fbpx

パスワードもれても安全な二段階認証(二要素認証)とは。その仕組みを徹底解説

アカウントに二段階認証(二要素認証)をしておけば、万一パスワードが他人に使われても不正ログインされる心配ありません。「アカウントの乗っ取り」も起きませんし「セブンペイ事件」も「ドコモdアカウントの不正ログイン」も二段階認証があれば防げました。
しかしどうしてパスワードが漏えいしても平気なのか?その理由をわかりやすく詳しく解説します。
まだ「二段階認証」未設定の方はすぐに設定しましょう。
目次
/ins>

「パスワードは漏れるもの」、だから二段階認証(二要素認証)が必要となる

「パスワードはもれてしまう」の実例「宅ファイル便」の大規模個人情報流出事件

「宅ファイル便」は大阪ガスの子会社オージス総研が長く運営してきた「大きなデータやファイルを安全に送付するサービス」です。
同種のファイル配達サービスの中でも草分けとして、最も知られたサービスであり、法人向けの有料サービスも運営していました。

ところがなんと「ID代わりのメールアドレス、パスワード」だけでなく、「預かっていた顧客のデータも流出した恐れがある」というのです。さらに「退会していた過去のアカウントも削除しておらず、流出した」と驚くべき報道がありました。

有名サービスでもずさんな個人情報管理をしている!

宅ファイル便」のように、有名で広く使われており、運営会社の信用度も技術もしっかりしていたはずのサービスでも、このような事件・事故がしばしば発生してしまうのが現状です。

さらに「退会済みのアカウントデータを破棄せず残していた」という、ユーザーの信頼を裏切る「あり得ないほどずさんな運営」も明らかになりました。今後、法的にも極めて厳しい批判や処罰を受けるはずです。

結局、「人がやることだから、ミスも事故も起こりえる」というになってしまいます。

やはり「パスワードは漏れるものだ」という前提でアカウントを管理しなければなりません。

どんな強力で安全なパスワードをつけても、流出したらアウト!

万一アカウントが破られて流出した場合、パスワードを使い回しをしていなくても、緊急事態であることは言うまでもありません。
悪意のハッカーは運営者が気が付く前に、パスワードを悪用して目的を達成しようと試みるからです。

事実過去にも「流出事故発覚前」より先に悪用されて、不正使用によって事故が発覚するようなケースも多数あります。

下の例では、事故の発生から発覚して流出を止めるまで9日間の間に「クレジットカード番号、有効期限、セキュリティコード」といった重要情報が流出してしまい、多数の不正ログインが発生してしまいました。

オンライン販売のシステムを作る会社までもが、個人情報を流出させてしまっています。

まして、同じIDとパスワードを「使いまわし」していた場合は、使い回ししているサイトのすべてにリスクが広がってしまい、対策は大変です。

それがデジタル遺品やデジタル遺産のパスワードだったとしたら、家族にも後から苦労や損害を与えてしまうかもしれません。

ブログ内の関連記事(新しいウィンドウで開きます)

通販サイトを狙ったセキュリティ犯罪が続いています。2019年6月にはヤマダとコジマに続きイオンのサイトが狙われ、パスワードリスト攻撃により不正アクセスにより大きな被害を出してしまいました。どうしたら防げるか?イオンの事故より、デジタル終[…]

膨大なリストからパスワードを盗み出す、パスワードリスト攻撃のイメージ

二段階認証(二要素認証)さえしておけばパスワードが漏れても安心

「パスワードを不正に使われてもログインを防ぐ」のが二段階認証(二要素認証)

ぜひ皆さんに安心していただきたいのは、仮にIDもパスワードも流出して使われたとしても、「アカウントの二段階認証」さえきちんと設定しておけば「ログインされない」ので心配ないという事実です。

ログインされなければ被害も情報流出もありませんし、「LINEやTwitter、Facebookのアカウント乗っ取り」も完全に防げます。

実は私も二段階認証設定のおかげで、ドコモdアカウントの不正ログインの被害から逃れることができました。
詳細は下記のブログ記事でご紹介しています。

ブログ内の関連記事(新しいウィンドウで開きます)

