「ネットカルチャー教室」ただいま開講中 第31回

流行中のSNS乗っ取りを防ぐグーグルのパスワード生成アプリを使う

　インスタグラムやTwitterなどのソーシャルメディアをはじめ、さまざまなサービスを利用する上で欠かせないパスワード。

　利用するサイトやサービスが増えれば増えるほど、パスワードはどうしても同じものを設定しまいがち。複数のサイトやサービスで同じパスワードを使うのはいいことではありません。何らかの方法で入手した特定のサイトやサービス利用者のIDとパスワードがセットでリスト化された情報を使い、ほかのウェブサイトでも不正アクセスされてしまうアカウントリスト攻撃を受ける恐れがあります。

　こうした不正アクセスを防ぐため、以前の記事ではIDとパスワードの設定と管理のあり方について触れました。最近ではIDとパスワードの組み合わせで本人確認をするほかに、さらにもうひとつ本人確認の要素を増やすことによって安全性を高める「二段階認証」という仕組みが多くのWEBサイトで採用されています。

二段階認証はSMSより「ワンタイムパスワード認証」

　二段階認証には、ログイン時に携帯電話へSMS（ショートメッセージ）で1回だけ有効なパスワードや数字が送られてくる「SMS認証」のもの、アプリや専用デバイスで表示される使い捨てパスワードを入力する「ワンタイムパスワード認証」のものがあります。前回の記事では前者の「SMS認証」について紹介しました。

　しかし、SMS認証は強い悪意をもった高度なハッキングに対しては脆弱性が指摘されており、後者の「ワンタイムパスワード認証」を利用したほうがより強固なものとなります。

　正しいパスワードの設定と管理をしたうえで、SMS認証よりワンタイムパスワード認証の仕組みを利用することを心がけてほしいです。

Twitterの二段階認証を「ワンタイムパスワード認証」に変更する

　多くの若い世代の人たちが利用するSNS「Twitter」でも二段階認証が利用可能です。

　現在は、SMS認証の仕組みとワンタイムパスワード認証の仕組みの両方を選ぶことができます。ただ、先に挙げたように、SMS認証の仕組みよりワンタイムパスワード認証の仕組みを利用することがオススメです。

　では、Twitterの二段階認証の設定を「SMS認証」の仕組みから、アプリで表示される使い捨てパスワードを入力する「ワンタイムパスワード認証」の仕組みへ変更するにはどうしたらいいでしょうか。

　ワンタイムパスワード認証の仕組みを利用するには、「Google認証システム（Google Authenticator）」「IIJ SmartKey」といったワンタイムパスワードを生成・管理するスマートフォンのアプリケーションを組み合わせて使う必要があります。

　今回は「Google認証システム（Google Authenticator）」を利用した二段階認証を紹介します。
iOSアプリ→Google Authenticator
Androidアプリ→Google 認証システム

　最初に、ワンタイムパスワードを生成する二段階認証アプリ「Google認証システム（Google Authenticator）」をApp StoreやGoogle Play ストア‎からインストールします。

　次にTwitterアプリを起動。アカウントのメニュー画面から「設定とプライバシー」→「アカウント」→「セキュリティー」→「ログイン認証」と進みます。

　前回紹介した「SMS認証」による二段階認証が完了していれば、「ログイン認証」と認証方法の「ショートメール」のスイッチは「オン」になっているはずです（「ログイン認証」がオフならば、まずは「SMS認証」による二段階認証を設定しておきます）。

　そのすぐ下にある認証方法の「モバイルセキュリティアプリ」のスイッチを「オン」にします。順に進み、“この端末で設定”の画面までたどり着いたら「今すぐ設定」をタップ。するとアプリ「Google認証システム（Google Authenticator）」が起動します。

　「トークンを追加しますか？」のダイアログで「はい」を選べば、Twitterの二段階認証で利用するワンタイムパスワードが表示されるようになります。この「Google認証システム（Google Authenticator）」で表示されている6桁の数字をタップしてコピーし、Twitterアプリに戻ります。

　Twitterアプリに戻ると「認証用コード」を入力する画面へ変わっています。

　ここで先程の「Google認証システム（Google Authenticator）」でコピーした6桁の数字を入力。最後に「認証する」ボタンをタップすれば、Twitterでの「ワンタイムパスワード認証（モバイルセキュリティアプリ）」が有効になります。

　これでTwitterのログイン認証は「ショートメール」と「モバイルセキュリティアプリ」両方のスイッチがオンとなっているはずです。

　最後に「SMS認証（ショートメール）」を利用せず「ワンタイムパスワード認証（モバイルセキュリティアプリ）」のみとするために、「ショートメール」のスイッチはオフにします。

ややこしい「二段階認証」 でも「乗っ取りのリスク」を最小限に

　今回はスマートフォンのTwitterアプリから二段階認証を設定する手順を紹介しました。もちろん、パソコンのWEBブラウザ上からも設定可能です。

　パソコンがあるならば、WEBブラウザ上からTwitterへログインして二段階認証を有効にし、表示されたQRコードを二段階認証アプリ「Google認証システム（Google Authenticator）」で読み取ってしまったほうがスマートフォン一台で設定するより手軽です。

　セキュリティーを向上させるために二段階認証をはじめとした仕組みはTwitterに限らず、さまざまなサービスで取り入れられています。しかし、ログイン時に認証コードをわざわざ入力しなければならないなど手間が必要となり、セキュリティーを向上させればさせるほど、利便性を失うことがあるのも事実。「セキュリティーをとるか」「利便性をとるか」の兼ね合いは本当に難しいところです。

　二段階認証の導入や設定の手順は少しややこしいですが、設定することによって冒頭で紹介した「アカウントリスト攻撃」などによるアカウントの乗っ取りのリスクを大きく軽減させられます。

　普段使っているサービスに二段階認証を設定してみて、そこから徐々にほかのサービスにも二段階認証を設定するようにしていく意識を持つことで、私たちの大切なアカウントを守ることにつながっていくと思います。

ライブメディアクリエイター
ノダタケオ（Twitter：@noda）

　ソーシャルメディアとライブ配信・動画メディアが専門のクリエイター。2010年よりスマホから業務機器（Tricasterなど）まで、さまざまな機材を活用したライブ配信とマルチカメラ収録現場をこなす。これらの経験に基づいた、ソーシャルメディアやライブ配信・動画メディアに関する執筆やコンサルティングなど、その活動は多岐にわたる。
nodatakeo.com