2019/09/10

アカウント乗っ取りを防ぐ『二段階認証』とは? 仕組みや設定方法を解説

インターネットにまつわるさまざまなスマホトラブルや、世間を騒がせているネット詐欺の手口や事例を解説し、セキュリティに関する疑問に答える本連載。第4回は「二段階認証」のお話。

主要なサービスが二段階認証を導入

ここ最近、アカウントの不正利用による被害が多発し、セキュリティ強化の手段として「二段階認証」が注目されている。二段階認証とはIDやパスワード入力のほかに、セキュリティコードの入力などを追加することで、第三者の不正アクセスを防止する仕組み。TwitterやLINE、Facebook、InstagramといったSNSをはじめ、Amazon、Apple、Googleなど、主要なサイトやサービスでも取り入れられているが、その大半が任意で設定するものだ。

はたして、二段階認証とはどんな仕組みで、不正ログインに対してどんな効果があるのだろう? 二段階認証の仕組みや効果について、KDDIで不正利用対策を専門に行うUX・品質統括部の新井 契(ひさし)にTIME & SPACE編集部が話を聞いてみた。

KDDI 新規ビジネス推進本部 UX・品質統括部 セキュリティ・設備品質グループの新井 契 KDDI 新規ビジネス推進本部 UX・品質統括部 セキュリティ・設備品質グループの新井契。社内では「セキュリティ先生」と呼ばれ、auのお客様が安心してサービスを利用できるようにセキュリティ対策を推進する

アカウント乗っ取りや不正ログインを防ぐ

――ここ最近、キャッシュレス決済などの身近なサービスで不正ログインの被害が増え、二段階認証という言葉を耳にする機会が増えました。とはいえ、多くの人が二段階認証のことをしっかりとはわかっていないと思うんです。

セキュリティ先生「「二段階認証を簡単に言うと、アカウントにログインする際に、本人確認をするためにワンステップを増やしましょう、というものです。従来のパスワードによる認証だと、IDやパスワードをほかの人に知られたら、勝手に利用できてしまいますよね。

そこで、IDやパスワードを入力した人が本人であるかを確認するために、登録してある電話番号やメールアドレスを利用して追加の確認をする。それが二段階認証です。ほかに指紋や顔の形状などで本人確認を加える方法もあります」」

――本人かどうかを確認するステップが増えることで、たとえID やパスワードを誰かに知られても、それだけではログインができなくなるんですね。

本人確認用にセキュリティコードやURLが送られてくる

セキュリティ先生「「そうです。百聞は一見に如かず、Amazonを例に二段階認証の仕組みを説明しましょう。Amazonを利用しているAさんは二段階認証を設定しています。次にアカウントを悪用しようとするBが、どこかで手に入れたAさんのIDとパスワードを使ってPCでAmazonにログインします。すると、AさんのスマホにはSMSで6桁のコードが送られてきます。一方のBのPCはコードを入力する画面に進みます」」

AさんはスマホでAmazonの二段階認証を設定。BがPCでAさんのAmazonアカウントにログイン (左)AさんはスマホでAmazonの二段階認証を設定。
(右)BがPCでAさんのAmazonアカウントにログイン
▼
AさんのスマホにSMSでコードが送られてくる。BのPCはコードの入力画面になる (左)AさんのスマホにSMSでコードが送られてくる。
(右)BのPCはコードの入力画面になる

セキュリティ先生「「Bがコードを入力すれば二段階認証が完了してログインができますが、当然BはAさんのスマホを持っていないので、コードがわからずログインができません。このように二段階認証を設定しておけば、万が一、IDやパスワードが漏洩して、第三者がサービスにログインしようとしても、本人に通知されたコードがわからないとログインができないんです」」

――つまり二段階認証を設定した端末(ないしはブラウザ)以外から、サービスにログインしようとすると、本人に通知が届く仕組みですね。

セキュリティ先生「「そうです。二段階認証の通知方法はさまざまで、au IDの場合は、SMSにメッセージが届くまでは同じですが、コードではなく、表示されたサイトのURLをクリックし表示される画面で承認する仕組みです。二度目以降、ログインする際は二段階認証が省略される場合があります」」

au IDの二段階認証の画面 au IDの二段階認証の画面

――そういえば、サービスによっては最初にアカウントを登録したときにメールが届いて、そこからサイトにアクセスして登録を完了させるということがありますよね。これも二段階認証になるのでしょうか?

セキュリティ先生「「それは、サービスを提供する企業がメールアドレスを確認するために行っているもので、二段階認証ではありません」」

――そうでしたか。勘違いしないように気をつけます。

「自分」で二段階認証を設定しておこう

――現在、二段階認証はTwitterやLINE、Facebook、Instagram、Amazon、Apple、Googleなど、多くのサービスで導入されていますよね。

セキュリティ先生「「はい。アカウントの不正ログインによる被害が増える昨今、二段階認証はもはや欠かせないセキュリティ対策になりつつあります。ただ、一点だけ注意が必要です。auの携帯電話をご利用の方は、はじめから二段階認証が設定されていますが、大半のサービスは自分で二段階認証の設定を行う必要があります。意外と知られていないので、ぜひ設定しておきましょう。特にキャッシュレス決済やネットバンキングなど、お金を扱うサービスで重点的に設定するのが得策です。二段階認証の設定は簡単です。例を紹介しましょう」」

Amazonでの二段階認証の設定方法

ここではAmazonでの二段階認証の設定方法を解説しよう。Amazonでは二段階認証は「高度なセキュリティ設定」から設定する。

Amazonの二段階認証の設定画面 「アカウントサービス」→「名前、Eメール、携帯番号、パスワードの管理」→「高度なセキュリティ設計」へ(WEBブラウザ版の場合)

1. 二段階認証のコードを受信する電話番号を登録。登録した電話番号にSMSでコードが届くので、そのコードを入力する。

Amazonの二段階認証の設定画面
Amazonの二段階認証の設定画面

2.サインインができないときのバックアップ手段として、コードを受信する別の電話番号を入力する。ほかに認証アプリを使う方法がある(詳しくはAmazonのサイトのヘルプを参照)。

Amazonの二段階認証の設定画面

3.最終確認をして設定する。これで二段階認証の設定が完了。

Amazonの二段階認証の設定画面

二段階認証も完璧ではない!?

――ホントに二段階認証の設定って簡単なんですね。

セキュリティ先生「「そうでしょう。でも二段階認証をするかしないかでは、セキュリティのレベルは雲泥の差です。みなさんも忘れずに設定してください。ただし、二段階認証を設定しても100%安全というわけではありません」」

――そ、そうなんですか?

セキュリティ先生「「はい。巧妙な手口のフィッシングで二段階認証を突破しようとする悪意の第三者がいるんです。まずは、自分が使っているSNSやサービスで二段階認証を設定して、不正ログインのリスクを減らしましょう。最後に二段階認証の3か条をまとめたので参考にしてください」」

セキュリティ先生の二段階認証の3か条

1.利用中の各サービスで二段階認証が使えるか確認しよう。
2.特にお金を扱うサービスでは必ず設定するようにしよう。
3.二段階認証=100%安全ではないことを知っておこう。

文:TIME & SPACE編集部

※掲載されたKDDIの商品・サービスに関する情報は、掲載日現在のものです。商品・サービスの料金、サービスの内容・仕様などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。