レビュー
話題の決済サービスだけじゃない、不正アクセスを防ぐ「2段階認証」まとめ
2019年8月13日 06:00
会員登録を必要とするアプリやWebサービスは今や無数にあり、スマートフォンユーザーなら登録しているサービスの数は1つや2つではない人が多いだろう。なんらかの原因で第三者にこれらのIDとパスワードを知られた場合、不正にログインされてしまうリスクがある。
不正ログインを水際で防げる「2段階認証」
推測しやすいパスワードを設定することで容易に突破されてしまう、あるいは大きな騒動となったある決済サービスのように「リスト型攻撃」という危険性もある。
リスト型攻撃とは、複数のサービスでID・パスワードを使い回してしまうユーザーが多いことを逆手に取った手口で、あるサービスのパスワードが流出した際に、そのリストを用いてユーザーが登録している可能性のあるほかのサービスに同じID・パスワードでログインを試行するというものだ。
このような不正利用のリスクを考えると、「推測しやすいパスワード(生年月日、IDと同じなど)を使わない」「パスワードを複数のサービスで使い回さない」ということが鉄則だが、セキュリティに100%の方法はない。
万が一、不正にログインされそうになったときに、水際で阻止できる方法が多要素認証や多段階認証と呼ばれるものだ。
代表的な方法としては、ログインする際に会員情報として登録されている携帯電話番号にSMSで「ワンタイムパスワード」という1回限りの使い捨ての合言葉を送るものがある。これなら、登録されている携帯電話を持っている人、大抵の場合は本人しかログインできないというわけだ。
本記事では、大手キャリアの会員アカウントや代表的なスマートフォン向けサービスにおける、2段階認証の設定方法を紹介する。
dアカウント(ドコモ)
NTTドコモの契約内容の確認や「dTV」などの各種サービスに使われている「dアカウント」では、アカウントに紐付けられたスマートフォンを利用する2段階認証の仕組みが提供されている。
ログイン時に毎回2段階認証が必要になるわけではなく、要求する基準を「強」「弱」から選べる。「強」に設定した場合、普段利用しているブラウザ以外からのアクセスでは常に2段階認証が必要となる。「弱」の場合は、利用状況に応じて最低限のときに2段階認証を要求する。
これらの設定は、dアカウントの公式サイトから変更できる。
au ID(au)
auの会員サービスに用いる「au ID」には、SMS(Cメール)やEメールを使った2段階認証の仕組みがある。
auの場合は全ユーザーに標準で適用される仕様となっていて、特に手続きの必要はない。利便性を重視するユーザーから特に希望があった場合のみ、電話で設定の解除を受け付けている。
My SoftBank(ソフトバンク)
ソフトバンクの契約者向けサイト「My SoftBank」では、契約者情報の照会など個人情報が関わる項目を見るには2段階認証が求められる。他社と同様にSMSを利用する。
Googleアカウント
Androidスマートフォン・タブレットのユーザーであれば欠かせないGoogleアカウントにも、2段階認証を設定できる。SMSを利用する方法のほか、パソコンのUSBポートと「セキュリティキー」と呼ばれる専用デバイスを用いる厳重な設定も可能だ。
特設サイトで、2段階認証が必要な理由、仕組み、設定方法などが詳しく案内されている。
Apple ID
iPhone/iPadユーザーには欠かせない「Apple ID」にも、セキュリティを強化するための2ファクタ認証という仕組みがある。これはApple IDに登録されている携帯電話番号を使ったSMS認証だけではなく、すでに同じApple IDでログインしている他の端末を使った確認、最後にApple IDを使った端末のパスコード(画面ロックの番号)など、複数の要素を利用したシステムとなっている。
SNS系
Twitter、Facebook、LINEなど、主要なSNSにも2段階認証の設定がある。先に挙げた3つのサービスは、いずれもSMSを用いた認証方法。
決済系
「d払い」「au PAY」については先述の通り、ログインに利用するキャリアアカウント自体に2段階認証がある。「LINE Pay」もLINEアプリと同様にSMSを用いた2段階認証に対応している。
「PayPay」もSMS認証があり、パスワードを複数回間違えた場合などには登録されている携帯電話番号にそれを知らせるSMSを配信する。