パスワードもれても安全な二段階認証とは。その仕組みを徹底解説

アカウントに二段階認証(二要素認証)をしておけば、万一パスワードが他人に使われても不正ログインされる心配ありません。「アカウントの乗っ取り」も起きませんし「セブンペイ事件」も「ドコモdアカウントの不正ログイン」も二段階認証があれば防げました。
どうして二段階認証を設定しておけばパスワードが漏えいしても平気なのか?その理由をわかりやすく詳しく解説します。
まだ「二段階認証」未設定の方はすぐに設定しましょう。

※認証方法には「二段階認証」と「二要素認証」があり、厳密には異なりますが、重なる部分も多くユーザーには区別が難しいため、一般的に使われている用語「二段階認証」を使ってご説明します。

二段階認証をしておくべき理由~「パスワードは流出する!」

「パスワードはもれてしまう」の実例「宅ファイル便」の大規模個人情報流出事件

パスワードは正当な使用者を示す大切なものですが、実際はしばしば流出しています。

「宅ファイル便」は大阪ガスの子会社オージス総研が長く運営してきた「大きなデータやファイルを安全に送付するサービス」です。
同種のファイル配達サービスの中でも草分けとして、最も知られたサービスであり、法人向けの有料サービスも運営していました。

ところがなんと「ID代わりのメールアドレス、パスワード」だけでなく、「預かっていた顧客のデータも流出した恐れがある」というのです。さらに「退会していた過去のアカウントも削除しておらず、流出した」と驚くべき報道がありました。

有名サービスでもずさんな個人情報管理をしている!

宅ファイル便」のように、有名で広く使われており、運営会社の信用度も技術もしっかりしていたはずのサービスでも、このような事件・事故がしばしば発生してしまうのが現状です。

さらに「退会済みのアカウントデータを破棄せず残していた」という、ユーザーの信頼を裏切る「あり得ないほどずさんな運営」も明らかになりました。今後、法的にも極めて厳しい批判や処罰を受けるはずです。

結局、「人がやることだから、ミスも事故も起こりえる」というになってしまいます。

やはり「パスワードは漏れるものだ」という前提でアカウントを管理しなければなりません。

どんな強力で安全なパスワードをつけても、流出したらアウト!

万一アカウントが破られて流出した場合、パスワードを使い回しをしていなくても、緊急事態であることは言うまでもありません。
悪意のハッカーは運営者が気が付く前に、パスワードを悪用して目的を達成しようと試みるからです。

事実過去にも「流出事故発覚前」より先に悪用されて、不正使用によって事故が発覚するようなケースも多数あります。

下の例では、事故の発生から発覚して流出を止めるまで9日間の間に「クレジットカード番号、有効期限、セキュリティコード」といった重要情報が流出してしまい、多数の不正ログインが発生してしまいました。

オンライン販売のシステムを作る会社までもが、個人情報を流出させてしまっています。

まして、同じIDとパスワードを「使いまわし」していた場合は、使い回ししているサイトのすべてにリスクが広がってしまい、対策は大変です。

それがデジタル遺品やデジタル遺産のパスワードだったとしたら、家族にも後から苦労や損害を与えてしまうかもしれません。

ブログ内の関連記事(新しいウィンドウで開きます)

毎日のようなセキュリティ犯罪が発生しています。コジマ、イオンカード、三越伊勢丹、ヤマト運輸など大手のサイトがパスワードリスト攻撃により不正アクセスされ大きな被害を出してしまいました。ユーザーは防ぎようもないパスワードリスト攻撃(ブル[…]

不正アクセス事件の原因「パスワードリスト攻撃」の手口と対策~から正しいパスワード管理を知ろう

 

「パスワードを不正に使われてもログインを防ぐ」ものが二段階認証

ぜひ皆さんに安心していただきたいのは、仮にIDもパスワードも流出して使われたとしても、「アカウントの二段階認証」さえきちんと設定しておけば「ログインされない」ので心配ないという事実です。

ログインされなければ被害も情報流出もありませんし、「LINEやTwitter、Facebookのアカウント乗っ取り」も完全に防げます。

実は私も二段階認証設定のおかげで、ドコモdアカウントの不正ログインの被害から逃れることができました。
詳細は下記のブログ記事でご紹介しています。

ブログ内の関連記事(新しいウィンドウで開きます)

