みのアプリは自動的にログアウトされることなく利用できる。
以下、筆者が実際に試して気付いた点も含めて、注意点を記しておく。
■ユーザーインターフェースやテキストメッセージにおかしな記述が散見される
例えば携帯電話の番号を登録した直後にSMSで届くテキストメッセージには、「標準データプランで課金されます。」と記されている。これはSMSの通信によって、契約中の携帯通信キャリアから通信料として課金される場合があることを示しており、Twitter社から課金されるわけではない。
その他にも、文意が通らない妙な記述や英語表記のまま残っている箇所がいくつかある。だが筆者が試した限りでは、上記の手順で導入および運用すれば問題はなかった。
■2段階認証を有効化したら、登録した携帯電話の番号はむやみに削除しない
筆者が携帯電話の登録をうっかり解除したら、Web版Twitterページからログインする際、1段階目のID/パスワード認証に失敗するようになってしまった。このとき、ログイン済みだった別の端末から電話番号を再度登録することで回復できた。
■SMSでの認証が強制される場合がある
認証アプリとして登録した公式Twitterアプリとは別に、他の端末にインストールした公式Twitterアプリからログインしようとしたところ、2段階目の認証にはSMSしか選択できなかった。デフォルトの公式Twitterアプリが利用できない例外のようだ。
■バックアップコードは1回限りの使い捨て
2段階目の認証に使ったバックアップコードは以後、使うことはできない(使ってもエラーになる)。そのため、使ったらその分を補充するために、新たなバックアップコードを生成・保存する必要がある。それには公式Twitterアプリで、[アカウント]タブ−歯車アイコン−[設定]−<対象アカウント>−[セキュリティ]−[バックアップコード]とタップし、[バックアップコードを生成する]をタップして新たなバックアップコードを生成し、メモする。もちろん他人の目には触れないように、その管理には十分注意すること。
■「登録した」公式Twitterアプリだけが認証アプリとして利用できる
公式Twitterアプリは複数のスマートフォン/タブレット(端末)にインストールできる。だが認証アプリとして利用できるのは、2段階認証を有効化する際に公式Twitterアプリを登録した端末だけだ。それ以外の端末にログインリクエストは届かず、2段階目の認証には使えない。
■「Google認証システム」アプリは利用できない
2段階認証のための認証アプリといえば、グーグルやFacebook、Microsoftなどのサービスで利用できる「Google認証システム(Google Authenticator)」が有名だ。だが、Twitterの2段階認証はこのアプリに対応しておらず、利用できない。2段階目の認証に利用できるモバイルアプリは、公式Twitterアプリだけだ。
■この記事と関連性の高い別の記事
Copyright© Digital Advantage Corp. All Rights Reserved.