Appleは先週、Google、Dropbox、PayPal、Facebookなど、ますます多くのサイトに続き、Apple IDアカウントにオプションの2ファクタ認証をひっそりと追加しました。この追加認証レイヤーは、iTunes StoreやApp Storeでの購入、iCloudへのログインやデータ共有、Appleからのサポートなど、数百万のMacおよびiOSユーザーが利用している、ますます重要になっているApple IDアカウントを保護するのに役立ちます。
任意ではありますが、2ファクタ認証をできるだけ早く有効にすることをお勧めします。オンライン犯罪者は、不正に入手したApple IDアカウントを利用してクレジットカードから金銭を詐取したり、デジタルIDを乗っ取ったりすることができるため、パスワードの盗難を心配する必要はもうありません。面倒に感じるかもしれませんが、設定には注意が必要ですが、Appleの2ファクタ認証があなたの生活に大きな影響を与えることはありません。Appleによると、2ファクタ認証が適用される状況は以下の3つのみです。
- アカウントを管理するために My Apple ID サイトにサインインするとき。
- 新しいデバイスからiTunes Store、App Store、または iBookstore から購入する場合。
-
Apple から Apple ID 関連のサポートを受ける場合。
セキュリティ方程式の因数分解 — 2要素認証における「要素」とは、ログインを成功させるために知っておく必要がある、または所持している2つの異なる秘密要素を指します。最初の要素は通常、Apple IDと同様にパスワードです。2番目の要素は「帯域外」要素です。これは、別途用意されたハードウェアまたは別途登録されたソフトウェアを使用してのみ認識または作成できるコードです。帯域外要素は、既にパスワードを知っている人やコンピュータにアクセスした人が、同じ手段で2番目の要素も入手できないようにするために重要です。
かつては二要素認証は不安定でしたが、オンライン犯罪の増加に伴い、サポートが広がっています。私は PayPal/eBay 用と E*Trade 用にそれぞれキーフォブを 2 つ持っており、これらのサービスにログインするたびに 6 桁の番号を入力する必要があります。この番号は 1 分ごとに変わります。Google は、iOS、Android、BlackBerry 用のモバイル アプリ「Google Authenticator」を提供しており、これ
を Google アカウントに関連付けると、より便利に同様のコードを取得できます。Dropbox でも Google Authenticator を使用できます。これは、アプリ内で別途登録して生成されたエントリを使用するので便利です。Facebook でさえ、SMS テキスト メッセージと Facebook iOS アプリの両方で二要素認証を提供しています。アプリのない他の多くのサービスも、帯域外コンポーネントを提供するために、ユーザーが管理するモバイル デバイスに SMS テキスト メッセージでコードを送信しています。
この二要素認証は、Appleが長年、他の多くの企業と同様に頼ってきた「セキュリティ質問」に代わるものです。これらの質問は通常、「学生時代の親友は誰でしたか?」といった選択肢から選ばれます。しかし、質問は曖昧な場合があり、Google、Facebook、その他の個人情報サービスを検索して個人情報を盗み出すなりすまし犯によって簡単にハッキングされてしまう可能性があります。(
ジョー・キッセルは著書『Take Control of Your Passwords』の中で、セキュリティ質問ごとに、本当の答えではなく、実質的にパスフレーズのようなものを用意することを推奨しています。)
さらに悪いことに、マット・ホナンが自身のアカウントを乗っ取られた際に詳細に記録しているように、クラッカーはソーシャルエンジニアリングとパスワードリセット手順の論理的欠陥を組み合わせてアカウントを乗っ取ることがあります。かつてAmazonは、クレジットカードの下4桁を登録していれば、電話でメールアドレスを追加できるようにしていました。しかし、クレジットカードも電話で追加できました。クラッカーは、1回の通話でクレジットカードを追加し、一旦電話を切ってから、盗んだ(ただしまだ有効な)カード番号、または偽造した(ただし有効な方法で作成された)カード番号を使って、自分のメールアドレスを追加できることに気付きました。こうして、
自分のメールアドレスにパスワードリセットメッセージが届くのです。