身に覚えがない「dアカウントでログインした方に送信しています」とか「セキュリティコード」などのログイン通知メッセージを受け取った方はいませんか?2018年の秋。愚かにもdアカウントのパスワードを使い回していた私は、不正アクセスされたあげ[…]


しかしこれほど効果的な二段階認証(二要素認証)を知らなかったり、使わない人がまだ多いという事実は残念でなりません。
下記の記事にあるとおり、2018年1月の時点でもGoogleのアカウントですら「9割の人が二段階認証(二要素認証)を使っていない」のが現実です。

/ins>

二段階認証(二要素認証)のやさしい基礎知識

 2つ以上の本人確認要素がそろってはじめて本人確認をする二段階認証

「使用する本人が確実に本人である」こと証明する方法には3つの要素があります。
それは、、

  1. 本人だけが知っている「知識の要素」・・パスワード、秘密の質問など
  2. 本人だけが持っている「所有の要素」・・スマホ、キャッシュカード
  3. 本人特有の身体「生体の要素」・・指紋、顔、目の虹彩、指の血管

です。

二段階認証はこの3つの要素の2つ以上を使って本人認証を行うことです。

現在最も多いのは、

  1. 第1段階は本人しか知らない「知識の要素~パスワード)」で確認
  2. 第2段階は本人だけが持っている「所有の要素~自分のスマホ、PC」で確認

の方法です。

2つの要素を使うことから、二段階認証は二要素認証とも言われます。

漏えいしたパスワードを不正利用する犯人は「1」はできますが、あなたのスマホは使えないため「2」は確認できません。

実は銀行のキャッシュカードも二段階認証(二要素認証)です。

お金を下ろすときに銀行のキャッシュカード持ち歩くのは面倒ですね。
「口座番号と暗証番号入れるだけで引き出せたら便利なのに」
と思う方もおいででしょう。

でも口座番号とキャッシュカードはどちらも「①の本人しか知らない知識の要素」です。もしも両方とも漏れてたら、誰にでも勝手に使われてしまいます。

それを防ぐために本人が確実に持っている「所有の要素のキャッシュカード」と「本人だけが持っている所有の要素~キャッシュカード」が揃っているこを二段階目の確認に使っているわけです。

以前はキャッシュカードには偽造可能な磁気が使われていましたが、今では偽造不可能なICが埋め込まれていたり、指紋で認証できるカードに置き換わっています。
つまりカードを持っている人は「確実に本人」と見なして良いことになります。

 

二段階認証(二要素認証)には、実はいろいろな方式があります

二段階認証は記憶している「パスワード/暗証番号+本人の持つ機器のスマホ」など2つ以上の異なる要素の本人確認を行う方式」とご説明しました。

二段階目の機器には実はいろいろな方式があります。左は「ジャパンネット銀行」が二段階認証(二要素認証)のために配布しているトークンと呼ばれる小さな機械です。

パスワードに加えて、トークンに表示されている6桁の数字を入力することでログインできます

表示されている数字は1分ごとに自動的に切り替わるため、このトークンを持っていない人には絶対分からないという仕組みです。
当然ですが、ユーザーはログインする際は必ずこのトークンを持っている必要があります。

以前はこのような専用機器を配布するケースもありましたが、
  「電池交換の必要がありコストもかさむ」「忘れたときにログインできない」
といった不便
がありましたので、現在は誰もが持っている「スマホやPC」といったIT機器を鍵として二段階目の認証を行うことが普通となっています。
特にスマホのSMSに確認番号を送る方式が増えてきました。

またデジタル機器の進歩により、指紋、瞳や指の血管、顔の形など「生体の要素」を使って認証する方法も増えてきました。

今度は「生体認証」が増えてくると思われます。

二段階認証(二要素認証)の仕組みについて

他人も同じスマホやPCを使っているのに、どうして本人確認できるのか?

