Appleは6月初旬、2ファクタ認証がOS X 10.11 El CapitanとiOS 9に緊密に統合されると発表しましたが、その具体的な内容についてはほとんど明らかにしませんでした。現在の設定は、ユーザーがAppleのサイトにログインしたり、Apple IDを設定したAppleデバイスにログインしたりする際に、2段階認証(ワンタイムコード、期限付きコード、またはその他の認証方法)を提供するために、複数のサイトや複数の認証方法に分散されています。
Apple は本日、iOS 9 および El Capitan のパブリックベータ版から始まる 2 要素認証の仕組みに関する詳細な説明を公開しました。
Appleの広報担当者は、過去にユーザーを混乱させ、場合によってはApple IDを永久に利用できなくなったため放棄せざるを得なくなる事態に至った「復旧キー」オプションが削除されたことを確認しました。新システムでは、Appleのカスタマーサポートが、信頼済みのデバイスと電話番号にアクセスできなくなったユーザーと、詳細な復旧プロセスを実施します。
二要素認証システムは、アカウントへのリモートログインを阻止または阻止することができます。攻撃にはパスワードだけでなく、標的アカウントに属するデバイス、コンピューター、または電話番号へのアクセスも必要となるためです。これにより、ハッキングは「大規模」から「小規模」へと変化します。基盤となるシステムに欠陥が見つからない限り、保護されているアカウントは一つずつ解読していく必要があります。
コードは長くなり、プロセスはシンプルになる
既存のシステムと同様に、少なくとも1つ(ただし、任意の数まで)のiOSおよびOS Xシステムを「信頼できるデバイス」として設定する必要があります。これらのデバイスはApple IDアカウントのリストに表示され、そこから削除できます。また、OS XではiCloudシステム環境設定の「アカウントの詳細」をクリックすることで、iOS 9では「設定」>「iCloud」>「アカウント」からも削除できます。さらに、バックアップとして少なくとも1つの電話番号を認証する必要があります。
現在、携帯電話はテキストメッセージを受信する必要がありますが、アップデートでは携帯電話はテキストメッセージや電話の着信を受信できるようになり、他の2要素認証システムと同様に、自動システムによってコードを音声で読み上げるオプションが追加される予定です。
Appleが「2段階認証」と名付けた現在のシステムは、ログイン時に(皮肉なことに)追加の手順を必要とします。現在2段階認証に対応しているAppleのサイトでログインする場合、Apple IDのアカウント名とパスワードを入力した後、ポップアップダイアログまたは何らかの画面が表示され、信頼できるデバイスまたは信頼できる電話番号を選択して4桁のコードが送信されます。そして、次のステップでそのコードを入力します。
OS X 10.11 および iOS 9 以降では、確認コードの送信先に信頼できるデバイスを選択する必要がなくなります。
El CapitanとiOS 9の新しいシステムでは、コードの送信先デバイスを指定する必要がなくなりました。Appleによると、アカウント名とパスワードを入力すると、新しいOSを搭載したすべての信頼済みデバイスに6桁の確認コードが表示されます。このコードは、これまでと同様に、iOSデバイスまたはOS Xシステムがロック解除されている場合にのみ表示されます。Appleによると、コード入力ページで「コードが届きませんか?」をクリックすることで、信頼済みの電話にコードを送信するオプションが追加されるとのこと。
Appleはここでは明記していませんが、現在のシステムでは、2段階認証が必要なのは一部のAppleサイトとシステムのみです。Appleの開発者、書籍、音楽、アプリのアップロードに使用するiTunes Connectシステムのユーザー、そしてその他のサイトでは、2段階認証が有効になっているアカウントであっても、アカウント名とパスワードだけでアクセスできます。これらの脆弱性は、狡猾なクラッカーによって悪用される可能性があるため、今回の統合によって変更される可能性があります。
既存の2段階認証は、古いユーザーのセキュリティを低下させたり、システムに支障をきたしたりしないよう、無期限に継続されます。iOS 8以前、またはOS X 10.10 Yosemite以前のバージョンをご利用の場合、確認フィールドは表示されません。Apple IDとパスワードでログインを試み、信頼済みのデバイスに確認コードが表示された後、ユーザーはパスワードフィールドに入力したパスワードの末尾に6桁のコードを追加して再度ログインする必要があります。6桁のコードが表示されるのは、El CapitanおよびiOS 9搭載デバイスのみです。
二要素認証システムの一部として電話番号を利用することで、ユーザーにとって柔軟性は向上するが、同時に個人を標的とする攻撃の温床ともなり得る。SMSシステムはセキュリティと整合性を重視して設計されておらず、iOS 8とYosemiteのSMSリレーオプションでは、世界中どこにいてもiPhoneと同じiCloudアカウントにログインしているコンピューターでテキストメッセージを受信できてしまう。(「Private I」、2014年10月23日号参照)
回復キーの終了
現在の2段階認証システムは2つの要素に基づいていますが、アカウントへのアクセスを回復するための3つ目の要素として、復旧キーも含まれています。14文字の復旧キーは2段階認証のサインアッププロセス中に生成され、バックアップとして使用されます。パスワードを忘れた場合、または信頼できるすべてのデバイスと電話番号(両方ではない)にアクセスできなくなった場合、復旧キーはApple IDアカウントを復元する唯一の方法でした。
回復キーは便利な機能ですが、紛失しやすく、新しいキーを取得するための設定が分かりにくいです。(しかも、実際に必要になる前に新しいキーを取得することを忘れないようにしなければなりません!)
復旧キーがなければ、そのIDに関連付けられたデータや購入履歴は永久に失われます。Appleがアカウントが攻撃を受けていると判断し、パスワードをリセットした場合にも、この状態が引き起こされる可能性があります。一部の報告によると、Appleのカスタマーサービスは復旧キーがなくてもアカウントをリセットできるとのことですが、これは限られたケースで、サポートの判断によってのみ利用できるようです。
Appleは、新しい2要素認証システムでは復旧キーが廃止されたことを確認しました。代わりに、Appleはより一般的なガイダンスを提供しており、「サインインできない、パスワードをリセットできない、または確認コードを受け取れない」場合は、小文字で「アカウント復旧」と呼ばれる手順を実行する必要があるかもしれないと述べています。
FAQに記載されている手順は、ここ数年、多くのサイトでユーザーアカウントへの侵入手段として広く指摘されているソーシャルエンジニアリングや個人情報窃盗の対策に役立つはずです。Appleは「認証済み電話番号」を使って連絡を取りますが、これはApple IDアカウントに関連付けられているものと想定されます。複数の番号を関連付けることができる点も注目すべき点です。
大まかに言えば、ケースを審査し、Apple IDアカウントの正当な所有者であることを証明するための詳細な情報を提供する必要があるというプロセスがあります。FAQには、「このプロセスは、できるだけ早くアカウントにアクセスできるようになり、なりすましの可能性のある人物によるアクセスを阻止するように設計されています」と記載されています。
ベータテスト期間中は、すべてのアカウントが登録できるわけではありません。Appleは、「すべてのユーザーにサービスを提供できるようになるまで、個々のアカウントを段階的に登録可能にしていきます」と述べています。
アカウントが認証資格を満たしている場合、パブリックベータ版のセットアップアシスタントでApple IDを使ってサインインすると、ユーザーに通知が表示されます。Appleによると、ユーザーがオプトインできる場合、「2ファクタ認証」画面が表示されます。