ホナン氏は、Amazon アカウントがあれば、攻撃者がそのアカウントに保存されている他のクレジットカード番号の下 4 桁を閲覧し、その情報を使ってパスワードをリセットしたり、Apple ID や他のサイトのアカウントに電子メール アドレスを追加したりできることを文書化しました。
これらの攻撃は、攻撃者がパスワードをリセットし、標的のロック解除されたデバイスを物理的に所持しているか、標的宛てのSMSメッセージを傍受している場合にのみ成功します。個人を標的とした高度な攻撃、例えば政府や企業のスパイ活動に関与している人物、あるいは非常に厄介な離婚事件などの場合、二要素認証だけでは不十分かもしれませんが、よくある身元情報へのドライブバイアタックを防ぐには十分すぎるほどです。
決定の要素を検討してください— Apple の 2 要素認証を設定する前に、新しい方法には長所と短所があるため、切り替え後の将来がどうなるかを検討してください。
良い面としては、次の点を考慮してください。
- あなたのパスワードだけを知っている泥棒は、パスワードを変更したり、Apple に電話でアカウントの変更を依頼したり、アカウントにアクセスして新しいデバイスから iTunes Store、App Store、iBookstore で購入したりすることはできません。
-
答えて覚えておく必要があるセキュリティの質問はもう必要ありません。
-
パスワードを忘れた場合や侵害されたと思われる場合は、(リンクされたデバイスと以下に説明する特別な回復キーを使用して)安全にパスワードをリセットできます。
しかし、欠点もいくつかあります。
- 特定のiOSデバイスでSMSメッセージを受信できるか、または「iPhoneを探す」経由で通知が設定されている必要があります。(Appleは、SMSメッセージの受信と「iPhoneを探す」の両方に特定のハードウェアの物理的な所有が必要であると考えているようですが、たとえばiMessage経由で送信されたメッセージは複数のデバイスに表示される可能性があります。)
-
非常に複雑なシナリオでは、アカウントへのアクセスを永久に失う可能性があります。可能性は低いですが、起こり得ます。Appleのサポートノートに記載されているように、アカウントへのアクセスをリセットするには、アカウントのパスワード、アカウントに関連付けられた「信頼できる」デバイスへのアクセス、そして最後の手段として2要素認証を設定したときに生成された特別な回復キーのうち2つが必要です。しかし、これらのうち1つしか持っていない場合、または全く持っていない場合、アカウントは永久に使えなくなります。「新しいApple IDを作成する必要があります」とAppleは記載しており、これは間違いなく面倒な作業です。
2 要素認証では保護されないアクセスが 2 種類あります。
- パスワードを知っているだけでメールにアクセスされることを防ぐことはできません。me.com、mac.com、icloud.com などのアドレスから、アカウント名とパスワードさえ知っていれば、あなたのメールにアクセスできてしまう可能性があります。そうなると、Apple が管理するアドレスを使って設定した他のサービスのパスワードも、攻撃者にリセットされてしまう可能性があります。
-
パスワードだけで iCloud Web サイトにログインし、メール、連絡先、カレンダー、メモ、リマインダー、クラウド内のドキュメント、さらにはデバイスを消去できる「iPhone を探す」など、そこにあるすべてのサービスを使用できます (バックアップを取っているんですよね?)。
最後に、過去数日間に Apple ID アカウントに重大な変更を加えた場合、Apple は 3 日間二要素認証を有効にできないようにします。また、Apple ID のパスワードが Apple の基準からすると弱すぎる場合 (「FlippedBITS: パスワードに関する 4 つの神話」、2013 年 3 月 20 日参照)、Apple はパスワードの変更を強制し、その後 3 日間待つように要求します。
Apple の 2 要素認証を有効にする— 準備が整ったら、サポート対象国にお住まいの場合は Apple のサポートノートに記載されている手順に従ってください。または、以下の弊社のバージョンをお読みください。(Apple は、米国、英国、オーストラリア、アイルランド、ニュージーランドで 2 要素認証を展開しており、今後さらに対象国を拡大していく予定です。おそらくローカライズの問題でしょう。)
