Wiredのライター、マット・ホーナン氏が週末、凄惨なハッキング被害に遭いました。ハッカーたちは、場違いな創意工夫とちょっとしたソーシャルエンジニアリングを巧みに利用し、彼のiCloudアカウントにアクセスし、iPhone、iPad、Macのドライブを完全消去しました。実際の攻撃は、ホーナン氏のAmazonアカウントに侵入し、そこから得た情報を使ってiCloudアカウントに侵入するというものでした。事態はそこからさらに悪化しました。
AmazonとAppleは、ユーザーをより適切に保護するために、セキュリティポリシーの変更を実施する必要があることは明らかです。そしてHonan氏自身も、Macを定期的にバックアップしていなかったというミスを犯しました。しかし、ハッカーたちがHonan氏のデジタルライフに最初に侵入したのは、なんとGmailの「パスワードを忘れた場合」機能でした。ハッカーたちがHonan氏のメールアドレスをそのフォームに初めて入力したとき、GmailにはHonan氏のMobileMeアカウントの編集版が表示されました:m••••[email protected]。Honan氏は「もしも」を数多く考えていますが、Wired誌の記事を引用すると、大きな疑問が一つあります。「もし彼がGmailで2要素認証を使用していたら、すべてはここで止まっていただろう」ということです。
(注:Google では 2 段階認証と呼んでいますが、「2 要素認証」という名称も一般的です。ここでは同じ意味で使用します。)
2段階認証を理解する
まず、2段階認証とは一体何なのかを明確にしておきましょう。Googleの場合、2段階認証の仕組みは次のとおりです。2段階認証を有効にすると、次回Gmailアカウントにログインする際に、まずいつも通りユーザー名とパスワードを入力します。しかし、受信トレイにアクセスする前に、Googleは別のコードを要求します。
もちろん、そのコードが何なのかすぐには分かりません。そのため、Googleは2段階認証として、あなたが本当に本人であることを確認するために、6桁のコードを含むテキストメッセージをあなたの携帯電話に送信します。(後ほど説明しますが、6桁のコードを取得する方法は他にもたくさんあります。)
そのコードを入力した後でのみ、受信トレイにアクセスできるようになります。
全体的に見ると、プロセスはシンプルに聞こえます。ウェブメールアカウントにログインするだけなら、確かに簡単です。しかし、MacやiOSのメールなど、一部のアプリはまだ2要素認証に対応していないため、複雑な設定が必要になる場合があります。そのため、Googleの2要素認証の設定は少し複雑になります。
Googleの2要素認証を設定する
Google.com にアクセスしてログインします。Google ホームページの右上にある自分の名前または写真をクリックし、「アカウント」を選択します。次に、左側のナビゲーション オプションから「セキュリティ」を選択します。すると、お探しのオプションが表示されます。「2 段階認証」の横にある「編集」ボタンをクリックします。
この時点で、Googleはおそらく再度ログインを求めます。これはセキュリティ強化のためです。パスワードを入力し、「ログイン」をクリックしてください。
次に、Googleは使用するデバイスの電話番号の入力を求めます。電話番号の提供に抵抗を感じるのも無理はありませんが、Googleは「この番号はアカウントのセキュリティ保護にのみ使用する」と約束しています。固定電話番号または携帯電話番号を指定でき、Googleがその番号にコードをテキストメッセージで送信するか、音声通話で送信するかを選択できます。(注:Google Voice番号は使用すべきではありません。Google Voiceアカウントにログインするために必要なコードを取得するためのGoogle Voiceアカウントにアクセスできないという、ジレンマに陥る可能性があります。)
「続行」をクリックすると、数秒以内にテキストメッセージ(または電話)が届きます。そのコードをウェブページに入力し、「続行」をクリックしてください。この段階で初期設定はほぼ完了です。Googleは「このコンピュータを信頼する」かどうかを確認します。この設定は少し不適切な名前です。つまり、これを有効のままにしておくと、ブラウザのCookieを削除しない限り、今後30日間は、そのMacでそのブラウザを使ってGoogleにログインしても2段階認証は行われません。
2段階認証で問題になるものをすべて修正
これで完了だと思った矢先、Googleからちょっとした落とし穴が。一部のアプリは確認コードをサポートしていないのです。例えば、サードパーティ製のメールアプリを使ってPOPまたはIMAP経由でGmailアカウントを確認している場合、そのアプリは2段階認証コードの入力を求めるように設定されていません。
