ここ最近、「Googleアカウントが乗っ取られてスパム送信の踏み台にされた!」といった報告が各所で相次いでいる。実際に筆者の比較的身近でも、同様の報告があった。これまでどおりの運用を続けて「まさか自分が……」という事態に陥らないためにも、セキュリティ強化のための対策として「2段階認証」(2-Step Verification)導入の検討をお勧めしたい。この記事では2段階認証の仕組みと、実際の設定方法について、わかりやすく解説してみた。
そもそも「2段階認証」とはなんぞや?
Gmailなどのサービスを利用する場合、通常はGoogleアカウントのログイン時に「アカウント名」(ID)と「パスワード」を入力し、これで認証を行なう。ただし、Googleに接続できるオンライン環境であれば、どこからでもサービスにアクセスできるため、IDとパスワードのセットが盗まれたり、あるいはIDのみを入手した悪意ある第三者が、「ブルートフォース」(辞書攻撃)のようなパスワード解析手法を使って強引にログインすることで、セキュリティが破られてしまう危険性がある。
そこで従来のID+パスワードという組み合わせに加えて、「認証コード」と呼ばれる6桁の数字の入力を追加で求めることにより、セキュリティを強化するのが2段階認証の狙いとなる。この認証コードは一定ではなく、時間経過やログインのたびに変化するため、突破するのはかなり困難だ。
「パスワードをかなり複雑なものにしていたのに、Googleアカウントが乗っ取られた」という報告もあるなど、ID+パスワードの組み合わせは必ずしも安全なものではない。もし一連のGoogleアカウント乗っ取りに不安を覚えるようなら、ぜひ2段階認証の仕組みを理解して、転ばぬ先の杖として利用してみてほしい。
2段階認証の仕組みと設定方法
2段階認証の設定は、まずGmailなどGoogleのサービスにウェブブラウザーからログインした状態で、画面右上にある「アカウント名」または「アカウントアイコン」をクリックし、「アカウント」のリンクを選択する。再認証後、アカウントの設定画面が開くので、「セキュリティ」の項目にある「2段階認証プロセス」の「設定ボタン」を押す。これで2段階認証の設定が開始する。
イメージ図にあるように、通常のID+パスワードによるログイン動作を行なったあとで、2段階目の認証プロセスとなる「認証コードの入力」を行なうのがこの認証システムの特徴だ。そして認証コードは、携帯電話へと送信される。つまり2段階認証を使うには、認証コードを受け取るための携帯電話が必要となる(タブレットでも可の場合あり)。
2段階認証を設定する際は、「どの携帯端末で認証コードを受け取るか」を指定する。通常は受け取りに使う携帯電話の電話番号を指定すると、SMSによるメール送信、または音声通話でのボイスガイドのいずれかで、通知を受け取ることを選択する。
日本ではSMSがほとんど利用されていないため、設定画面で「携帯キャリアのメールアドレス」を指定することも可能だ。なお、音声通話は聞き取りづらいといった問題もあり、SMSまたはキャリアメールでの受け取りをお勧めする。このあとは、いくつかの設問に答えると設定は終了だ。