Dropboxのセキュリティを2段階認証で強化する(iPhone/iPad/iPod touch編):Tech TIPS
Dropboxをはじめとするオンラインストレージサービスでは、パスワード漏えいによるアカウント乗っ取り、そして情報漏えいの危険性が常にある。そこで「2段階認証」を導入すればセキュリティを大幅に強化できる。iPhone/iPad/iPod touchでの設定方法と注意点は?
対象サービスとハードウェア:Dropbox、iPhone/iPad/iPod touch
*Android端末での操作方法については、次の記事を参照していただきたい。
解説
Dropboxをはじめとするオンラインサービスは、インターネット接続さえあれば、どこからでも手軽に自分のファイルへアクセスできて大変便利だ。しかし、だからこそアカウントを乗っ取られてストレージ内の情報を窃取される危険性は、オフラインのストレージより高くなりがちだ。Dropboxについては、以下のような報道もあった。
- DropboxユーザーのID・パスワード700万件が流出? Dropboxは自社からの流出を否定(ITmediaニュース)
Dropbox社は自社からのパスワード漏えいを否定している。しかしそうだとしても、例えばユーザーが別のサービスで同じアカウント名/パスワードを使い回した、といった理由から攻撃者にアカウント名/パスワードが漏えいする危険性は常にある。
そこでお勧めなのは「2段階認証」という機能だ。これはDropbox社が提供しているセキュリティ強化機能の1つで、アカウント名/パスワードが攻撃者に漏れても、アカウントの乗っ取りを防止できる可能性を大幅に高められる。本稿ではiOS端末(iPhone/iPad/iPod touch)を対象に、その導入手順や普段の認証手順、注意点を説明する。
●Dropboxの「2段階認証」とは?
ここでいう2段階認証(おおよそ同じ意味で「2要素認証」とも呼ばれる)とは、通常のパスワードによる認証が成功した後に、もう1つ別の認証をユーザーに求めることだ。Dropboxの場合、2段階目の認証として次の2種類の方法が用意されている。
- 「認証アプリ」で入手したセキュリティコードで認証する
- DropboxからSMSで送信されるセキュリティコードで認証する
1.の認証アプリとは、2段階認証でよく用いられるワンタイムパスワードを生成するためのアプリだ。2段階認証の導入時に、このアプリをDropboxと関連付ける必要がある。本稿では、代表的な認証アプリとして「Google認証システム(Google Authenticator)」を利用した例を説明する。これはiOS端末(iPhone/iPad/iPod touch)やAndroid端末で利用できる。
2.には、電話番号宛のSMSのメッセージを受信できる携帯電話/スマートフォンが必要だ。本稿では、iPhoneの標準SMSアプリを例に挙げる。
もし1.と2.の両方に必要なデバイスを用意できるなら、1.をメインにして、2.をバックアップに使うとよいだろう。万一メインの手段が使えなくなっても、別の手段である2.で代替できるからだ(具体的な設定方法はこの後に説明する)。
操作方法
- 2段階目の認証に用いるデバイス(端末)を準備する
- 認証アプリによる2段階認証を導入する
- 認証アプリを利用してログインする
- SMSによる2段階認証を導入する
- SMSを利用してログインする
- 2段階認証にも限界はある
●2段階目の認証に用いるデバイス(端末)を準備する
認証アプリを利用する場合は、Android OSまたはiOSを搭載した端末に、「Google認証システム」をアプリストアからインストールしておく。
- Google Authenticator(Apple App Store)
- Google認証システム(Google Play)
SMSを利用する場合は、SMSのメッセージを受信できる端末を用意する。一部のPHS端末は、2014年10月よりSMSを受信できるようになったので、確認するとよいだろう。
- バージョンアップ情報(Y!mobile)
●認証アプリによる2段階認証を導入する
認証アプリによるDropboxの2段階認証を導入するには、まずWebブラウザーでDropboxのPC向けWebページを開く。
- DropboxのWebサイト(Dropbox社)
もし、以下のようにスマートフォン/タブレット向けに最適化されたデザインのWebページが表示された場合は、ログイン画面の下端にある「デスクトップ版」リンクをタップする。これにより、2段階認証を有効化するための設定パネルを参照できるようになる。
Dropboxのモバイル向けWebページ
これはモバイル端末向けのログインページ。このページからは、2段階認証を有効化するための設定ページを開けない。
(1)これをタップすると、PC向けデザインのWebページが表示される。フォントが小さくて操作しにくくなるが、2段階認証を有効化するには必要である。
