「パスワードさえしっかり設定すれば大丈夫」と思っている方は要注意だ。実は、パスワードだけでは、あなたの大切なアカウントが乗っ取られるリスクがあるのだ。
この記事では、パスワードの危険性と、その対策として注目されている「二要素認証」について解説します。二要素認証とは何か、なぜ必要なのか、そして導入する際の注意点まで、わかりやすくご紹介します。パスワードの脆弱性や、アカウント乗っ取りの手口を知り、インターネットより安全に利用したい方は、ぜひご一読ください。
パスワードだけに頼る危険性とは?
パスワードは重要な認証要素ではあるが、単独では十分なセキュリティ確保ができないことがある。どのような危険性があるのかを解説する。
パスワードが盗まれることがある
パスワードが盗まれる例の主なものとして以下の3つがある。
ネットワークの不正侵入
サイバー攻撃者が企業やサービスを提供しているサーバーに侵入し、そこの保存されているユーザ情報(パスワードを含む)を盗み出します。
フィッシング攻撃
偽のウェブサイトやメールでユーザを騙し、パスワードを入力させることで盗む方法です。一見したところでは本物のウェブサイトと、ほとんど見分けがつかず何の疑いもなくショッピングをして、知らないうちにパスワードが盗まれてしまいます。
リスト攻撃
過去にどこかのサイトから漏洩したパスワードを使い、別のサービスに不正アクセスしようとする方法です。これが非常に多い手口になっている。
1)データ漏洩:どこかのウェブサイトやサービスがハッキングされ、ユーザー名とパスワードが盗まれ、インターネット上に流出します。
2)パスワードの再利用:多くの人は、異なるサービス間で同じパスワードを使い回すことが多い。ハッカーは流出したパスワードリストを使い、他のサービスにアクセスを試みる。たとえば、オンラインショッピングやSNS、銀行サービスなどで同じパスワードを使っている場合、被害に遭う可能性が高くなるのだ。
3)自動ツールによる試行:ハッカーは、盗まれたパスワードリストを使い、自動化されたツールで大量のアカウントに対して試行を行う。リスト攻撃は短時間で多数のアカウントに試すことができ、成功した場合に不正アクセスが成立し好き放題されてしまうことになる。
覚えやすいパスワードは危険
複数のサービスで複雑なパスワードを設定すると、どれがどのパスワードかわからなくなってしまうし、そもそも複雑な(ランダムで意味をなさない)ものでは覚えられず、時間の経過と共に忘れてしまう。その結果、多くの人が「簡単で覚えやすいパスワード」を設定し、それを使いまわしてしまうのだ。日常的に何気なくやっているかもしれないが、それはかなり危険な行為なのだ。
安全で覚えやすいパスワードの設定方法については、こちらの記事に詳しく解説しております。
二要素認証が必要な理由
パスワード単独での認証方式では、セキュリティを担保するには完全ではないことはご理解いただけただろう。その回避方法として二要素認証という考え方がある。これについて解説する。
二要素認証って何?
二要素認証(Two-Factor Authentication、略して2FA)とは、“パスワードに加えてもう1つの「鍵」”を使って、アカウントやシステムへのアクセスの安全性を高める方法だ。2つの異なる要素を使うことで、万が一パスワードが盗まれた場合でも、さらにもう一つのステップをクリアしないとアクセスできないようにする認証方法のことである。
なぜ二要素認証が必要か
二要素認証の仕組み
通常のログインは、「知っているもの」(パスワード)を使いますが、二要素認証ではこれに加えて、「持っているもの」(スマホに届くコードなど)を利用する。これにより、より強固なセキュリティが実現されることになる。
二要素認証の2つの要素
二要素認証の種類と選び方
二要素認証を実現させるやり方はいくつかあるが、ここでは主なものを3つ解説する。
スマホに届くコードを使う方法
パスワードを入力した後、スマホに届くSMS(ショートメッセージ)に記載された一回限りのコードを入力する。これにより、ハッカーがパスワードを知っていても、スマホが手元になければアクセスできません。多くのサービスで標準的に導入されている。
これらの理由により多く使われている。が、注意点として必ず手元にスマホが必要であることと、通信状況が良好であることが条件となる。その他、SIMスワップ詐欺やSMSの盗聴リスクなどもあるが…現実的にはそれほど気にかける必要はないかと思われる。
専用アプリを使う方法
Google AuthenticatorやMicrosoft Authenticatorなどのアプリを使って、一時的なコードを生成する方法もある。コードは30秒ごとに変わるため、安全性が高い。
