9月、米フェイスブックは、セキュリティ上に欠陥があり、ユーザーのアクセストークンが不正に入手される可能性があったと発表。10月12日、調査結果を公表している(An Update on the Security Issue | Facebook Newsroom)。
アクセストークンとは、ユーザーがログインした状態を保ち、パスワードを入力しなくてもログインできるようになる認証情報だ。調査結果によれば、米フェイスブックは、9月14日にアクティビティに異常を検知して調査を開始。25日に原因となった脆弱性を突き止め、2日間でソースコードを修正したほか、攻撃の対象となった可能性があるユーザーに対してはアクセストークンをリセットしたとのこと。
なお、Facebookでは、自分のアカウントに被害があったかどうかを確認できるページ(Facebookの最新のセキュリティ問題に関する重要なアップデート | Facebookヘルプセンター | Facebook)を用意しているので、気になった人はチェックしてみてもいいかもしれない。
今回の場合、盗まれた可能性があるものはアクセストークンであるため、パスワードを変更する必要はないとしている。ただ、今回の事件をきっかけに、自身のアカウントのセキュリティーについて見直すのはよい機会かもしれない。
たとえば、ログインの際に、パスワードだけでなく電話番号(SMS)などによる本人確認が必要になる「2段階認証」(ログイン認証)はおすすめだ。携帯電話へSMSで1回限りの有効なパスワードや数字が送られてくる携帯電話認証のもの、アプリやデバイスなどで表示されるパスワードを入力するワンタイムパスワード認証などがある。
パスワードが知られてしまったとしても、もう一段階の認証なしではログインできなくなるため、より強固なセキュリティとなる。Twitter、Facebook、Google、Apple IDなど、2段階認証対応のサービスは多いので、設定しておきたい。
あわせて利用したいのが、パスワード管理ソフトだ。自動生成で複雑なパスワードを作成するので、セキュリティ的にも強固になる。最近ではクラウド経由でデータを共有できるものもあり、パソコンからでもスマホからでもパスワードが同期されてすぐに使える。
今回はMcAfee Blogから、2段階認証の基礎知識や必要性などをまとめた「家族で活用したい『2段階認証』設定」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
家族で活用したい「2段階認証」設定:McAfee Blog
動画配信サービスやSNS、ショッピングサイト、オンラインバンキング……。数々のウェブサービスが暮らしを取り巻いているなか、家族で何個のID・パスワードを持っているでしょうか? そして不正ログインといった手口から、家族を守るために何らかの対策をしているでしょうか?
GoogleやFacebookのような大手サービスをはじめ、近年推奨されている対策に2段階認証の導入があります。セキュリティ面で利点が大きい方法ではありますが、何となく面倒で設定を先延ばしにしていたり、自分は設定していても、家族の分はまだまだ手つかずであったりという方も少なくないのではないかと思います。
そこで自分の設定を見直してみたり、ご家族に必要性を説明したりするために、2段階認証の基礎知識や主な必要性、設定方法へのリンクなどをまとめてみました。
2段階認証とは?
多くの会員登録制のウェブサービスは、基本的にIDとパスワードを入力してログインします。2段階認証とは、これに加えてもう1段階、何らかの異なる認証方法を組み合わせてログインを行う仕組みです。
現在は、携帯電話の番号を登録しておく形式が一般的です。ログインしようとすると、登録した番号に宛てて認証用のSMSなどが送られてくるので、まさに「自分自身」しかログインできないことになります。もしも他人がログインしようとしていたら、いちはやく気付くことにもつながるでしょう。
ログインに使用したパソコンやスマートフォンなどの自分のデバイスは、「このデバイスを信頼する」と登録しておけば、次回以降のログインもスムーズです。逆に公共のパソコンなどでは「信頼する」を選ばないようにしましょう。
必要な理由は?
なぜ改めて今、2段階認証が必要となっているのでしょうか。
まず現状では、ログインするためのパスワードを、ほとんどの人が使い回しているといわれています。SNSも動画配信サイトもショッピングサイトも……。数種類のパスワードだけで管理しておけば、覚えておくのも簡単です。ところがパスワードを使い回していると、1つのサービスからパスワードが流出したとき、ほかのサービスにまで不正アクセスが及ぶ可能性があります。
そんなときに、2段階認証を設定しておけば、犯人はパスワードだけではログインすることができません。安全を守るもう一枚の防壁になるのです。
クレジットカードや銀行口座、仮想通貨と紐付いたウェブサービスも増えているなかで、私たちは家族の財産の盗難と直結しかねないサービスに、ログイン、ログアウトを繰り返していることになります。各自が2段階認証といった機能を活用して、ガードを高めておくことが重要といえるでしょう。
意外にカンタンに設定できる
2段階認証の機能は、Twitter、Facebook、Google、Apple IDなど多くのウェブサービスが既に導入しています。
一方で各サービスの認証方法や、登録に使うメールサービスに、2段階認証をきちんと設定している人はまだ少数派に留まっています。例えば、多くの人が認証メールアドレスとして利用するGmail。提供元であるGoogleの発表によると、Gmailユーザーの約90%が2段階認証を使っていないようです。特に初心者ほど利用していないとみられますので、ご家族の皆さんで、よく話し合ってみてください。
2段階認証を利用する手順は各サービスによって異なりますが、基本的にはログイン後の設定画面を開き、「2段階認証を利用する」といった項目を「有効」にして、画面の説明に沿って進めます。主なウェブサービスでの設定手順は、下記のリンク先に説明されています。早ければ数分程度で完了しますので、ぜひ家族で設定しておきましょう。
・Googleアカウント(Gmail) 2段階認証プロセス
・Microsoftアカウント 2段階認証について
・Facebook 二段階認証の概要とそのしくみ
・Twitter ログイン認証を使用する方法
・Amazon 2段階認証を有効にする
・Dropbox 2段階認証を有効にする
著者:著者:マカフィー株式会社 CMSB事業本部 コンシューママーケティング本部 執行役員 本部長 青木 大知
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