PC向けWebページを開いたら、対象のDropboxアカウントとそのパスワードでログインし、設定画面の「セキュリティ」タブで[2段階認証]−[有効にする]をタップしてウィザードを進める。
iOSで認証アプリによるDropboxの2段階認証を導入する(その1)
これはDropboxのPC向けWebページからログインした直後の画面。
(1)このユーザー名の部分をタップする。
(2)開いたメニューからこれをタップする。
iOSで認証アプリによるDropboxの2段階認証を導入する(その6)
認証アプリのセットアップが完了するまで、[次へ]ボタンはタップしないこと。
(10)このDropboxアカウントと認証アプリを関連付けるための情報が格納されたQRコード。認証アプリにこれを撮影させる。
(11)認証アプリあるいはそれをインストールした端末にQRコードの読み取り機能がない場合は、これをタップして手動で「シークレットキー」と呼ばれる文字列を認証アプリに入力する必要がある。
上記の画面までウィザードを進めたら、iPhone/iPad/iPod touchにインストールしておいた「Google認証システム」アプリを起動し、Dropboxの2段階認証と関連付ける。ここではDropboxが表示するQRコードを認証アプリに撮影させる方法を説明する。
iOSで認証アプリによるDropboxの2段階認証を導入する(その7)
これは「Google認証システム」をインストールしたiPhoneのホーム画面。
(1)インストールした「Google認証システム」のアイコン。これをタップして起動する。
iOSで認証アプリによるDropboxの2段階認証を導入する(その9)
(3)Dropbox側のウィザードで表示されるQRコードを撮影することで関連付けを行う。本稿では、こちらをタップして次へ進む。
(4)QRコードではなく「シークレットキー」で関連付けを行う場合は、こちらをタップする。
iOSで認証アプリによるDropboxの2段階認証を導入する(その10)
これはGoogle認証システムで、画面に表示されたQRコードを撮影して読み取ろうとしているところ。
(5)前述したDropboxのウィザードの途中で現れたQRコード。この白い枠内にQRコードを収めると自動的に撮影され、次に進む。
iOSで認証アプリによるDropboxの2段階認証を導入する(その11)
QRコードが撮影・解読されると、このような画面が表示される。
(6)サービス名やアカウント名(メールアドレス)が表示される。複数のサービスがこの認証アプリに登録されることがよくあるので、これでどのサービス/アカウントなのか区別する。
(7)(8)の使用可能期限が表示される。このメーターの残量が0になると、(8)は自動的に新たな値に書き換えられる。
(8)認証に用いられるワンタイムパスワードの値(これがセキュリティコードになる)。これを記憶して(7)の期限までにDropboxのウィザードに入力する。
上記画面が表示されたらワンタイムパスワードの値(=セキュリティコード)を記憶して、再びDropboxのウィザード(QRコードが表示されている画面)に戻って[次]ボタンをタップし、セキュリティコードを入力する。
iOSで認証アプリによるDropboxの2段階認証を導入する(その12)
これは前述のウィザード途中のQRコード表示画面で、[次]ボタンをタップした後に表示された画面。
(1)Google認証システムが生成したセキュリティコードを入力する。
(2)これをタップして次へ進む。セキュリティコードの使用期限が終わる前にタップすること。終わってしまったら、新たなセキュリティコードで再度試してみる。
iOSで認証アプリによるDropboxの2段階認証を導入する(その13)
(3)バックアップのSMS受信端末(携帯電話やスマートフォン)があれば、その電話番号を記入しておく(先頭の「0」は省く)。認証アプリが使用不能な場合、これを用いて2段階認証を続けることが可能だ。指定せずに省略してもよい。
(4)これをタップして次へ進む。
iOSで認証アプリによるDropboxの2段階認証を導入する(その14)
(5)「復元コード」「緊急用バックアップコード」と呼ばれる文字列。紙にメモして、他人に見られない安全な場所に保管しておく。2段階目の認証にどうしても失敗する場合は、これを利用して2段階認証を無効化できる(詳細は別稿で解説予定)。
(6)これをタップした後、次の画面で[完了]ボタンをタップすると、2段階認証の有効化は完了だ。
これで認証アプリによる2段階認証の導入は完了だ。
●認証アプリを利用してログインする
2段階認証を有効化する以前にログイン済みだったDropboxクライアントは、引き続きそのまま利用できる。あらためてログインし直したりセキュリティコードを入力したりする必要はない。