オンラインサービスにつないだスマホやPCが「特定の個人のもの」と、どうしてわかるのでしょうか?
スマホやPCで個人を識別する技術はいろいろありますが、代表的な物2つをご説明します。

スマホの場合・・端末識別番号(IMEI)がついている

すべてのスマホにはその端末だけが持つ固有の「端末識別番号(IMEI)」というコードが、製造時から機械の中に埋め込まれています

サービス側は通信を通してこのコードを確認することで、「特定のスマホだ」と識別することができます。

 

PCの場合は「通信の部品」に固有のコードがついている

PC、スマホ、タブレットなど、ネットワークにつなぐ機器には、部品(LANカードや無線LANの送受信機能)に、それぞれ固有の「MACアドレス」という識別コードが埋め込まれています。
全世界の通信機器にはそれぞれ固有なコートがつけられていて、同じ物はありません。

サービス側は、ユーザーと通信のやりとりの時この「MACアドレス」コードを取得することができますので、「特定の機器からのアクセス」と識別できるのです。

なお、ご自身のPCやスマホのMACアドレスは簡単に調べることができます。スマホは「設定」メニューの「情報」に記載されています。ご関心のある方はPCは下記の方法を試してみてください。

 

二段階認証の基本は「一段目:パスワード」と「二段目:ログインに利用登録した機器」の2つをサービスに登録して認証してもらうこと

二段階認証(二要素認証)とは

まず「本人しか知らないパスワードによるログイン」

次に「本人が確実に所有している登録済の機器からのログイン」

の両方共がそろってはじめて本人だと確認(=認証)をする仕組みです。

いくら他人がパスワードを知っていても、本人所有でない機器(スマホやPC)からは不正ログインとされてログインは完了できません。

上の図のように、仮に

 1.「本物のパスワードが流出」して他人に乗っ取られて不正アクセスされたとしても、

 2.「未登録の他人のPCやスマホ」では「不正ログイン」とみなされログインが完了できない!

ので、アカウントの安全を守ることができるのです。「これならたしかに安心!」と思いませんか?

 

もしもパスワードと機器どちらも盗まれたらどうなるの?

また、なかなかあり得ないケースですが、「パスワードと同時にPCやスマホも盗まれた場合」は不正ログインされ放題になってしまうのでしょうか?

一番大切なのはスマホやPCのセキュリティ対策を確実にやっておくことです。そうすれば今のスマホやPCは盗まれても簡単に他人に使われることはありません。

また不幸にして使われてしまったとしても、しっかりしたサービスだと、サービス側はログインする機器の確認だけでなく、「ログインする場所はいつもと同じか?」「ログインする回線がいつもの通信回線か?」など複数のチェックも同時に行っていることが多いのです。

機器は同じでもサービス側が「いつもと違うログインだ」と判断すれば、再度の認証を求めます。またその際は登録しているメールアドレスに通知も来ますので、不正アクセスに気付くこともできます。

こうして何重もの対策で不正利用を防ぐことができ、仮に盗まれたとしても、

  • 「別の自分の機器からログインパスワードを変更する」
  • 「アカウントを凍結する」
  • 「スマホの情報を削除する」

などの対策をとる余裕ができますので、アカウントの安全性が大きく高まるのです。

ブログ内の関連記事(新しいウィンドウで開きます)

今やスマホはあなたを証明する鍵でもあり「命の次に大切」です。そんな大切なスマホを万一紛失してしまったら。さらに悪用されたら、、、?頭が真っ白になってしまわないよう、デジタル終活に取り組むことを契機にしっかり準備しましょう。万全の備え[…]

スマホの紛失・悪用の防止

 二段階認証(二要素認証)のためには本人を確認するデジタル機器の登録が必要となる

上記でお分かりの通り、あるアカウントで二段階認証(二要素認証)を使う場合には本人が確実に所有しているデジタル機器(PCやスマホ)」をアカウントに登録して覚えてもらう必要があります。

ここが「二段階認証(二要素認証)の分かりにくい」ところですので、次記事で詳しくご説明します。

/ins>

 二段階認証(二要素認証)を採用しているサービス

二段階認証(二要素認証)はユーザーがどんなに使いたくても、オンラインサービス側が対応していないと利用できません。
しかしセキュリティ事故が多発している現在、有名で重要な個人情報を扱うサービスはほとんど導入済みです