身に覚えがない「dアカウントでログインした方に送信しています」とか「dアカウントのセキュリティコード確認」などの通知メッセージを受け取った方はいませんか?2018年の秋。dアカウントのパスワードを使い回していた私は、不正アクセスされて不[…]

フィッシング犯人より「dアカウント セキュリティコードの入力を求める」SMS

しかしこれほど効果的な二段階認証を知らなかったり、使わない人がまだ多いという事実は残念でなりません。
下記の記事にあるとおり、2018年1月の時点でもGoogleのアカウントですら「9割の人が二段階認証を使っていない」のが現実です。

 

「二段階認証の仕組み」~やさしい基礎知識

 2つ以上の本人確認要素がそろってはじめて本人確認をする二段階認証

「使用する本人が確実に本人である」こと証明する方法には主に3つの要素があります。
それは、、

  • 本人だけが知っている「知識の要素」・・パスワード、「秘密の質問」など
  • 本人だけが持っている「所有の要素」・・スマホ、キャッシュカード
  • 本人の身体の特徴「生体の要素」・・指紋、顔、目の虹彩、指の血管

です。

二段階認証はこの3つの要素の2つ以上を使って本人認証を行うことです。

現在最も多いのは、

  1. 第1段階は本人しか知らない「知識の要素~パスワード)」で確認
  2. 第2段階は本人だけが持っている「所有の要素~自分のスマホ、PC」で確認

の方法です。

この場合、漏えいしたパスワードを不正利用しようとする犯人は、「1」のパスワードはわかっても、あなたのスマホは勝手に使えないため「2」が実行できず、二段階認証は成立しないため、不正ログインはできません。。

2つの要素を使うことから、二段階認証は二要素認証とも言われます。

 

二段階認証には、いろいろな方式があります

二段階認証は記憶している「パスワード/暗証番号+本人の持つ機器のスマホ」など2つ以上の異なる要素の本人確認を行う方式」とご説明しました。

二段階目の機器には実はいろいろな方式があります

写真は、銀行が二段階認証のために配布しているトークンと呼ばれる小さな機械です。
パスワードに加えて、トークンに表示されている6桁の数字を入力することでログインできます

表示の数字は1分ごとに自動的に切り替わるため、トークンを持っていない人には絶対分からない仕組みです。

以前はこのような専用機器を配布するケースもありましたが、

  「電池交換の必要がありコストもかさむ」「忘れたときにログインできない」

といった不便がありましたので、現在は誰もが持っている「スマホやPC」といったIT機器を鍵として二段階目の認証を行うことが普通となっています。

特にスマホのSMSに確認番号を送る方式が増えてきました。

またデジタル機器の進歩により、指紋、瞳や指の血管、顔の形など「生体の要素」を使って認証する方法も発達して精度やスピードが向上してきました。

 

実は銀行のキャッシュカードも初歩的な二段階認証です。

銀行のキャッシュカード持ち歩くのは面倒なので、

「カード不要で口座番号と暗証番号入れるだけで引き出せたら便利なのに」

と思う方もおいででしょう。

でも口座番号とキャッシュカードはどちらも「①の本人しか知らない知識の要素」です。

 

もしも両方とも他人に知られると、簡単に使われてしまうため、

  1. 本人だけが持っている「所有の要素=キャッシュカード」
  2. 本人だけが知っている「知識の要素=暗証番号」

の2つの要素がそろってはじめてATMの操作ができるようになっています。

以前はキャッシュカードには偽造可能な磁気が使われていましたが、今では偽造不可能なICが埋め込まれていたり、指紋で認証できるカードに置き換わっています。

つまりカードを持っている人は「確実に本人」と見なして良いことになります。

 

今では2つの要素以外の複雑な認証も併せて行われている

正しいパスワードで自分のスマホからログインしても、「ログインしましたか?」と警句が来ることがありますが、どうしてでしょう?

今では「パスワードとスマホ」のような組み合わせに加えて、

  • 「どこからアクセスしているのか」・・場所の要素
  • 「どの回線で接続しているのか」・・ネットワークの要素

などの情報も照らし合わせて、「少しでも不審がある場合は、本人の了解を得る」という、念入りな確認方法を取り入れるサービスが増えてきたからです。

つまり「いつもあなたがログインするのと違う場所からログインがあった」ことを把握したため、念のため確認が来たということです。

 

二段階認証の仕組みとは?

