Twitterで見かけるアカウントの乗っ取り被害。「ログイン認証」と呼ばれる2段階認証を導入すれば乗っ取り防止に役立つ。ただし注意すべき点も多い。Android向け公式アプリで認証する方法を解説。
対象サービスとハードウエア:Twitter、Android OS搭載のスマートフォン/タブレット
※iPhone/iPad/iPod touch向け公式Twitterアプリについては、次の記事を参照していただきたい。
Twitter(ツイッター)では、アカウントが乗っ取られてスパムのツイートなどに悪用された、というニュースを見かけることがある。
Twitterで不正なスパムツイートといえば、まずアプリ連携の悪用を連想するかもしれない。だが上記のニュースでは、「流出したID・パスワードによる乗っ取り」という手口が考えられるとのことだ。その場合、アプリ連携をいくら解除しても解決できない。
では、どうすればTwitterアカウントの乗っ取りを防止できるのか? 他のサービスと同じパスワードを使い回さない、推測しやすい文字列をパスワードに使わない、といった対策はもちろん重要だ。
ただ最近では「2段階認証」を提供しているオンラインサービスも増えてきた。これは、ID/パスワードとは別に2段階目の認証を設けることで、ID/パスワードを知った攻撃者が不正にログインするのを防ぐ、という機能だ。
Twitterでも、「ログイン認証(Login Verification)」と呼ばれる2段階認証の機能が用意されている。ただし、その日本語版ヘルプページの冒頭には「現在、ログイン認証を一時的に停止しています。ご迷惑をおかけし大変申し訳ありません。」と記載されている。
その一方でTwitterのWebサイトや公式Twitterアプリでは、「ログイン認証」を有効化したり、2段階目の認証を実行したりするための機能が一通り提供されている。Twitterアカウントを持っているユーザーであれば誰でも利用できる(いくつか前提条件は必要だ。詳細は後述)。
実際に筆者が試した限りでは、ユーザーインターフェース上の表記に英語やおかしな日本語が散見されるものの、2段階認証そのものは大きな不具合なく利用できた。
そこで本稿では、執筆時点のTwitterのサービスを筆者が調べて分かった範囲で、2段階認証を導入して運用するための手順と注意点を解説する。Twitter社が正式に公開しているとは言いがたい状況なので、2段階認証を導入するかどうかは、本稿を読んだ後、読者の皆さま自身にご判断いただきたい。状況が変わった場合は本ページを適宜更新する予定だ。
また本稿では、2段階目の認証にAndroid OS向けの公式Twitterアプリを利用する。iPhone/iPad/iPod touchについては、右の関連記事を参照していただきたい。
本稿では、2段階目の認証にiPhone向けの公式Twitterアプリを「主に」利用するという前提で、2段階認証の有効化やその後の運用、無効化の各手順、および注意点について説明する。
本稿の手順で2段階認証を導入する場合、まず公式TwitterアプリをインストールしたAndroidスマートフォン/タブレットが必要だ。このアプリは以下のページから無償で配布されているので、事前にインストールして、2段階認証を導入したいTwitterアカウントでログインしておく。
もう1つ、SMSを受信できる携帯電話も用意しなければならない。あくまでもSMSであり、携帯通信キャリアのメールアドレスや音声通話は利用できない(SMSオプションのないデータ専用の格安SIMは不可)。
このSMSは、公式Twitterアプリを2段階目の認証用として登録するとき、および導入後の2段階目の認証時に必要となる。前述の通り、2段階目の認証には「主に」公式Twitterアプリが使うのだが、試した限りではSMSが(強制的に)選択されることがあった。そのためSMSを受信するのは、なるべく普段から持ち歩いている携帯電話やスマートフォンが望ましい。
ただし、すでに別のTwitterアカウントに登録済みの電話番号は使い回せない(指定してもエラーになる)。
また、公式Twitterアプリをインストールしたスマートフォンで、SMSの受信を兼ねてもよい。認証デバイスが1台で済むので運用は楽になる一方、そのスマートフォンを紛失したり置き忘れたりすると、2つの認証手段が失われてしまう危険性があることは留意していただきたい。
その他、スパム対策などでSMSの受信を制限したりブロックしたりしている場合は、事前に解除しておくこと。
Twitterに2段階認証を導入するには、対象のアカウントに対して、SMSを受信できる電話番号を事前に登録しておく必要がある。ここでは公式Twitterアプリを使って登録する手順を説明する。すでに登録済みの場合は「公式Twitterアプリを使って、Twitterの2段階認証を有効化する」に進んでいただきたい。
指定した電話番号を持つ携帯電話/スマートフォンで、「確認コード」を含むテキストメッセージが届くのを待つ。筆者が試したときには、数秒で届くこともあれば、分単位で待たされることもあった。
公式TwitterアプリとSMS受信機能を同じスマートフォン/タブレットで兼ねている場合、確認コードが届くと、電話番号の登録が自動的に完了する。
逆に、それぞれ別々の端末に割り当てた場合は、公式Twitterアプリに手動で確認コードを記入する必要がある。
以上で携帯電話の番号登録は完了だ。なお、この手順によって他人がその電話番号で自分のアカウントを検索できるように設定できる。ただしデフォルトでこの機能はオフのはずだ。確認するには、あらためて設定画面を開き、<対象アカウント>をタップして表示される[電話番号で検索]のオン/オフを調べればよい。
