【セキュリティ】SNSの乗っ取り対策。『2段階認証』は確実に設定しよう
先日の日曜日、ZOZOTOWNの創業者であり前社長(現「お金配りおじさん」こと)前澤さんのTwitterで気になる投稿が。
アカウント名の前澤友作のところがなぜか勝手に「.」になってた。恐い😱
— 前澤友作@MZDAO (@yousuck2020) July 26, 2020
すぐにパスワード変更しました🥺
これ、同じようになったって人いますか?
これ自体はTwitterの不具合だったのか不審なアクセスなどは無かったとのことですが、TwitterやFacebookをはじめとしたSNSやAmazonなどのショッピングサイトでは、アカウントの乗っ取り対策として2要素認証(2段階認証)というものが設定できるようになっています。
2要素認証の設定自体はとても簡単なのに、面倒で手を付けていなかったり、そもそも存在自体をよく知らなかったりと、まだまだ設定していない人が多いように感じるので啓蒙的な意味でもまとめておきたいと思います。
セキュリティをより強固なものにするために確実に設定しておきましょう。
2要素認証ってなに?という人のために簡単に言うと、アカウントに2種類の鍵をかけるということ。
2要素認証(2FA)とは
2要素認証とは、ログインする際に2種類の要素でパスワードをかけておくこと。
通常アカウントにログインする際は、IDやパスワードの入力1度のみという場合がほとんどだと思いますが、2要素認証を設定しておくと、もう1段階の鍵を要求されるようになります。
ここでいう鍵とは、一定時間内に一度しか使えないワンタイムパスワードであったり、指紋や顔認証などの生体認証などのこと。
認証に必要とされる3つの要素「知識・所有・生体」のうち、2つを組み合わせたものが2要素認証と呼ばれるわけです。
銀行でお金をおろす際、「暗証番号とキャッシュカードが必要」というのも、暗証番号=「知識」とキャッシュカード=「所有」という2要素認証であると言えます。
基本的に2要素認証によるセキュリティは非常に強固で、ニュースなどでよくある「暗証番号が盗まれた」程度では破られることはありません。
が、例えば端末そのものを盗まれたり、マルチウェアなどのウィルスに感染したりすると物理的に突破される可能性が出てきます。(映画にもなった「スマホを落としただけなのに」のイメージ)
まずは最低限自己防衛の意識を持っておくことが大切。
2要素認証設定もその一環です。
SNSの乗っ取りの場合だと、友人・知人にも迷惑をかける可能性が高いですし。
2要素認証を設定しよう
ここから本題。
Twitterをはじめとした各種SNSやAmazon、GoogleやYahooのアカウント設定でも2段階認証を設定することが出来ます。
ここでは、乗っ取り被害が頻繁に報告されるTwitterとFacebook、ショッピングで多くの人が利用しているAmazonでの設定方法を見ていきましょう。
事前準備として、まずは「Google認証システム」というアプリをダウンロード。Appストアはこちら
Twitterの2要素認証設定方法
まずはTwitterから。
Google認証アプリをダウンロード
— あすき@モノズキ.com (@monozuki_online) July 26, 2020
↓
Twitterのメニューを開いて、
アカウント→セキュリティ→2要素認証→認証アプリをクリック→認証コードを表示
↓
Google認証アプリの上部の+を開いてコード入力
今後、新規ログインの際にGoogle認証コードアプリに表示される6桁のコードの入力が必要になる https://t.co/C4C8S1MswO
Twitter公式の2要素認証ヘルプページについてはこちら
事前準備を終えたらTwitterメニューの「設定とプライバシー」を開き、アカウントという項目をタップ。
「アカウント」のすぐ下に「プライバシーとセキュリティ」という項目がありますがこれは罠()なので間違えないように。
続いてセキュリティを開く。
次に「2要素認証」という項目があるのでそちらをタップ。
