アカウント乗っ取りを防ぐ２つの方法

昨年LINE乗っ取りやFacebook乗っ取りが相次ぎました。
アカウント乗っ取り被害が起きた場合、本人が困るのはもちろんですが、SNSが乗っ取られた場合、つながっている友人も多大な被害を受けます。
いろんなウェブサービスがアカウント乗っ取りの対策を取っていますので、対策方法をご紹介します。

アカウント乗っ取りを防ぐ２つの方法

• パスワードを複雑にして、サービス毎に変更する
• 2段階認証を設定する

パスワードを複雑にして、サービス毎に変更する

とはいえ、Gmail、Apple、Facebook、Twitter、Yahoo、Amazonなどなど、全て違うパスワードにするなんて無理です。
クラウドでパスワードを管理できるツールがあるので、これを使いましょう。

ブラウザ間でのパスワードの同期の方法です。

Mac + iPhone をお使いの方

「iCloudキーチェーン」で覚えさせましょう。すべての端末の「Safari」でパスワードが同期します。

Mac + Android をお使いの方

Mac、スマートフォンで「Chrome」を使います。すべての端末の「Chrome」でパスワードが同期します。

Windows + iPhone をお使いの方

PC、スマートフォンで「Chrome」を使います。すべての端末の「Chrome」でパスワードが同期します。

Windows + iPhone をお使いの方

PC、スマートフォンで「Chrome」を使います。すべての端末の「Chrome」でパスワードが同期します。

2段階認証を設定する

通常の「ID + パスワード」に加えて、「認証コード」を追加することにより、セキュリティーを強化します。
「認証コード」は、SMS・Google Authenticatorなどが使われます。

2段階認証が利用できるウェブサービスは迷わず設定しましょう。

各サービスの認証コードの発行方法をまとめました。

Apple

SMS
iOSを使って4 桁のコードを受信できるデバイスへ認証コードが発行

Apple ID の 2 ステップ確認についてよくお問い合わせいただく質問 (FAQ)
https://support.apple.com/ja-jp/HT204152

Google

SMS
電話
Google Authenticator
FIDO U2F Security Key

Google 2 段階認証プロセス

Windows

登録のメール
電話
認証アプリ（Microsoft Authenticator、Google Authenticator）

Microsoft アカウント 2段階認証の「認証アプリ」について

Facebook

SMS
コードジェネレータ
ログイン承認コード

知っておきたい2段階認証の方法 – Facebook編

Twitter

SMS
Twitterアプリを利用

ログイン認証

Dropbox

SMS
Google Authenticator（Android/iPhone/BlackBerry）
Duo Mobile（Android/iPhone）
Amazon AWS MFA（Android）
Authenticator（Windows Phone 7）

アカウントで 2 段階認証を有効にするには

Evernote

SMS

2 段階認証を全ユーザが利用可能に

Yahoo! JAPAN

ワンタイムパスワード（Y! OTP）
メール

ワンタイムパスワード（OTP） – Yahoo! JAPAN IDガイド

ネットバンキング

トークン
SMS
認証アプリ
メール

銀行によっては複数組み合わせるものもあります。銀行によってセキュリティーの高いところから低いところまであります。

「三菱東京UFJ銀行」など利用者が多いところは使いやすいですが、信用金庫などは使いにくいところが多いです。

緊急バックアップコード

どのサービスも、スマートフォンの紛失、セキュリティコードが受信できない、セキュリティコードが生成されない際に備え、紙ベースのバックアップコードを用意しています。
アナログ感満載ですが、いざというときのために、書き留めるなり、印刷しておきましょう。

2段階認証は破られないのか？

これはハッカーとのいたちごっこになります。

iCloud 2段階認証

昨年iPhone6発売直前に、iCloudのハッキングにより有名女優のプライベート写真が流出するという事件がありました。

被害にあったのはハリウッド女優など数名の有名人で、iCloudのアカウントがハッキングされ、iPhoneで撮影していたプライベートな写真が流出してしまいました。
米のメディアThe Next Webによれば、iCloudのハッキングはiCloudに含まれる「iPhoneを探す」機能の脆弱性をついたもので、メールアドレスとパスワードを手当たり次第に入力してログインを試みるブルートフォースアタックという手法で行われたようです。

PCからiPhoneを探す場合

iPhoneを紛失した場合、PCのブラウザからiCloud.comへアクセスすると、「iPhoneを探す」という項目で検索することが出来ます。
ここは２段階認証にはなっていません。
ログインすると地図が出てきて、iPhoneのGPSで場所が特定できます。
iPhoneが紛失して手元にないので、２段階認証にはできませんからね。、
きっとハッカーはこういうところ狙うんでしょうね。

ハッカーはいかにして2段階認証を突破するのか？

2段階認証は本当に安全なのか調べてみた

ここまでの説明を踏まえて、2 段階認証を破る方法を考えてみたいと思います。

狙える隙があるとすれば秘密鍵を共有するときです。 TOTP は UNIX Time をシードにしているので、秘密鍵さえわかってしまえば第三者が自由にワンタイムパスワードを生成できます。

サーバ側とクライアント側に分けて秘密鍵が漏れるシチュエーションを考えてみました。まずはサーバ側から。
・QR コードの画像が HTTP で配信されている
・QR コードのファイル名が他者から容易に想像でき認証がなくても見れる

自分が思いついたのはこの 2 つですが、どちらも考えにくいですね。次にクライアント側を考えてみます。
・QR コードを画面に表示したまま席を立つなどして他者に読み取られる
・スマホのバックアップファイルに他者がアクセスできる

これらのことから 2 段階認証を破ることは技術的にハードルが高く、総当りするにしても労力に見合わないのではないでしょうか。

アカウント乗っ取り防止策

２段階認証ができるウェブサービスは、やっておいたほうがいいです。
特にソーシャルネットワークは、繋がってる友人に迷惑がかかりますからね。