二段階認証を導入済みの主なサービス・・次第に増加中 !
Google、Yahoo!、Twitter、Amazon、Apple、Microsoft、Facebook、Instagram、Pinterest、Dropbox、Evernote、LinkedIn、ドコモ(dアカウント)、AU、ヤマト運輸、リクルートID、ニンテンドーアカウント、PlayStation Network、Chatworks、日本経済新聞社、その他大手銀行や証券会社、PayPal他ほとんどの決済サービス、、、など

近年では、ドコモが「iphoneXの不正購入」が多発したことで、急きょ導入しました。ドコモのユーザーの方は、繰り返し「二段階認証(二要素認証)設定の案内」が送られてきたはずです。

また2019年7月4日にセブンペイで5000万以上の被害額となる大規模な不正使用事件が発生しました。これもセブンペイが二段階認証を設定していれば防げたと思われます。

今後ますます重要なアカウントは「二段階認証は必須」のものとなっていくはずです。
むしろ決済や重要な個人情報を扱うサイトでは二段階認証のないサービスは使うべきではありません。

スマホは今は大切な「鍵」確実にロックしておこう

上記でご説明したとおり、近年はスマホが「二段階認証(二要素認証)の鍵」として使われることがほとんどです。
もしもスマホをパスワード一緒に盗まれたら、何をしても被害を防ぐことはできません。今やスマホは命の次に大切といっても過言ではありません。

スマホの画面ロックをはじめ、大切なSIMカードのロックなど、スマホには万全の対策をしておきましょう。
下記の当ブログ記事か大変参考になります。

ブログ内の関連記事(新しいウィンドウで開きます)

今やスマホはあなた本人を確認の鍵でもあります。もしもスマホをなくした時、悪用されたり、転売されないように備えるにはどうしたら良いか?先日「世界一受けたい授業」でも取り上げられた最重要ポイントが「スマホの画面とSIMカードの2つのロックの仕方[…]

スマホをロックするイメージ

まとめ:理屈はともかく、必ず二段階認証(二要素認証)を設定しましょう

以上いろいろとご説明しましたが、シンブルに二段階認証とは

 「パスワードとログインを許可する機器を結びつけて不正ログインを防止する」

 「パスワードが正しくても未登録の機器からはログインできなくする」

仕組みなんだと覚えておいてください。

パスワードが盗まれて不正アクセスされてもログインできなければ不正使用はされません。
また未登録の機器からログインが試みられたことは不正アクセスとしてすぐに通知が来ますので「怪しいぞ」と対応することもできます。

確実な安全を保証する二段階認証は、必ず設定なさるよう強くおすすめします。デジタル終活のためにも必須のお作法です。

 

「このブログより役に立って、デジタル終活もできるサービスがあるって?」

Digital Keeperバナーそれは日経新聞やテレビで「独創的でこれから必要」と取り上げられたDigital Keeper®です!
週3回「スマホの安全」「不正ログインを防ぎ方」「OSやアプリのアップデート情報」など、役立つセキュリティ情報が届き、さらに「わかっていてもやってない、スマホやアカウントのデジタル終活」も実現できるオンラインサービスです。

会費は月々わずか167円(年2000円)。1ヶ月無料で試用できます。アフターコロナにそなえ、ぜひご体験下さい。

詳しくはこちら

ブログ内の関連記事(新しいウィンドウで開きます)

2019年6月。LINEがユーザー対象に大規模なセキュリティ調査を実施し、残念ながらLINEユーザーの意識が極めて低い実態が明らかになりました。LINEは個人では最も使われているSNSで、プライバシーからペイメント支払まで、家族や友人の[…]

LINEのアカウントを乗っ取られて悲しんでいる
ブログ内の関連記事(新しいウィンドウで開きます)

TwitterやFacebook、LINEのようなSNSで起きてしまうアカウントの乗っ取り。本人になりすまして、不正メッセージや「ここであなたを見ました」「このビデオいつでしたか」「私が見つけたものを見て」また「となりのトトロの動画」の[…]

アカウントの乗っ取りを防ぐ唯一の方法「二段階認証」のイメージ