物理的な機器(デバイス)を使う方法
USBデバイス(YubiKeyなど)を使って認証する方法。これをパソコンに差し込むか、NFC(Non-Fungible Token:非代替性トークン)でタッチすることで認証が行われます。
商用で使用されるサービスの場合は、専用アプリを使う方法で認証する方式がとられていることが多いため、ある程度のセキュリティは確保されていると考えていいだろう。もし、パスワード単独認証方式で運用しているなら二要素認証へのアップデートを推奨する。
導入時に注意したいポイント
パスワードやバックアップコードを忘れた場合の対策
2FA(二要素認証)を導入する際、スマホやデバイスを紛失したり、パスワードやバックアップコードを忘れてしまった場合の対策を事前に考えておくことは非常に重要です。もし何も対策をしていないと、アカウントにアクセスできなくなる可能性があり、大きな問題になることがあります。
以下に、そのための具体的な対策をわかりやすく解説する。
バックアップコードの保存
バックアップコードは、2FAを設定する際に発行される一時的なコードで、スマホや認証アプリを使えなくなった時の「緊急用パスワード」です。通常、数個のバックアップコードが生成され、1回限りの使用が可能です。
バックアップコードの管理方法
1)印刷して保管:オフラインで使えるように、紙に印刷して安全な場所に保管する。
2)デジタル保存(慎重に):セキュリティが強固なパスワードマネージャーにバックアップコードを保存しておくこともできます。ただし、オンラインに保存する場合、セキュリティをしっかり確保することが必要です。
複数の認証方法を設定する
多くのサービスでは、2FAを設定する際に複数の認証方法を登録することができる。これにより、1つの方法が使えなくなっても別の方法でアクセスすることができます。
複数のデバイスで認証アプリを設定
メインのスマホに加えて、予備のデバイス(タブレットなど)に認証アプリをインストールしておくと、スマホを紛失した際にも安全にログインすることができる。
物理的なセキュリティキーを使用
セキュリティキー(USB型のデバイス)は、スマホやパスワードが使えなくなった時の代替手段として有効だ。これをPCに挿して認証できるようにしておけば、他の認証方法が使えなくなった時でもアクセスできる。
アカウントの回復方法を確認
サービスによっては、2FAを失った場合にアカウントを回復する手段が提供されている。これを事前に確認し、必要な準備をしておくことが大切である。
メールアドレスの確認
メールアドレスを登録しておくことで、パスワードや2FAの問題が発生した際に回復手順を受け取ることができる。主要なアカウントでは、回復用のメールアドレスを必ず設定しておくことが大事だ。
回復用電話番号の設定
もしデバイスを紛失した場合、別の電話番号を使って回復コードを受け取れるように設定しておくと安心できる。
リカバリーオプションの確認
各サービスには「リカバリーオプション」が設定されている。これを確認し、どのようにすればアカウントを回復できるのかを事前に理解しておくことが大切です。
【例】本人確認書類の提出
一部のサービスでは、最終手段として本人確認書類を提出してアカウントを回復することができる。サービスによって手続きが異なるため、事前に確認しておく必要はある。
二要素認証だけでは不十分?さらなる対策も考えよう
二要素認証も突破される可能性
悪意のあるハッカーは巧妙で、二要素認証も突破することがあるため、常に最新のセキュリティ対策を心掛ける必要がある。二要素認証が突破される可能性としては以下が考えられる。
基本的には一般的に言われるサイバー攻撃への対策と変わらないものであるが、二要素認証が100%の安全を確保するための対策ではないことは、認識しておくべきことである。
複数の対策で守りを強化する
セキュリティソフトの導入や、定期的なセキュリティチェックを行うことで、さらに安全対策が必要となるのだが、二要素認証への対策という観点の場合。
など、最新のセキュリティ情報にも敏感になりながら適切な対策をとり続けなければならない。
まとめ
二要素認証の必要性とセキュリティ対策における重要性は認識いただけたと思うが、適切な運用や二要素認証が突破される可能性を考慮した対策となると、中小企業の運用体制では現実的には難しいだろう。少なくとも、単独認証ではなく、各種サービスを利用する際は、導入ハードルが低いスマホを利用した認証方式で安全性を確保することはやっておいていただきたい。
最後までお付き合いいただきありがとうございました。
また、お会いしましょ。