一方、2段階認証の有効後にDropboxクライアントをインストールした場合は、ログイン時にセキュリティコードの入力が求められる。以下では、iOS端末にインストールしたDropboxアプリにログインする手順を説明する。
認証アプリを利用してiOS版Dropboxアプリにログインする(その1)
これはiOS版Dropboxアプリを起動し、[ログイン]をタップして表示される画面。
(1)Dropboxのアカウント/パスワードを指定する。
(2)これをタップして次へ進む。
アカウント名とパスワードによるログインを実行した後、「セキュリティコード」という画面が表示されたら、認証アプリの方に注目し、そこに表示されているセキュリティコードを記憶する。
そして前述の導入時と同じく、使用期限前にセキュリティコードをDropboxアプリに入力・送信する。
認証アプリを利用してiOS版Dropboxアプリにログインする(その4)
再びDropboxの画面に戻って認証を続ける。
(4)認証アプリに表示されていたセキュリティコードを記入する。
(5)これをタップして「コードを確認中」という表示を経て、Dropboxのルートフォルダー一覧が表示されたら全ての認証は完了だ。
Dropboxアプリの場合、いったん全ての認証に成功してログインできると、以後は明示的にログアウトしたり該当端末とDropboxとの「リンク」を切断したりするまで、パスワード認証も2段階目の認証も求められない。つまり、この後は2段階認証の導入前と同じく、アプリを起動するとすぐにDropboxの全機能を利用できる。
●SMSによる2段階認証を導入する
次に、もう1つの認証方式であるSMS(テキストメッセージ)受信を用いた2段階認証について説明しよう。まずは認証アプリの場合と同じく、DropboxのPC向けWebページの設定画面を開いて「セキュリティ」タブを選び、[2段階認証]−[有効にする]をタップする。2段階認証のウィザードが表示されたら、「セキュリティ コードをどの方法で受信しますか」という画面まで進める。そこで[テキスト メッセージを使用]を選び、SMS受信用端末の電話番号を指定する。
iOSでSMSによるDropboxの2段階認証を導入する(その1)
これは前述の認証アプリの場合と同じ手順で、DropboxのPC向けWebページの設定画面から2段階認証の有効化ウィザードを起動し、「セキュリティ コードをどの方法で受信しますか」という画面まで進めたところ。
(1)こちらを選ぶ。
(2)これをタップして次へ進む。
iOSでSMSによるDropboxの2段階認証を導入する(その2)
(3)ここにSMSの受信ができる携帯電話やスマートフォンなどの電話番号を記入する。先頭の「0」は省いて入力すること。
(4)これをタップすると、セキュリティコードを記したメッセージが(3)宛に発信される。
ここでSMSを受信するための端末の方に注目する。Dropboxからセキュリティコードを記したメッセージが届くはずだ。
iOSでSMSによるDropboxの2段階認証を導入する(その3)
これはSMSを受信するために用意したiPhoneで、「メッセージ」アプリを起動したところ。
(5)Dropboxから送信されたメッセージに、このようなセキュリティコードが記されている。これを記憶する。
届いたセキュリティコードを記憶したら、先ほどのDropboxのウィザードに戻ってセキュリティコードを入力し、ウィザードを完了させる。
iOSでSMSによるDropboxの2段階認証を導入する(その4)
再びDropboxの設定画面に戻って導入作業を続ける。
(6)受信したメッセージに記されていたセキュリティコードを記入する。
(7)これをタップして次へ進む。セキュリティコードには使用期限があるはずので、速やかに進めること(どれくらいで期限が切れるのかは確認できなかったが、少なくとも数分は持つようだ)。
iOSでSMSによるDropboxの2段階認証を導入する(その5)
(8)他にSMSを受信できる携帯電話/スマートフォンがあれば、その電話番号を記入しておく。最初に設定したメインの携帯電話/スマートフォンが使用不能になった場合、これをバックアップとして利用できる。
(9)これをタップして次へ進む。
iOSでSMSによるDropboxの2段階認証を導入する(その6)
(10)「復元コード」「緊急用バックアップコード」と呼ばれる文字列。紙にメモして、他人に見られない安全な場所に保管しておく。2段階目の認証にどうしても失敗する場合は、これを利用して2段階認証を無効化できる(詳細は別稿で解説予定)。
(11)これをタップした後、次の画面で[完了]ボタンをタップすると全設定の完了だ。
これでSMSによる2段階認証の導入は完了だ。
●SMSを利用してログインする
2段階認証の導入前にログイン済みだったDropboxクライアントは、引き続きそのまま利用できる。あらためてログインし直したりセキュリティコードを入力したりする必要はない。
