日本スマートフォンセキュリティ協会
技術部会・利用部会
作成 本間 輝彰(KDDI株式会社)
校閲 仲上 竜太(ニューリジェンセキュリティ株式会社)
JSSEC利用部会では、スマートフォン利用シーンに潜む脅威 Top10 2023*1を2023年2月28日に公表し、利用者の一人一人が安全にスマートフォン利用できる世に訴求を行っています。このTop10の中で、第8位のアカウントの乗っ取りと誤ったアカウント登録として、アカウント乗っ取りについて注意喚起を行ってきました。SNSなどのアカウントが乗っ取られると、偽の情報を発信してフィッシングサイトに誘導する、誹謗・中傷に利用するなど、悪用されるなど、様々な問題を引き起こす原因となります。
*1スマートフォン利用シーンに潜む脅威 Top102023
https://www.jssec.org/smartphone-use-10threats2023
アカウントの乗っ取りを防ぐためには、より安全な認証が必要とされており、一般的にはID/パスワードの認証に加え、SMSやメールを使った2要素認証などの追加認証の利用が推奨されており、多くのサービスではなんらかの追加認証に対応し、利用者に追加認証の利用を推奨していることが多いです。
このような背景の中、Twitter社はBlogにて、2023年2月15日にAn update on two-factor authentication using SMS on Twitter*2という書き込みで、Twitter Blue(有料会員)以外は、SMSによる2要素認証が利用できなくなると発表しています。Blogの記事では、2023年3月20日以降は、Twitter Blue以外の会員は2要素認証の登録が不可となり、さらには2要素認証設定済みのアカウントは無効になるとなっています。実際に、2要素認証の設定画面でショートメールを選択すると、図1に示す通り、別の認証方法を選択するようにと表示され、設定が不可能となっています。結果、これまでSMSによる2要素認証を設定しているから安全と思っていたものが、一転して危険な状態となりました。ID/パスワードの流出や簡単なパスワードを設定している場合は、不正にアクセスされるリスクが高くなっている状況になっています。
*2An update on two-factor authentication using SMS on Twitter
https://blog.twitter.com/en_us/topics/product/2023/an-update-on-two-factor-authentication-using-sms-on-twitter
図 1 SMSによる2要素認証設定画面
したがって、速やかに別の手段の2要素認証の設定が必要となっており、Twitterでは、認証アプリまたはセキュリティキー方式の認証を進めています。本稿では、より一般的な認証アプリによる2要素認証の設定方法についての解説を行います。なお、SMSによる2要素認証は、セキュリティ上の問題も指摘されていることもあり、Twitter以外でも認証アプリによる2要素認証に対応している場合は、SMS認証の利用をやめ、認証アプリの利用をすることを推奨します。なお、セキュリティキー方式は、Twitterでは推奨となっていますが、利用にあたって物理的なハードウェアデバイスの購入が必要不可欠であり、導入にハードルが高いことから、ここでの説明は対象外とします。
認証アプリとしては、iOS Autofill、Google Authenticator、 Microsoft Authenticator 、Authy 、 Duo Mobile 、 1Passwordなどが比較的一般的です。
このなかで、iOS Autofillは、iOS利用者限定で、OSのパスワード機能としてデフォルトで具備されています。それ以外のアプリは、Google PlayやApp Storeから入手可能で、Android、iOSユーザのいずれも利用可能となっています。なお、どのアプリを使ってもセキュリティ上の差異はないと考えますが、ここでは、iPhoneユーザが多く使われると思われる、iOS Autofillと、Androidユーザが多く使うと思われる、Google Authenticatorの設定方法を紹介します。
iOS Autofillの設定方法
本説明は、すでにTwitterアプリがインストール済みの利用者を前提としています。
iOS Autofillを利用する場合、iOSのパスワード機能に事前に設定しておく必要があります。設定は、iOSの設定画面から、“パスワード”→“パスワードオプション”を選択し、パスワードオプション画面で、パスワード自動入力を有効にし、キーチェーンにチェックをいれます。なお、複数のキーチェーン対応アプリが複数インストールされている場合は、複数のキーチェーンのリストが表示されます。
図 2 iOS Autofillの設定
キーチェーンの設定をした状態でTwitterにログインすると、図3のようなパスワードの保存を確認する画面が表示されますので“パスワード保存”を選択下さい。
図 3 パスワードの保存画面
パスワードを保存後、図2のパスワードオプション画面を開くと図4の通り、Twitterのアカウントが登録され、Twitterのアカウントを選択するとパスワードが登録されていることが確認出来ます(図ではパスワードが表示されていませんが、実際には●●●●●●と表示され、●●●●●●を選択すると登録されているパスワードが確認可能となります。)
図 4 iOSパスワード機能のTwitterパスワード保存画面
ここまでが事前準備となり、以下がTwitterでの設定となります。Twitterアプリを立ち上げ、メニューから“設定とプライバシー”→“セキュリティとアカウントアクセス”→“セキュリティ”→“2要素認証”と選択し、2要素認証選択画面を開きます。
図 5 iOS Autofillの認証コード設定 その1
2要素認証設定画面を開いたら、認証アプリを選択するとパスワードの入力が求められるので、パスワードを入力し確認を押すと、登録の説明画面が表示されるので、“はじめる”を選択して開いた画面で“Link app”を選択します。
図 6 iOS Autofillの認証コード設定 その2