二段階認証は「パスワード」と「ログインに使う機器」をサービスに登録することからはじまる

二段階認証はいろいろな方式がありますが、現在最も多く使われてする方法は

  1. まず「本人しか知らないパスワードによるログイン」
  2. 次に「本人が確実に所有している登録済の機器(スマホ、PC)からのログイン」

の両方共がそろってはじめて本人だと確認(=認証)をする仕組みです。

いくら他人がパスワードを知っていても、本人所有でない機器(スマホやPC)からは不正ログインとされてログインは完了できません。

上の図のように、

「本物のパスワードが流出」して他人に乗っ取られて不正アクセスされたとしても、「未登録の他人のPCやスマホ」では「不正ログイン」とみなされログインが完了できない!

ので、アカウントの安全を守ることができるのです。「これならたしかに安心!」と思いませんか?

 

 二段階認証のためには本人を確認するデジタル機器の登録が必要となる

上記でお分かりの通り、あるアカウントで二段階認証を使う場合には本人が確実に所有しているデジタル機器(PCやスマホ)」をアカウントに登録して覚えてもらう必要があります。

ここが「二段階認証の分かりにくい」ところですので、別途詳しくご説明します。

 

他人も同じスマホやPCを使っているのに、どうして本人確認できるのか?

オンラインサービスにつないだスマホやPCが特定の個人のもの」と、どうしてわかるのでしょうか?

スマホやPCで個人を識別する技術はいろいろありますが、代表的な物2つをご説明します。

スマホには端末識別番号(IMEI)がついている

すべてのスマホにはその端末だけが持つ固有の「端末識別番号(IMEI)」というコードが、製造時から機械の中に埋め込まれています

サービス側は通信を通してこのコードを確認することで、「特定のスマホだ」と識別することができます。

「通信の部品」に固有のコードがついている

PC、スマホ、タブレットなど、全世界のネットワークにつなぐあらやる機器には、部品(LANカードや無線LANの送受信機能)に、それぞれ固有の「MACアドレス」という識別コードが埋め込まれています。

「MACアドレス」は通信機器のメーカーを示す記号と、製品につけられた記号を組み合わせた「12-38-56-48-9d-ec」のようなコードで、同じものはありません。

サービス側は、ユーザーと通信のやりとりの時このMACアドレスコードを取得することができますので、「特定の機器からのアクセス」と識別できるのです。

なお、ご自身のPCやスマホのMACアドレスは簡単に調べることができます。スマホは「設定」メニューの「情報」に記載されています。ご関心のある方はPCは下記の方法を試してみてください。

また上記以外にも、

  • 利用しているスマホやPCがネットワークに接続した際に、自動的に割り振られる「IPアドレス」という番号を使う
  • スマホが接続されている電波を発信している基地局の位置で判別する。

などスマホやPCを特定する手段はいろいろあり、各サービスは複数の手段を使って「あなたが持っている機器なのか?」を確実に判断しようとしています。

いつも使っているPCと違うPCからログインしたとき、改めてパスワードの再入力を求められたり、メールで「あなた自身のログインですか?」と再確認が来ることがありますが、すべて上でご説明した機能で、念のためご本人の確認をしている結果なのです。

 

もしもパスワードと機器どちらも盗まれたらどうなるの?

なかなかあり得ないケースですが、「パスワードと同時にPCやスマホも盗まれた場合」は不正ログインされ放題になってしまうのでしょうか?

一番大切なのはスマホやPCのセキュリティ対策を確実にやっておくことです。そうすれば今のスマホやPCは盗まれても簡単に他人に使われることはありません。

また不幸にして使われてしまったとしても、上記でご説明したとおり、サービス側はログインする機器の確認だけでなく、

  • 「ログインする場所はいつもと同じか?」
  • 「ログインする回線がいつもの通信回線か?」

など複数のチェックも同時に行っていることが多いのです。

機器は同じでもサービス側が「いつもと違うログインだ」と判断すれば、再度の認証を求めます。

またその際は登録しているメールアドレスに通知も来ますので、不正アクセスに気付くこともできます。

こうして何重もの対策で不正利用を防ぐことができ、仮に盗まれたとしても、

  • 「別の自分の機器からログインパスワードを変更する」
  • 「アカウントを凍結する」
  • 「スマホの情報を削除する」

などの対策をとる余裕ができますので、アカウントの安全性が大きく高まるのです。

ブログ内の関連記事(新しいウィンドウで開きます)

