2段階認証でセキュリティを強化。アカウントの乗っ取りを防ごう!

投稿者: | 2014年5月13日
スポンサード リンク

スクリーンショット_2014-05-13_18_48_38

自分のアドレスからメールが来るという超ホラー現象

つい最近、NAKAOJIの利用しているホットメール(Hotmail)のアドレスから、リンク付のメールが送られてくる「アカウント乗っ取り」らしき被害が起きてしまいました。まさしく『着信アリ』現象。怖いぞ!これ!

普段メインで使っているGmailとは別に、Hotmailはメルマガ登録、ウェブサービス登録用のメールアドレスとして使っていたため、Hotmailにくるメールは殆ど 無視 or 削除 していたし、ほぼ捨て垢として利用していたため、どんな迷惑メールが来ても全く気にしていなかったのですが、さすがに自分のアドレスからメールが来るとマズイなこれ。みたいな感じです。

※捨て垢 → どうでもいい、アカウントの事

しかも、僕にだけ送られるならまだしも、友達にもリンク付きの迷惑メールを送信しているみたいなので、これは非常に申し訳ないと思い、アカウント乗っ取りに対処することになりました。

メールアドレスの乗っ取りに対処する

迷惑メールの対処はブロックすれば済み、簡単に対処できます。しかし、メールの乗っ取り対処って実際どうするの? ってふと思ったのです。一般的に考えるのは、「パスワードの変更」です。定期的、且つ複雑なパスワード設定をすること。大体これしか思いつきません。

ただ、基本的にウェブサービスって下記の2つのキーワードでしか成り立っていません。

  • 「アカウントID」「パスワード」

Gmail,AppleID,Facebook,Twitter,EVERNOTE などの殆どのウェブサービスはどれもこのような仕組みとなっていて、他人からみても「アカウントID」「パスワード」さえ手に入ってしまえば、いつでもどこでもアカウントを乗っ取ることができてしまうんですよね。

これらのよくある行為はいずれもパスワードが盗まれる可能性があるらしいです。結構、当てはまることばかりですね。

  • ソフトウェアをダウンロード
  • メール本文のリンクをクリック
  • 複数サイトで同じアカウント、同じパスワード

実際、Gmailの乗っ取りも過去にあったようですし、アカウント乗っ取りも他人事ではなくなってきたと今回の事件により思ったのでした。

2段階認証プロセスでアカウントのセキュリティを強固にする

ここ近年のセキュリティ強化にはGoogleが提供する?2段階認証プロセスというのが主流らしいです。例えパスワードが盗まれても、アカウントの不正使用を防止することが出来るというとても素晴らしき仕組みとなっています。

スクリーンショット 2014-05-12 21.30.14

2段階認証とは?

「アカウントID」「パスワード」以外に「確認コード(2番目のパスワード)」を必要とする仕組みです。それじゃ今までと変わらないじゃんと思うのですが、自分で決めたパスワードに対し、この確認コードというのは、その都度変わり、自分の携帯電話に送信されます。よく、「SMSやメールでパスコードを送りました。入力してください」というアレです。

 

 

スクリーンショット_2014-05-13_18_55_55

つまり、簡単に2段階認証をまとめると以下3点でアカウントを守るという仕組みになります。

  • アカウントID(メールアドレスやユーザー名)
    • 静的:自分が知っているもの
  • パスワード
    • 静的:自分が知っているもの
  • 確認コード
    • 動的:自分が持っているものに送られる番号

スクリーンショット 2014-05-13 17.58.16

 確認コードは何処で貰うか?

