2段階認証でガードしよう!ただしがアカウントを乗っ取られたようです。

原チャリで交差点曲がるんだし? 2段階認証やセキュリティ,不正ログインを交えながらわかりやすく解説

2016/07/07

メリージェーン

2

2段階認証 セキュリティ 不正ログイン ライフハック スパム ログイン ブルートフォース アカウント メール Google

  • facebook share
  • line
  • このエントリーをはてなブックマークに追加
  • なにやら、ただしのもとに怪しげなメールが届いたようです。 嫌な予感しかしませんが…はたして?

  • サトル、ちょっと相談があるし。 聞いてくれし〜

  • どうしたんだ?

  • なんかGoogle様からこういう内容のメールが来てたし。

    最近、他のユーザーがあなたのパスワードを使ってあなたの Google アカウント(◯◯◯@gmail.com)にログインしようとしました。このユーザーは、メール クライアントなどのアプリケーションや携帯端末を使用していました。

    Google では、このアカウントへのアクセスが不正使用のおそれがあるため、このログインをブロックしました。ログインの詳細について、以下の情報をご確認ください

  • ほうほう、おまえ、不正ログインされてるね。

  • へっ、どういうことだし?

  • その文章の中でログインしたエリアってのが記載されているはずなんだが、わかるか?

  • …ロシアのモスクワからログインされてるし!!

ワロタ
www
  • お前は今どこ住まいだ?

  • もちろん、日本だし!

  • だよな。つまり、お前のIDとパスワードが不正に流れて、見知らぬ他人がお前のアカウントにログインしたんだ。

  • アクセスされたら、スパム送信の踏み台にされたりするのが一般的だな。お前のアカウントを利用して、知り合いや他の人にスパムを送られるんだ。

  • 知らないところで送られるのは気持ち悪いし〜!

  • Googleに接続できるオンライン環境であれば、どこからでもサービスにアクセスできるから、それを逆手にとってIDとパスワードのセットが盗まれたり、あるいはIDのみを入手した悪意ある第三者が、「ブルートフォース」(辞書攻撃)のようなパスワード解析手法を使って強引にログインすることで、セキュリティが破られてしまう危険性がある。

  • うわーそんなことになってるんだし。。

  • お前はもうセキュリティ破られたって事だから、対策としてパスワード変更だけではなく、2段階認証も導入した方が良さそうだ。

  • それはやってるし! 原チャリ免許が免停になってから、ちゃんと向こう側に渡ってから、信号が変わったら右折するようにしてるし!

  • そりゃ二段階右折だろ。 2段階認証だよ。

  • 「2段階認証」ってなんだし?

  • Gmailなどのサービスを利用する場合、通常はGoogleアカウントのログイン時に「アカウント名」(ID)と「パスワード」を入力し、これで認証を行なうのが普通だ。

  • そうだし!僕もそれでログインしてるし!

  • その従来のID+パスワードという組み合わせに加えて、「認証コード」と呼ばれる6桁の数字の入力を追加で求めることで、セキュリティを強化するのが2段階認証の狙いとなる。この認証コードは一定ではなく、時間経過やログインのたびに変化するため、突破するのはかなり困難と言われてる。

  • へーそうなんだし。

  • 「パスワードをかなり複雑なものにしていたのに、Googleアカウントが乗っ取られた」っていう報告もあるくらい、ID+パスワードの組み合わせは必ずしも安全なものではない。だから、もし一連のGoogleアカウント乗っ取りに不安を覚えるようなら利用してみるといいよ。

  • 意外にセキュリティは簡単に破られるんだし。。

  • 2段階目の認証プロセスとなる「認証コードの入力」については、最初に設定画面でログイン時に2段階認証が求められるよう設定しておく。

  • ふむふむ、それでどうするんだし?

  • その認証コードは、携帯電話へと送信される。つまり2段階認証を使うには、認証コードを受け取るための携帯電話が必要になる。まあタブレットでもできる可能性はあるがな。受け取りに使う携帯電話の電話番号を指定して、SMSによるメール送信、または音声通話でのボイスガイドのいずれかで、通知を受け取ることを選択する。

  • これって毎回携帯に送られてくる認証コードを入力する必要があるんだし?