今やスマホはあなたを証明する鍵でもあり「命の次に大切」です。そんな大切なスマホを万一紛失してしまったら。さらに悪用されたら、、、?頭が真っ白になってしまわないよう、デジタル終活に取り組むことを契機にしっかり準備しましょう。万全の備え[…]

スマホの紛失・悪用の防止

 

 二段階認証を採用しているサービス

二段階認証はユーザーがどんなに使いたくても、オンラインサービス側が対応していないと利用できません。
しかしセキュリティ事故が多発している現在、有名で重要な個人情報を扱うサービスはほとんど導入済みです

二段階認証を導入済みの主なサービス・・次第に増加中 !
Google、Yahoo!、Twitter、Amazon、Apple、Microsoft、Facebook、Instagram、Pinterest、Dropbox、Evernote、LinkedIn、ドコモ(dアカウント)、AU、ヤマト運輸、リクルートID、ニンテンドーアカウント、PlayStation Network、Chatworks、日本経済新聞社、その他大手銀行や証券会社、PayPal他ほとんどの決済サービス、、、など

近年では、ドコモが「iphoneXの不正購入」が多発したことで、急きょ導入しました。ドコモのユーザーの方は、繰り返し「二段階認証設定の案内」が送られてきたはずです。

また2019年7月4日にセブンペイで5000万以上の被害額となる大規模な不正使用事件が発生しました。これもセブンペイが二段階認証を設定していれば防げたと思われます。

今後ますます重要なアカウントは「二段階認証は必須」のものとなっていくはずです。
むしろ決済や重要な個人情報を扱うサイトでは二段階認証のないサービスは使うべきではありません。

 

スマホは今は大切な「鍵」確実にロックしておこう

上記でご説明したとおり、近年はスマホが「二段階認証の鍵」として使われることがほとんどです。

もしもスマホをパスワード一緒に盗まれたら、何をしても被害を防ぐことはできません。今やスマホは命の次に大切といっても過言ではありません。

スマホの画面ロックをはじめ、大切なSIMカードのロックなど、スマホには万全の対策をしておきましょう。
下記の当ブログ記事か大変参考になります。

ブログ内の関連記事(新しいウィンドウで開きます)

今やスマホはあなた本人を確認の鍵でもあります。もしもスマホをなくした時、悪用されたり、転売されないように備えるにはどうしたら良いか?先日「世界一受けたい授業」でも取り上げられた最重要ポイントが「スマホの画面とSIMカードの2つのロックの仕方[…]

スマホをロックするイメージ

 

まとめ:理屈はともかく、必ず二段階認証を設定しましょう

以上いろいろとご説明しましたが、シンブルに二段階認証とは

 「パスワードとログインを許可する機器を結びつけて不正ログインを防止する」

 「パスワードが正しくても未登録の機器からはログインできなくする」

仕組みなんだと覚えておいてください。

パスワードが盗まれて不正アクセスされてもログインできなければ不正使用はされません。
また未登録の機器からログインが試みられたことは不正アクセスとしてすぐに通知が来ますので「怪しいぞ」と対応することもできます。

確実な安全を保証する二段階認証は、必ず設定なさるよう強くおすすめします。デジタル終活のためにも必須のお作法です。

ブログ内の関連記事(新しいウィンドウで開きます)

2019年6月。LINEがユーザー対象に大規模なセキュリティ調査を実施し、残念ながらLINEユーザーの意識が極めて低い実態が明らかになりました。LINEは個人では最も使われているSNSで、プライバシーからペイメント支払まで、家族や友人の[…]

LINEのアカウントを乗っ取られて悲しんでいる
ブログ内の関連記事(新しいウィンドウで開きます)

TwitterやFacebook、LINEのようなSNSで起きてしまう「SNSアカウントのなりすまし」。本人になりすまして、不正メッセージや「ここであなたを見ました」「このビデオいつでしたか」「私が見つけたものを見て」「あなただと思いま[…]

アカウントの乗っ取りを防ぐ唯一の方法「二段階認証」のイメージ