- My Apple ID サイトに移動し、「Apple ID を管理」をクリックして、現在のアカウント情報を使用してログインします。
-
左側の「パスワードとセキュリティ」をクリックし、表示されるセキュリティの質問に答えて、「続行」をクリックします。
-
「2 段階認証」の見出しと上部のテキストの下にある [開始する] リンクをクリックします。
-
その後、Appleは情報、特典、警告を示す3つの画面を表示します。それぞれを読み、最初の2つで「続ける」をクリックし、最後の1つで「始める」をクリックします。
-
Appleは、アカウントに関連付けられているiOSデバイスのリストを表示し、携帯電話のSMS番号を追加できるようにします。デバイスの確認が完了したら、「続行」をクリックしてください。
- 「確認」をクリックすると、Appleは「iPhoneを探す」経由で関連付けられたデバイスにコードを送信します。しかし、デバイスがPINでロックされている場合、SMSやiMessageとは異なり、Appleはコードを取得するためにまずiOSのロックを解除するよう促します。「iPhoneを探す」は1つのApple IDにしか関連付けられないため、複数のApple IDをお持ちの場合は問題が発生する可能性があります。例えば、
[email protected]iPadでカレンダーや連絡先を管理するために を使用している場合、そのアカウントが「iPhoneを探す」で使用され、そのiPadを で登録された別のApple IDに関連付けることはできません[email protected]。 -
「SMS対応の電話番号を追加」をクリックすると、AppleはSMSメッセージでコードを送信します。これは、「iPhoneを探す」で別のApple IDに紐付けられたiPhoneや、全く別の携帯電話(信頼できる人の携帯電話でも)を接続する場合に有効です。嬉しいことに、SMSメッセージは無料です。
- 「確認」をクリックすると、Appleは「iPhoneを探す」経由で関連付けられたデバイスにコードを送信します。しかし、デバイスがPINでロックされている場合、SMSやiMessageとは異なり、Appleはコードを取得するためにまずiOSのロックを解除するよう促します。「iPhoneを探す」は1つのApple IDにしか関連付けられないため、複数のApple IDをお持ちの場合は問題が発生する可能性があります。例えば、
-
Appleは現在、14文字の復旧キーを提供しています。このキーを紛失した場合、誰も復元することはできません。「続ける」または「キーを印刷」をクリックして続行してください。Appleは復旧キーを書き留め、Macに保存しないことを推奨しています。これは妥当なアドバイスですが、強力な暗号化でアイテムを保存できるツール(1PasswordやYojimboなど)を使用し、そのツールのデータベースをコンピュータに保存されていない強力なパスワードで保護している場合は、危険を冒す必要はありません。
-
本当にメモしたことを証明するために、回復キーをもう一度入力する必要があります。もう一度入力して「確認」をクリックしてください。キーが正しく入力された場合のみ、このボタンが点灯します。
-
最後の警告画面では、アカウントのリセットに必要な要素のうち2つまたは3つを失った場合、人生がどれほど台無しになるかを改めて説明されます。「上記の条件を理解しました」を選択し、「2段階認証を有効にする」をクリックします。「セキュリティ設定の管理」ページに「2段階認証が有効です」と表示されます。
その後すぐに、すべての関連アカウントに変更の通知メールが届きます。私のアカウントには数秒以内に届いたので、本当にすぐです。
それ以降は、My Apple IDサイトの「My Apple IDの管理」セクションなど、Appleの保護されたサービスにアクセスするたびに、どの認証方法を使用するか尋ねられます。選択して続行すると、コードが送信されます。そのコードを入力すれば完了です。
万能のソリューションではありません— 2 要素認証は、検証や個人情報の盗難に関連するすべての問題を解決するわけではありませんが、アカウント乗っ取りのパスワード リセット、新しいデバイスでの Apple 関連サービスによる購入、電話ベースのソーシャル エンジニアリングなど、いくつかの重要な問題を解決します。
私自身はアイテム購入用のアカウントでこの機能をオンにしており、皆さんにも同様に有効にすることをお勧めします。ただし、始める前に、必要なデバイス(適切なApple IDに紐付けられているもの)がすべて揃っていること、そして手元にあることを確認してください。