ちなみに、同じページに「パスワードリセットの保護」という項目もあるのですが、他人にパスワードを変更されるリスクを下げるという意味では、こちらにもチェックを入れておくことをオススメします。
2要素認証の方法を選択するページになるのですが、今回は項目の中の「認証アプリ」を選択。
同じページにある「テキストメッセージ」とはSMS(ショートメッセージサービス)を使った認証のことで、ログインの際にワンタイムパスワードがショートメールで送信されてくる仕組みで、こちらを選択しても良いのですが今回はGoogle認証アプリを利用した2要素認証ということでスルー。
するとQRコードまたはキーコードが発行されるので、そちらをGoogle認証システムのアプリに読み込ませれば完了。1分ごとに切り替わるワンタイムパスワードが表示されるようになります。
新規ログインの際にはこちらのワンタイムパスワードが必要になるため、リアルタイムで見られない限りアカウントにログインすることが出来なくなります。
Facebookの2要素認証設定方法
続いてFacebookの設定の仕方。
Facebookは結構頻繁に乗っ取りが発生しているイメージなので(知り合いにも複数いました)しっかり設定しておきましょう。基本的にはTwitterと同じ。
まずはメニュー画面の設定を開いて、セキュリティ項目の「セキュリティとログイン」を選択。
続いて二段階認証項目の「二段階認証を使用」をタップ。
二段階認証をONにし、認証アプリを選択、コードが確認できたらTwitter同様にGoogle認証システムに追加して完了。
Amazonの2要素認証設定方法
最後にAmazon。
ショッピングサイトであるAmazonでは、住所やクレジットカード情報などが入っている人も多くいると思うので忘れずに設定しましょう。
アカウントサービスから、アカウント設定項目の「ログインとセキュリティ」を選択。
2段階認証の設定を選択。
2段階認証を有効にし、認証アプリを選択。
発行されたコードをGoogle認証アプリに追加すれば完了です。
設定後の注意点
2要素認証設置後の一番の注意点としては、機種変更などの際に必ず新規端末に認証を移行すること。
案外忘れがちで、ワンタイムパスワードが確認できなくなったり、電話番号が変わってSMS認証が受け取れなくなったという話が少なからず聞かれます。
いずれにしろ、認証を設定したからと言って放置するのではなく、通常のパスワードを含め定期的に見直す機会を設けることが大事。
2要素認証まとめ
今回紹介したTwitter、Facebook、Amazonの設定はバージョンによって変わっていく可能性もありますが、概ね同様の流れで設定できるはず。
上記以外ではインスタグラムでも設定できるし、またGoogleアカウントに関しては紐づいているアカウントが多数の場合も多いと思うので、忘れずに2段階認証設定をしておきましょう。
今回はGoogle認証アプリを使った設定方法ということで紹介しましたが、電話番号を登録してショートメールサービスを活用するSMS認証でも2要素認証として設定することが出来ます。
電話番号を利用するため心理的にもより簡単に設定できますが、先日起きた著名人のTwitterアカウントを狙った大規模乗っ取りでは「SIMスワップ」という電話番号を乗っ取る方法で突破されるという事件が起きていたりします。
少し特殊、というか大掛かりな例ではありますが、2要素認証といえど100%安全というわけでは無いことも認識として持っておいた方が良いでしょう。
とはいえ、通常であれば強固なセキュリティとして機能してくれるのが2要素認証なので、なにはともあれ真っ先に設定しておくようにしましょう。
設定することに慣れると、2要素設定の無いショッピングサイトなどでは気持ち悪さからアカウントの作成を躊躇うようになると思います。(国内某大手も早く対応してくれないかな…)
セキュリティに関連して、特に海外のショッピングサイトではPayPalを利用するのを推奨。
PayPalについては以前こちらの記事でも少し触れましたが
PayPalの保証の安心感は強し。
もちろんPayPalアカウントにも2段階認証を設定しましょう。
ではでは。