Googleから奇妙な新製品が登場したことをご存知かもしれません。それは、Titan Security Keyと呼ばれる小さなデバイスで、二要素認証の一種として機能します。つまり、ログインプロセスの一環としてこのデバイスを使用し、本人確認を行うということです。コードが記載されたテキストメッセージを受け取る代わりに、セキュリティキーをコンピューターに接続してボタンを押すだけで認証が完了します。
まだ購入することはできませんが (Google によると、一般向けには「まもなく」発売される予定です)、この発表は、ユーザー名とパスワードが漏洩した場合でも、アカウントに 2 要素認証を設定することが情報のプライバシーを守る最も簡単な方法の 1 つであるということを思い出させる良い例です。
「多くのサイバーインシデントにおいて、個人が何らかの多要素認証を使用していれば、少なくとも攻撃者がアクセスするのを遅らせたり、少し困難にしたりできたであろうことが一貫してわかっています」と、フィッシング攻撃の防止を支援する企業、エリア1セキュリティのCEO、オーレン・ファルコウィッツ氏は語る。
つまり、2 要素認証を使用するのは賢明ですが、物理キーが唯一の選択肢ではありません。
私にテキストを送ってくれますか?
セキュリティ専門家によると、テキストメッセージでコードを受け取る方法は、2段階認証の中で最も脆弱な方法だそうです。テキストメッセージで認証を受ける方法は非常に簡単です。アカウントにログインしようとすると、まず携帯電話に送られてくるコードを入力する必要があります。設定も理解も簡単で、何もしないよりは確かに良いのですが、この方法には欠点もあります。
「SMSは間違いなく最悪だと思います」と、カーネギーメロン大学のコンピュータサイエンス教授で、連邦取引委員会の元主任技術者であるロリー・フェイス・クレイナー氏は言う。「SMSは、本来セキュリティ対策として使われることを想定されていない、電話ネットワーク内の安全でないチャネルに依存しているからです。」
チャネルが安全ではないという事実に加えて、SMSを使ってコードを受け取ることに関連する問題として「アカウントハイジャック」があるとクラナー氏は指摘する。この場合、攻撃者は次のような戦術を使う可能性がある。携帯電話ショップに行き、他人のふりをして、被害者の電話番号を新しい携帯電話に転送するのだ。
クラナー氏によると、これは攻撃者が被害者の銀行口座から金を引き出すといった不愉快なシナリオにつながる可能性があるという。「被害者のTwitterアカウントにアクセスし、被害者になりすましてツイートを始めるというケースも確認されています」と彼女は付け加えた。
本当は私にメールしないで
しかし、セキュリティ専門家によると、コードをテキストメッセージで受け取るよりも良い方法があるそうです。その一つが、AuthyやGoogle Authenticatorといったアプリを使って必要な6桁の番号を生成することです。これらのコードは、映画『ミッション:インポッシブル』の自動消滅メッセージのように、一定時間後に無効になります。
そしてもちろん、コンピューターに接続したりBluetoothで接続したりするガジェットを使う方法もあります。よく知られている選択肢の一つはYubiKeyで、もう一つはGoogleが近々発売する製品です。「物理的なセキュリティトークンを回避するのは非常に困難です」と、Shape Securityのセキュリティ担当シニアディレクター、アミン・ハンババ氏は言います。リモート攻撃者がユーザー名とパスワードにアクセスできたとしても、実体のあるオブジェクトを手に入れる必要があるからです。
Googleは、社内での使用に成功していると述べています。「Googleでセキュリティキーを導入して以来、アカウント乗っ取りの報告や確認は受けていません」と、同社の広報担当者はメールで述べています。また、TitanキーはGoogleアカウントだけでなく、セキュリティキーの使用をサポートしている他のアカウントでも使用できます。
結局のところ、物理キーはアカウントを保護する強力な手段ですが、すべてのオンライン脅威から身を守る盾ではありません。例えば、物理キーを持っていても、悪意のあるファイルのダウンロードを防ぐことはできません。また、認証に物理的な物体を使用することには明らかな欠点もあります。
「セキュリティ的には良いと思います」とCMUのクレイナー氏は言う。「でも、必ずしも最も便利な方法とは限りません。」というのも、実際に使うには、昔ながらの家の鍵のように持ち歩かなければならないからです。「鍵の管理や操作も、また別の問題です」と彼女は付け加える。
Google キーを購入する予定があるかどうかに関わらず、2 要素認証が許可されている主要なアカウントでは、2 要素認証を有効にするのが賢明です。Facebook や Gmail などのサイトで、今すぐ有効にしてください。