Android向け公式Twitterアプリを利用すると、PC版のTwitterページを参照することなく、Android端末だけでTwitterの2段階認証の有効化作業が完結できる。その手順も難しくない。
ここで「バックアップコード」が生成される。これは公式TwitterアプリやSMSが使えなくなった場合、2段階目の認証手段としては「最後の砦」となるので、必ず保存しておく。例えば紙に転記して財布に入れておき、他人には閲覧させない、というように管理するのが望ましい。
以上で2段階認証の有効化の作業は完了だ。この時点で2段階目の認証手段としては、デフォルトで公式Twitterアプリ、代替としてSMSとバックアップコードが利用できる。
2段階認証を有効化した後は、TwitterにログインしようとしてID/パスワードを入力して[ログイン]ボタンを押すと、2段階目の認証が求められるようになる。これはWeb版Twitterページと公式Twitterアプリ、サードパーティ製の連携アプリのいずれも同じだ。
以下では3種類の認証手段それぞれについて説明する。
■登録した公式Twitterアプリで認証する
前述した手順通りに2段階認証を有効化した場合、デフォルトで公式Twitterアプリが2段階目の認証手段として利用される。すなわち、1段階目の認証を通過すると、一部の例外を除いて必ず、登録済みの公式Twitterアプリに2段階目の認証を求める「ログインリクエスト」の通知が自動的に届く。
[A]
上記の(3)をタップすると、数秒〜数十秒後に元のアプリでのログインが自動的に完了し、Twitterアカウントが利用可能になる。
■SMSで受信した確認コードで認証する
前述した2段階目の認証を求める画面で、「get a verification code」というリンクをクリックすると、登録した電話番号に対してSMSで確認コードが送信される。
[B]
テキストメッセージから確認コードを記憶またはメモしたら、元のアプリの画面に戻って確認コードを入力してログインを完了する。
■バックアップコードで認証する
前述した2段階目の認証を求める画面で、「保存したバックアップコード」というリンクをクリックすると、バックアップコードの入力画面が表示される。ここで、事前に保存しておいたバックアップコードを記入する。
[C]
上記の手順で使ったバックアップコードは、もう利用できない(次の機会に指定してもエラーになる)。つまり、バックアップコードは一回ずつ使い捨てるということだ。
そのため、使ったらその分を補充するために、新たなバックアップコードを生成する必要がある。それには公式Twitterアプリで、画面右上のメニューアイコン−[設定]−<対象アカウント>−[セキュリティ]−[バックアップコード]−[新しいバックアップコードを生成する]をタップする。新たなバックアップコードが生成されたら、次の機会のためにメモしておく。
もし2段階認証の導入後、Twitterへのログインに支障が生じたら、2段階認証を無効化して元のID/パスワード認証に戻すことも可能だ。
それには、登録した公式Twitterアプリで、[アカウント]タブ−歯車アイコン−[設定]−<対象アカウント>−[セキュリティ]とタップし、[ログイン認証]をオフにする。
2段階認証を無効化しても、ログイン済みのアプリは自動的にログアウトされることなく利用できる。
以下、筆者が実際に試して気付いた点も含めて、注意点を記しておく。
■ユーザーインターフェースやテキストメッセージにおかしな記述が散見される
例えば携帯電話の番号を登録した直後にSMSで届くテキストメッセージには、「標準データプランで課金されます。」と記されている。これはSMSの通信によって、契約中の携帯通信キャリアから通信料として課金される場合があることを示しており、Twitter社から課金されるわけではない。
その他にも、文意が通らない妙な記述や英語表記のまま残っている箇所がいくつかある。だが筆者が試した限りでは、上記の手順で導入および運用すれば問題はなかった。
■2段階認証を有効化したら、登録した携帯電話の番号はむやみに削除しない
筆者が携帯電話の登録をうっかり解除したら、Web版Twitterページからログインする際、1段階目のID/パスワード認証に失敗するようになってしまった。このとき、ログイン済みだった別の端末から電話番号を再度登録することで回復できた。
■SMSでの認証が強制される場合がある
認証アプリとして登録した公式Twitterアプリとは別に、他の端末にインストールした公式Twitterアプリからログインしようとしたところ、2段階目の認証にはSMSしか選択できなかった。デフォルトの公式Twitterアプリが利用できない例外のようだ。
■「登録した」公式Twitterアプリだけが認証アプリとして利用できる
公式Twitterアプリは複数のスマートフォン/タブレット(端末)にインストールできる。だが認証アプリとして利用できるのは、2段階認証を有効化する際に公式Twitterアプリを登録した端末だけだ。それ以外の端末にログインリクエストは届かず、2段階目の認証には使えない。
■「Google認証システム」アプリは利用できない
2段階認証のための認証アプリといえば、グーグルやFacebook、Microsoftなどのサービスで利用できる「Google認証システム(Google Authenticator)」が有名だ。だが、Twitterの2段階認証はこのアプリに対応しておらず、利用できない。2段階目の認証に利用できるモバイルアプリは、公式Twitterアプリだけだ。
■この記事と関連性の高い別の記事
Copyright© Digital Advantage Corp. All Rights Reserved.