アップルが二段階認証導入、日本にも順次適用

    アップルが二段階認証導入、日本にも順次適用 1

    ついに。

    アップルが、アップルアカウントの管理に二段階認証を導入しました。これは、今まで明らかになっていたセキュリティ上の問題への対応策になります。

    二段階認証を設定すると、まず使用する端末に対してセキュリティコードがSMSかFind My Phoneアプリの通知として送信されてきます。ログインの際は、基本的にはそのセキュリティコードと従来のパスワード両方が必要になります。現在、米国、イギリス、アイルランド、オーストラリア、ニュージーランドではすでに提供開始されていて、日本では未提供ですが、提供地域は順次拡大していくそうです。ただし米国などでもまだ使えない人がいるようで、一部のユーザーには「二段階認証が有効になるまで、3日間お待ちください」といったメッセージが表示されています。

    二段階認証を使っていても、ハッキングを防げないケースももちろんあります。たとえば、ハッカーが言葉巧みにパスワードや個人情報を聞き出したりするソーシャル・・エンジニアリングと呼ばれる手口を使っているケースです。それでも二段階認証導入は、セキュリティ強化の最初の一歩としては評価できます。

    アップルの二段階認証は、セキュリティ用の質問に代わるものになります。セキュリティ用の質問は、たとえば「両親が出会った町」とか「最初に買った車」みたいに、本人を知っていればある程度推測できたり、人によってはソーシャルメディアに答えを書いている場合もあったりして、セキュリティホールになりえます。セキュリティコードがそれを代替することで、その穴を埋めることができます。

    アップルが二段階認証導入、日本にも順次適用 2

    もうひとつ、リカバリー・キーも発行されます。これは緊急用パスワードで、プリントアウトしてどこか絶対安全な場所に保存しておくためのものです。このキーやパスワードのリセットは、「信頼する」としたコンピューターやモバイル機器からのみ行えます。

    他社のサービスでは、もしユーザーがめちゃめちゃな状態になってキーをなってしまったら、カスタマーサポートに連絡すると二段階認証ステータスをリセットできるものもあります。アップルでは以下の画像にあるように「アップルはユーザーに代わってのパスワードリセットはしない」としていますが、仮にその建前に反して手動でのパスワードリセットを許すと、ソーシャル・エンジニアリングに対するぜい弱性が大きくなります。

    アップルが二段階認証導入、日本にも順次適用 3

    今のところ、二段階認証はアップルの全サービスには適用されていないように見えます。試しにあるアップルアカウントに二段階認証設定してから、未認証の端末でそのアカウントにログインしたら、物を買うところまでできてしまったんです。アップルのサイトで二段階認証設定するときには「これから、あなた(または第三者)がアカウントに変更を加えたり、iTunesやApp Storeで新規デバイスから購入したりするには、お持ちのデバイスからの認証が必要になります」と書かれてたんですが、ちょっと謎です。

    ともあれ、ハッキング事件が次々に起こっている今日この頃。セキュリティのハードルがちょっと上がるのは、手間は増えるけど良いことですね。

    Kyle Wagner(原文/miho)