“Link app”を選択すると、図4の左の画面が選択されるので、Twitterのアカウントを選択すると、図7左の画面が開き、確認コードに6桁の数字が表示されます。なお、この数字は30秒ごとにリフレッシュされ、6桁の数字を選択するとクリップボードにコピーすることが可能となります。
図 7 iOSパスワード機能のTwitterパスワード保存画面(認証コード登録後)
表示された6桁の数字を記憶もしくはクリップボードにコピーし、再度Twitterに遷移すると、図8の画面に遷移しますので、確認コードを入力もしくはペーストし確認を押すと完了画面に遷移し、設定が完了します。
図 8 iOS Autofillの認証コード設定 その3
以後、Twitterにログインする際に確認コードが聞かれたら、図7の画面に表示された確認コードを入力することでログインが可能となります。
Google Authenticatorの設定方法
本説明は、新規にTwitterアプリをインストールした利用者を前提としています。
iOS Autofillと同様に、事前にGoogle Authenticatorの設定が必要となります。Google Authenticatorは、Google Playからインストール可能のとなります。
Google Playにアクセスしたら、検索画面で“Google Authenticator”など検索ワードを入れて、Google Authenticatorのアプリを表示させます。なお、Google Playの日本語サイトでは、“Google 認証システム”と表示されますので、こちらインストールします。インストールし、実際にアプリを開くと、図9の2つ目の画面が表示され、まだ何も設定されていない状態となります。なお、すでに、Google Authenticatorを別サービスで利用している方は、この作業は不要となります。
図 9 Google Authenticatorインストール
Google Authenticatorのインストールが完了したら、Twitterアプリを起動し、ログインします。ログイン後に、アカウントのセキュリティを強化するという画面が表示されたら、“はじめる”を選択すると認証方式選択画面が表示されます。なお、本画面が表示されない場合は、iOS Autofillの図5の画面の遷移で図10の認証方法選択画面まで遷移してください。認証方法選択画面で、“認証アプリ”を選択し、“次へ”を押すと、遷移した画面で“はじめる”を選択します。さらに、遷移したアプリをTwitterアカウントに登録という画面にて、“Link app”を選択します。
図 10 Google Authenticatorの認証コード設定 その1
“Link app”を選択すると、Google Authenticatorに画面が遷移し、キーを保存の画面が表示されますので、“OK”を選択すると、認証キー表示画面に遷移し、6桁のTwitterの認証キーが表示されます。なお、数字横に表示される図は、このキーの有効時間となっており、表示されている図が無くなると認証キーがリフレッシュされます。この認証キーを覚えておくもしくは長押しするとクリップボードにコピーされます。
図 11 Google Authenticator認証コード登録
認証キーを記憶したら、Twitterアプリに画面を切り替えると認証コードを入力という画面が表示されていますので、認証コードを入力し、“確認”を選択すれば完了となります。なお、認証キーをクリップボードに記憶した場合は、画面下に認証キーが表示されますので、認証キーを選択することで自動入力が可能となります。
図 12 Google Authenticatorの認証コード設定 その2
認証アプリ利用時の注意事項
端末の故障・紛失や機種変更などで新規端末に変更した際に、認証アプリが利用出来ないと、Twitterにログイン出来なくなる恐れがあります。したがって、事前にバックアップ等の対策が必要となります。
iOS Autofillの場合は、OS標準の機能を使って、iCloudにバックアップさえしておけば、新規端末側で同じApple IDでログインし同期を行うことで、新規端末側にパスワードの情報が引き継がれます。バックアップを設定するには、iCloudの設定画面を開き、“パスワードとキーチェーン”を選択し、パスワードとキーチェーンの画面で、“このiPhoneを同期”を有効にすれば完了です。
図 13 iOS Autofillのバックアップ設定画面
Google Authenticatorは、Google IDでログインすることで、2023/4/24にGoogle アカウントとの同期が発表*3し、保存が可能となっていいます。Google AuthenticatorにGoogle Accountでログインした状態で、アプリを開くと図14の画面の右上にある雲マークをクリックすると、画面下に“Googleアカウントと同期しています”と表示され、Googleアカウントに同期していることが確認できます。
*3Google Authenticator now supports Google Account synchronization
https://security.googleblog.com/2023/04/google-authenticator-now-supports.html
図 14 Google Authenticatorのバックアップ
なお、認証キーは複数端末で管理できるため、認証アプリを複数端末に入れ、認証キーを登録することで、企業アカウントなどで複数の人で管理するアカウントであっても、2要素認証の利用が可能となります。ただし、むやみに複製されてしまうと、全く意味がないため、認証キーの複製を作る場合は運用ルールを定めて利用する必要があります。
認証アプリは、今後多くのアプリやサービスで利用される可能性があることから、一度使ってみることを推奨します。
参考までに、認証アプリ対応のサービスは、Twitterの他に、Google(YouTube)、Facebook、Instagram、AmazonなどインターネットサービスやSNSなどの他、任天堂アカウントやスクエアアカウントなどのゲームでも利用可能なようです。