  • そうだよ。

  • それってかなりめんどくさいんだし??

  • 面倒だが、アカウントを乗っ取られないようにするにはこれしかない。話の続きだが、もう一度ログイン画面に戻り、ここでIDとパスワードを入力すると「2段階認証プロセス」という画面が表示される。この瞬間、先ほど認証コードの受け取り先に設定した携帯電話に、SMSかメールが到着する。

  • なるほどだし。

  • その中に6桁の数字が記されている。これが認証コードで、この数字を先ほどの画面に入力することで、2段階目の認証が行なわれてGmailの受信トレイが表示されるというわけだ。

  • 安心するけど、やっぱり面倒だし。

  • どうしても面倒な場合は、先ほどの認証コード入力画面で「このパソコンでは今後、コード入力ウインドウを表示しない」にチェックを入れると、以後そのパソコン・デバイスでのログインでは、2段階目の認証は発生せず、従来どおりのID+パスワードの組み合わせのみでログイン可能になる。

  • それを求めてたんだし!

  • 昨今このような乗っ取りはグーグルアカウントだけじゃなく、他のサービスでも同様に発生してる。Twitterとかfacebookとか、LINEとかな。

  • あらゆるところで乗っ取りの被害は出てるんだし。

  • facebookやLINEは個人で使用するものだから、なりすましで変なメッセージを送られたら大変なことになるだろ?

    LINEのアカウントも、自分の友達にお前になりすました第三者が変な物を売りつけたり、宗教の勧誘をしたりしたら、お前自身の信用も失いかねない。

  • そんなの絶対にいやだし! 友達を失うのは阻止するしー!

  • って言っても、お前に友達がそこまでいるとは思えんが。。

  • そんなことないし。facebookの友達は10人いるし!

  • ...10人少ないよ。

  • これからもっと増える予定だし!

  • facebokに関しては、2011年の情報だと1日当たり10億回以上のログインが行われ、そのうちの0.06%に当たる60万件以上がアカウント乗っ取りのログインだとされていたそうだ。この数字を多いと感じるか、少ないと感じるかは人それぞれだが、俺は多いと感じたね。

  • 60万件はものすごい数なんだし。。 ちなみに、2段階認証を破ることは可能なんだし?

  • 狙える隙があるとすれば秘密鍵を共有する時って言われてる。

    TOTP は UNIX Time をシードにしているから、秘密鍵さえわかってしまえば第三者が自由にワンタイムパスワードを生成できる。

  • 何を言ってるのかさっぱりわからないし。。

  • つまり秘密鍵がわかれば、アクセス可能ってことだ。 サーバ側とクライアント側に分けて秘密鍵が漏れるシチュエーションを考えてみるぞ。クライアントってのは、お前が使ってるパソコンとかスマホとかの端末だ。

    サーバ側では、QR コードの画像が HTTP で配信されている時、QR コードのファイル名が他者から容易に想像でき認証がなくても見れる、と想定されるが、実際はどちらも考えにくい。

  • クライアント側ではどうなんだし?

  • クライアント側は、QR コードを画面に表示したまま席を立つなどして他者に読み取られる。 スマホのバックアップファイルに他者がアクセスできる、などが考えられるが、これらもユーザー側が気をつけていれば防げる問題だ。

  • 秘密鍵を総当りで試すことも考えたが、仮に秘密鍵が英数字の 62 文字から成り立っているとしても 62 × 64 パターンあるので現実的ではない。

    つまり、2段階認証を破ることは技術的にハードルが高く、総当りするにしても労力に見合わないということだ。

  • うーん… 細かいところは難しくて結局わからないけど、つまりは勝手に入られないように、家に鍵を2つつけるようなものだし!

    安心だけど、めんどいし〜

  • LINEとかGoogleとか2段階認証設定できる物は、すべて設定しておくし!!これでバッチシだし!

  • おわり

Copyright © VOYAGE GROUP, Inc. All Rights Reserved.