2段階認証プロセスによる確認コード取得には、自分が持っている携帯電話を必要とします。確認コードはSMSや音声案内、またはモバイルアプリによって生成されます。特に自分が持っている携帯電話のみが確認コードを取得できるというのがセキュリティの強さを高めています。

Googleの場合は自分のセキュリティページ(https://www.google.com/settings/security)を開きます。パスワードの項目に2段階認証プロセスの設定があるので、ここから設定します。

Google → 2段階認証プロセスの設定

スクリーンショット_2014-05-13_15_46_30

設定が完了すると、次回 Googleにログインする度に自分の携帯電話に確認コードがSMS/音声案内で送られてくるようになります。

様々なウェブサイトで使える2段階認証アプリ『Google Authenticator』

2段階認証でも、毎回ログインする度にSMS/音声案内を受け取る事が面倒くさいと思う方は、モバイルアプリの『Google Authenticator』を利用します。※スマホを持っている人向け。

このアプリを使うことによって、確認コードをスマホで簡単に受け取ることが出来るようになります。

Google Authenticatorの設定方法

Googleでの2段階認証プロセス設定が完了したら、まず、2段階認証プロセスの設定ページを開きます。「代わりにモバイルアプリでコードを受け取る」をクリックします。

スクリーンショット_2014-05-13_15_52_54

QRコードが画面上に発行されるので、『Google Authenticator』で読み込むと、スマホアプリ上に確認コードが表示されますので、確認コードを入力すれば設定が完了します。この作業だけで、次回からは確認コードが『Google Authenticator』のアプリを開くだけで受け取ることが出来ます。

スクリーンショット_2014-05-13_15_53_23

Google Authenticatorの使用方法

これが、Google Authenticatorのアプリ画面、確認コードが30秒毎に切り替わる仕組みになっています。

写真_2014-05-12_22_10_36

残り時間が短くなると、赤く点滅し始めます。この場合は確認コードを入力しても、すぐ変わってしまうので、次の確認コードを貰うまで待ちましょう。

写真_2014-05-12_22_10_58

30秒経つと新しい確認コードが発行されます。

写真_2014-05-12_22_11_01

Googleだけじゃなく、他のウェブサービスでも2段階認証

Google AuthenticatorはGoogleの2段階認証アプリですが、他のウェブサービスでも利用できます。僕が知っている所を挙げるとざっとこんな感じ。

  • Microsoft(Hotmail)
  • Evernote
  • Dropbox

この他にも色々あるのだろうけど、大体こんな感じ。特に、EvernoteやDropboxといった他人には見られたくないというか、大事な書類データをこの2つのウェブサービスに入れているので、2段階認証で守られているというだけでかなり安心できて嬉しいです。

各ウェブサービス、2段階認証コード発行はアカウント設定 → セキュリティ設定から設定できます。

まとめ

2段階認証といえば、ネット銀行の振込時にキャッシュカードの数字の羅列や、トークンの確認コードを入力したりする仕組みで、結構早い時期から金融関係には採用されていた感じがします。静的な「アカウントID」と「パスワード」のみで ログイン or 侵入 できちゃうなんて、よくよく考えたらすごーく危険なことなんだなぁ〜と感じてしまった、今回の乗っ取り事件でした。

2段階認証の設定に必要な物は携帯電話のみで、特に難しいことはありません。10分ほどで終わる設定なので、設定がまだの人は直ぐに取り掛かりましょう。

また、ログインする際にいちいちパスワードと確認コード入力してとか、面倒臭くてしたくねーよ。 って人は設定で、自分のパソコンだけ確認コードの入力を省略する設定も出来ます。また、万が一、携帯電話の電池が切れた時は、バックアップコードを発行し、ログインすることも出来ます。

確認コードの発行方法はテキストメッセージ、音声通話、モバイルアプリ、バックアップコードなど様々ですので、自分に合った方法を選んでみてください。

スマホのメールアプリでGmailやHotmailを使っている人は2段階認証設定後にメールが来ないという現象が起きるので後記事の固有パスワードを発行して設定する必要があります。

2段階認証設定後のスマホでメールを受け取る方法を書いた記事
2段階認証プロセスによってスマホでメールを受け取れなくなった時の対処法 | NAKAOJI.NET

スクリーンショット 2014-05-13 19.22.41


友だち追加数



スポンサード リンク

コメントをする

Comments