スマキャン編集チーム 
今回は、セキュリティを高めるうえで欠かせない2段階認証、Google社が提供しているセキュリティ対策「Google Authenticator」についてご紹介をしていきたいと思います。
最近ではLINEやTwitter、bitcastleなど様々なWEBサービスで設けています。
本記事をご参考に「2段階認証、Google Authenticator」の知識を深めていきましょう。
☑Google Authenticatorとは?
Google Authenticator(Googleオーセンティケーター)とは、WEBサイトなどへログインした際に追加で認証作業を求めるアプリケーションのことです。なお、追加認証の事を2段階認証と呼びます。
2段階認証はセキュリティ強化の施策のひとつです。IDとパスワードに加え、本人確認のための認証要素を追加入力します。なお、認証要素とは、「所有しているデバイスからワンタイムパスワードなどの情報を入力する所有要素」や、「指紋や顔など人体の情報を利用した生体要素」の2つがあります。
Google Authenticatorの場合は、発行されるワンタイムの6桁のセキュリティコードを追加入植しますので、認証要素でいうところの所有要素になります。定期的に変更されるワンタイムパスワードを入力することで、なりすましを防ぐ役割を果たしています。
お使いになる利用者にとって少し手間のかかるログインではありますが、IDやパスワードがなんらかの理由により漏洩した場合の防護策となります。パスワードは使いまわしたり同じ数字の羅列、なんて人も多いですしね。
とはいえ面倒だ、とお考えの人もいるかと思います。そんな方に2段階認証の重要性をご理解いただける好例をご用意いたしました。「7Pay」です。
二段階認証の必要性を「7Pay」から学ぶ
2段階認証が未対応だったことで多額の損失が発生した教訓として株式会社セブン・ペイの「7Pay」をご紹介したいと思います。
2019年7月1日に鳴り物入りでリリースされたバーコード決済「7Pay」は、サービス開始の翌日には不正ログインが発覚し、7月4日には新規登録の停止。そしてわずか2ヶ月後の9月30日に全サービスを廃止する事態にまで発展しました。
被害額は2ヶ月間で約4000万にものぼり、約1600人のかたが被害に遭われました。
不正ログインの方法は「パスワードリスト型攻撃」「パスワードリセットの不備」「ID連携の不備」などが取り正されていましたが、いずれも2段階認証の対応がなされていれば防ぐことが出来ていたでしょう。
なおリリースから1ヶ月後の8月1日の会見で株式会社セブン・ペイの奥田取締役営業部長の回答も興味深いため引用します。
「開発段階では2段階認証を想定していたが、使用感を考慮して入り口を低くした」「決済が利用されるのはセブン-イレブンの店舗のみであり、不正が起きてもモニタリングによって事後的に対処できると考えていた」
ユーザーの利便性(正確には企業側の機会損失の回避)のため、セキュリティ対策が蔑ろにされてしまった好例といえるでしょう。
2段階認証を設けているサイトはどこ?
「7Pay」の不正ログイン問題もあり、セキュリティ対策に力を入れる企業はずいぶんと増えた印象を持っています。
以下、対応しているWEBサイトの一例をまとめました。
| 種類 | 名称 | 詳細 |
| クラウドサービス | Google Workspace、Dropbox | 大手サービスは対応している可能性が高いですが、プランによりセキュリティ機能に制限をかけている場合もある(SAML認証など)ので、注意が必要です。 |
| SNSサイト | Twitter、Instagram、Facebook、LINE | 主要なSNSサイトは全て二段階認証への対応をしています。 |
| ECサイト | Amazon、Yahoo | EC(electronic commerce)とはインターネット通販サイト全般を指します。 クレジット登録などもあるので、こちらも2段階認証を採用しているサイトが多いです。 |
| 電子決済 | PayPay、LinePay | 先ほど取り上げました7Payがこれに当たります。 |
| 仮想通貨取引所 | Bybit、bitcastle | お金の取引が中心となる仮想通貨取引所は全て二段階認証への対応をしています。 |
上記のように、なんらかの費用が発生する可能性のあるサイトや個人情報を扱うサイトに多く2段階認証が用意されております。
☑Google Authenticatorの設定・使用方法について
設定方法について
- 対応OSのストアより「Google Authenticator」で検索し、端末にアプリをダウンロードします。
- アプリを起動します。アプリ内に「2段階認証プロセスを使用してすべてのアカウントの認証コードを入手できます」とメッセージが表示されます。
- 対象WEBサイトとの連携方法として「QRコードをスキャン」か「セットアップキーを入力」の2通りの方法を選択することができます。
- QRコードをスキャン:2段階認証を行うWEBサイトで「QRコード」を表示させ、アプリから読み取りを行います。完了すると6桁の認証コードを表示します。