一方、2段階認証の有効後にDropboxクライアントをインストールした場合は、ログイン時にセキュリティコードの入力が求められる。以下では、iPhoneにインストールしたDropboxアプリにログインする手順を説明する。
SMSを利用してiOS版Dropboxアプリにログインする(その1)
これはiOS版Dropboxアプリを起動し、[ログイン]をタップして表示される画面。
(1)Dropboxのアカウント/パスワードを指定する。
(2)これをタップして次へ進む。
SMSを利用してiOS版Dropboxアプリにログインする(その2)
2段階認証が導入済みだと、このような画面が表示される。この時点で、導入時に登録した電話番号にはセキュリティコードを記したメッセージが送信されている。
(3)メッセージ送信先の電話番号の下4桁。これで認証用の携帯電話/スマートフォンをある程度特定できる。
通常のログインを実行した後、「セキュリティコードを入力」という画面が表示されたら、登録した電話番号を持つ携帯電話/スマートフォンでDropboxからのメッセージ受信を待つ。
SMSを利用してiOS版Dropboxアプリにログインする(その3)
これはSMS受信用のiPhoneで「メッセージ」アプリを起動したところ。
(4)受信されたDropboxからのメッセージ。このセキュリティコードを記憶する。
そして2段階認証の導入時と同じく、速やかにセキュリティコードをDropboxアプリに指定・送信する。
SMSを利用してiOS版Dropboxアプリにログインする(その4)
再びDropboxの画面に戻って認証を続ける。
(5)SMSで受信したセキュリティコードを記入する。
(6)これをタップして「コードを確認中」という表示を経て、Dropboxのルートフォルダー一覧が表示されたら全ての認証は完了だ。
Dropboxアプリの場合、いったん全ての認証に成功してログインできると、以後は明示的にログアウトしたり該当端末とDropboxとの「リンク」を切断したりするまで、パスワード認証も2段階目の認証も求められない。つまり、この後は2段階認証の導入前と同じく、アプリを起動するとすぐにDropboxの全機能を利用できる。
●2段階認証にも限界はある
Dropboxに2段階認証を導入すると、攻撃者が用意した端末からDropboxにログインすることは、かなり困難になる。とはいっても、2段階認証は万能でも全能でもない。
■「認証デバイス」まで盗まれたらアカウント乗っ取りの危険性大
当然のことだが、攻撃者にアカウント名とパスワードだけではなく、認証デバイスすなわち登録した認証アプリまたはSMS受信端末まで奪われてしまったら、非常に容易にアカウントは乗っ取られてしまう。認証デバイスは持ち歩くものなので、紛失や盗難に遭いがちだ。その管理には十分に気を付ける必要がある。
もし認証デバイスをなくしたら、速やかにパスワードを変更し、さらに認証デバイスも差し替える。それにはDropboxのPC向けWebページの設定画面にある[セキュリティ]タブの[2段階認証]に注目し、「主要」と「バックアップ」のうち、なくした方の[編集]をクリックし、ウィザードを実行し直して新たな認証デバイスを登録する。
■「信頼」した端末を盗まれたら即座に情報漏えいの危険性大
前述の手順で2段階認証を経てログインに成功したDropboxアプリは、「信頼された」ことになり、以後はパスワード認証も2段階目の認証も求められない。そのため、信頼済みのDropboxアプリをインストールした端末を盗まれたら、攻撃者は認証なしに情報を取得できてしまう。
もし「信頼」した端末をなくしたら、速やかに「信頼しない」状態に変更すべきだ。それにはDropboxのPC向けWebページの設定画面にある[セキュリティ]タブの[デバイス]の一覧で、該当端末の右端に表示されている「×」をクリックして、リンクを切断する(これで信頼が「切れる」)。
■この記事と関連性の高い別の記事
- Dropboxのセキュリティを2段階認証で強化する(Android編)(TIPS)
- 「Google Authenticator」アプリとiPhone/iPadで2段階認証を実現する(TIPS)
- 「Google認証システム」アプリとAndroid端末で2段階認証を実現する(TIPS)
- iPhone/Androidで使っているGoogle Authenticator(認証システム)を別の端末に移行させる(TIPS)
- 乗っ取りを防ぐために、iPhone向け公式Twitterアプリで2段階認証を有効にする(TIPS)
- 乗っ取り対策のために、Twitterの2段階認証を有効にする(Androidアプリ編)(TIPS)
- iPhoneに2タッチするだけで済む、Googleの新2段階認証を設定する(TIPS)
- Googleアカウントの乗っ取り防止のために、簡単になった2段階認証を導入する(Android編)(TIPS)
Copyright© Digital Advantage Corp. All Rights Reserved.