昨年LINE乗っ取りやFacebook乗っ取りが相次ぎました。
アカウント乗っ取り被害が起きた場合、本人が困るのはもちろんですが、SNSが乗っ取られた場合、つながっている友人も多大な被害を受けます。
いろんなウェブサービスがアカウント乗っ取りの対策を取っていますので、対策方法をご紹介します。
アカウント乗っ取りを防ぐ2つの方法
- パスワードを複雑にして、サービス毎に変更する
- 2段階認証を設定する
パスワードを複雑にして、サービス毎に変更する
とはいえ、Gmail、Apple、Facebook、Twitter、Yahoo、Amazonなどなど、全て違うパスワードにするなんて無理です。
クラウドでパスワードを管理できるツールがあるので、これを使いましょう。
ブラウザ間でのパスワードの同期の方法です。
Mac + iPhone をお使いの方
「iCloudキーチェーン」で覚えさせましょう。すべての端末の「Safari」でパスワードが同期します。
Mac + Android をお使いの方
Mac、スマートフォンで「Chrome」を使います。すべての端末の「Chrome」でパスワードが同期します。
Windows + iPhone をお使いの方
PC、スマートフォンで「Chrome」を使います。すべての端末の「Chrome」でパスワードが同期します。
Windows + iPhone をお使いの方
PC、スマートフォンで「Chrome」を使います。すべての端末の「Chrome」でパスワードが同期します。
2段階認証を設定する
通常の「ID + パスワード」に加えて、「認証コード」を追加することにより、セキュリティーを強化します。
「認証コード」は、SMS・Google Authenticatorなどが使われます。
2段階認証が利用できるウェブサービスは迷わず設定しましょう。
各サービスの認証コードの発行方法をまとめました。
Apple
SMS
iOSを使って4 桁のコードを受信できるデバイスへ認証コードが発行
Apple ID の 2 ステップ確認についてよくお問い合わせいただく質問 (FAQ)
https://support.apple.com/ja-jp/HT204152
SMS
電話
Google Authenticator
FIDO U2F Security Key
Windows
登録のメール
電話
認証アプリ(Microsoft Authenticator、Google Authenticator)
Microsoft アカウント 2段階認証の「認証アプリ」について
SMS
コードジェネレータ
ログイン承認コード
SMS
Twitterアプリを利用
Dropbox
SMS
Google Authenticator(Android/iPhone/BlackBerry)
Duo Mobile(Android/iPhone)
Amazon AWS MFA(Android)
Authenticator(Windows Phone 7)
Evernote
SMS
Yahoo! JAPAN
ワンタイムパスワード(Y! OTP)
メール
ワンタイムパスワード(OTP) – Yahoo! JAPAN IDガイド
ネットバンキング
トークン
SMS
認証アプリ
メール
銀行によっては複数組み合わせるものもあります。銀行によってセキュリティーの高いところから低いところまであります。
「三菱東京UFJ銀行」など利用者が多いところは使いやすいですが、信用金庫などは使いにくいところが多いです。
緊急バックアップコード
どのサービスも、スマートフォンの紛失、セキュリティコードが受信できない、セキュリティコードが生成されない際に備え、紙ベースのバックアップコードを用意しています。
アナログ感満載ですが、いざというときのために、書き留めるなり、印刷しておきましょう。
2段階認証は破られないのか?
これはハッカーとのいたちごっこになります。
iCloud 2段階認証
昨年iPhone6発売直前に、iCloudのハッキングにより有名女優のプライベート写真が流出するという事件がありました。
被害にあったのはハリウッド女優など数名の有名人で、iCloudのアカウントがハッキングされ、iPhoneで撮影していたプライベートな写真が流出してしまいました。
米のメディアThe Next Webによれば、iCloudのハッキングはiCloudに含まれる「iPhoneを探す」機能の脆弱性をついたもので、メールアドレスとパスワードを手当たり次第に入力してログインを試みるブルートフォースアタックという手法で行われたようです。
PCからiPhoneを探す場合
iPhoneを紛失した場合、PCのブラウザからiCloud.comへアクセスすると、「iPhoneを探す」という項目で検索することが出来ます。
ここは2段階認証にはなっていません。
ログインすると地図が出てきて、iPhoneのGPSで場所が特定できます。
iPhoneが紛失して手元にないので、2段階認証にはできませんからね。、
きっとハッカーはこういうところ狙うんでしょうね。
ここまでの説明を踏まえて、2 段階認証を破る方法を考えてみたいと思います。
狙える隙があるとすれば秘密鍵を共有するときです。 TOTP は UNIX Time をシードにしているので、秘密鍵さえわかってしまえば第三者が自由にワンタイムパスワードを生成できます。
サーバ側とクライアント側に分けて秘密鍵が漏れるシチュエーションを考えてみました。まずはサーバ側から。
・QR コードの画像が HTTP で配信されている
・QR コードのファイル名が他者から容易に想像でき認証がなくても見れる自分が思いついたのはこの 2 つですが、どちらも考えにくいですね。次にクライアント側を考えてみます。
・QR コードを画面に表示したまま席を立つなどして他者に読み取られる
・スマホのバックアップファイルに他者がアクセスできるこれらのことから 2 段階認証を破ることは技術的にハードルが高く、総当りするにしても労力に見合わないのではないでしょうか。
アカウント乗っ取り防止策
2段階認証ができるウェブサービスは、やっておいたほうがいいです。
特にソーシャルネットワークは、繋がってる友人に迷惑がかかりますからね。