そのため、メールアプリ、Googleリーダーを使用するアプリ、カレンダーやiCalなどでは、特別な使い捨てパスワードを設定する必要があります。こうしたいわゆるアプリケーション固有のパスワードは、好きなだけ生成できます。「iPhoneメール」のように(自分用の記録として)ラベルを付けると、Googleが16文字のパスワードを提示します。このパスワードは二度と取得できませんが、問題ありません。メモする必要はありません。必要な場所にコピー&ペースト(または面倒な再入力)し、「完了」ボタンをクリックしてください。
複数のMacをお使いの場合は、アプリケーション固有のパスワード名をAdium (MBPro)やAdium (MBAir)のように具体的に設定することを検討してください。Googleはアプリケーション固有のパスワードをいつでも無効にできるため、MacBook Airのパスワードが盗まれた場合でも、MacBook Proで余分な作業をすることなく、ログインしてアプリケーションへのアクセスを無効にすることができます。
アプリを1つか2つ忘れているかもしれないと心配しないでください。アプリがパスワードの再入力を要求し始めたら、すぐにそれらのアプリに固有のパスワードを生成する必要があることを思い出すでしょう。
いつでもアカウントにアクセスできるようにする
必要なアプリケーション固有のパスワードをすべて設定したら、さらにいくつか重要な手順があります。Googleプロフィールに戻り、「セキュリティ」をもう一度クリックし、「2段階認証設定を編集」をクリックします。(驚いたことに、パスワードの再確認を求められます。)
画面上部にある「バックアップ用電話番号」の設定を探し、「電話番号を追加」をクリックします。ここで、自宅の電話や別の携帯電話など、他の電話番号をバックアップ番号として設定できます。こうすることで、何らかの理由で携帯電話を紛失した場合でも、Googleアカウントにログインできなくなり、代わりにバックアップ用の電話番号でコードを受け取ることができます。(おそらく、ログインしたらすぐに設定を開いて2段階認証の番号を変更することになるでしょう。)
バックアップ番号をいくつか設定したら、「印刷可能なバックアップコード」オプションを見つけて、「バックアップコードを表示」をクリックします。すると、携帯電話にアクセスできない場合や、携帯電話の電波が届かない場合に使用できる8桁の確認コードが10個生成されます。
これらのコードはそれぞれ1回のみ使用できます。Googleはリストを印刷して財布に入れて保管することを推奨しています。リストをDropboxなどのクラウドに保存しておくと、スマートフォンやGoogleアカウントにアクセスできない場合でもいつでもアクセスできます。ただし、誰かがあなたのGoogleパスワードを解読し、別のクラウドアカウントにも侵入した場合、Googleアカウントにも完全に侵入される可能性があります。新しいバックアップ確認コードのリストはいつでも10個生成できますが、そうすると古いコードはすべて無効になります。
Google 認証システム
テキストメッセージや通話に頼る代わりに、無料のGoogle Authenticatorアプリをインストールできます。アプリをインストールすれば、ネットワーク接続がアクティブでない場合でも確認コードを生成できます。つまり、Wi-Fiや携帯電話の電波が利用できない状況でも、アプリはコードを生成できます。
アプリの初回設定は少し分かりにくいかもしれません。ログインフォームは無視して、画面下部の「バーコードスキャン」ボタンをタップしてください。(表示されない場合は、プラス(+)ボタンを先にタップしてください。)
Googleの2段階認証設定で、「モバイルアプリ」セクションを見つけ、「iPhone」をクリックします。(AndroidとBlackberry用のアプリ(およびリンク)もあります。)Googleが画面に表示するQRコードにスマートフォンをかざすと、アプリがGoogleアカウントの設定を自動的に行います。確認コードが必要になったら、アプリを起動すると新しいコードが表示されます。
安心毛布
2 段階認証は面倒で、設定が少々面倒で、ログインという一見単純な動作に余分な手間がかかります。
もちろん、ドアをロックしたりシートベルトを締めたりするのにも、少し余分なエネルギーが必要です。私たちは安全を確保するために妥協を強いられており、デジタルセキュリティは物理的なセキュリティと同じくらい重要になりつつあります。Googleのサービスを頻繁に利用しているなら、2段階認証は手間をかける価値があるかもしれません。
Lex Friedman は Macworld のスタッフライターです。