- セットアップキーを入力:2段階認証を行うWEBサイトで「セットアップキー」を表示させ、アプリから入力を行います。完了すると6桁の認証コードを表示します。
※bitcastleの2段階認証はこちらをご参考ください。
使用方法について
- 設定を行ったWEBサイトにログインを行うと、2段階認証を求める追加項目が表示されます。
- Google Authenticatorより認証コードの確認をおこないます。
- Google Authenticatorを起動し、対象WEBサイトの認証コード6桁を確認します。なお認証コードは30秒ごとに更新されますのでご注意ください。数字の右側に丸マークが表示され、更新時間が近づくにつれ欠けていきます。更新されてしまうと認証エラーとなりますので、間に合わないと判断した場合は次の更新を待ちましょう。
- 認証コードの入力を行います。WEBサイトが表示されます。
以上となります。いかがでしょうか。一手順増えるとはいえ、操作も簡略化されていますので慣れれば手間に感じることはないでしょう。
スムーズに入力するコツ
・メールアドレスなど固定単語を辞書登録する。
・認証コードリセットされてから入力する。
・コピー&ペーストを活用する。
一手順増えるとはいえ、操作も簡略化されていますので慣れれば手間に感じることはないでしょう。
Google Authenticatorの注意点、応用操作
注意点を確認していきます。どのような点があるのでしょうか。
機種変更時は注意が必要
新端末へのアプリ移行を忘れたまま、旧端末を初期化や廃棄してしまいますと面倒なことになってしまいます。Google Authenticatorのアプリ移行手順は以下の通りとなります。
1.旧端末でGoogle Authenticatorにログインし、アカウント情報をエクスポートします。
2.新端末で出力情報をインポートします。
手順としては分かりやすいものの、裏を返しますと旧端末が手元から無くなっていますと移行ができません。セキュリティ確保による制限ですので、移行前に旧端末を処分しないようお気をつけください。
Google Authenticatorの応用操作について
先ほどの項目ではGoogle Authenticatorの設定方法、利用方法について解説しました。
ここでは+α知っていただくと知っていて損は無い便利な応用操作についてまとめさせていただきます。
▼複数の端末でGoogle Authenticatorを利用する方法
Google Authenticatorのデメリットの1つとして「機種変更時はデータ移行が必須」である旨を説明いたしました。
にも関わらず複数端末で利用できるとはどういう事でしょうか。
以下、設定手順となります。
1.複数端末に「Google Authenticator」をインストールします。
2.WEBサイトの登録設定時に表示される同じ「QRコード」か「アドレスキー」を、それぞれの端末で設定する。
上記設定を行うことで、端末に表示されるワンタイムパスワードがそれぞれ同一のものとなります。メイン機を紛失した際も安心ですね。
▼バックアップ機能の無いGoogle Authenticatorだからこそ事前準備が必要
Google Authenticatorにはワンタイム情報のバックアップ機能がありません。そのため使用端末を紛失してしまった場合、さきほどの項目に上げました複数端末の設定をしていないと、サイトごとに一からの再登録が必要となります。
それを回避する方法として、WEBサイトの登録設定時に使用した「QRコード」か「アドレスキー」をスクリーンショットなどで保存をしておきましょう。そうしておけば、端末紛失など万が一があった場合も、スクリーンショットの情報を読み取ることで簡単に登録しなおす事が出来るので安心ですよ。
▼Googleアカウントの2段階認証はバックアップコード生成が可能
Googleアカウントへの2段階認証については、事前にバックアップコードの生成が可能ですので取得しておくことをオススメします。また計10回までの救済コードではありますが、全て使い切ってしまったとしても再取得が可能です。
手順は以下の通りとなります。
1.Googleアカウントに接続し、セキュリティ項目を選択します。
2.「2段階認証プロセス」が有効になっていることを確認し、当項目を選択します。
3.ログインをしているGoogleアカウントのパスワード入力を求められます。入力し「次へ」を選択します。
4.「バックアップコード」項目までスクロールし、「コードを作成」を選択します。バックアップコードが作成されます。
5.8桁の救済コードが10個表示されます。「コードを印刷」または「コードをダウンロード」ボタンがありますので、データを出力し保存をします。
終わりに
いかがでしたでしょうか。
今回は2段階認証アプリであるGoogle Authenticatorをご紹介いたしました。
セキュリティ対策として、2段階認証は今後ますます取り入れられる事となります。
みなさまも自身の情報や資産を守るために、しっかりと理解しましょう。