SNSのアカウントが乗っ取られる「成りすまし事件」がしばしば発生しています。被害は著名人だけでなく一般の人々にも及んでおり、「成りすまし投稿」や、知り合いにプリペイドカードの購入を依頼して騙し取るといった事件が報告されています。人気の高いSNSでは、こうした被害を防ぐために、IDとパスワードを盗まれてもそれだけではサービスが利用できないようにする「2段階認証」を提供しています。今回は、フェイスブック、ツイッター、インスタグラムのアカウン乗っ取りを防ぐ「2段階認証」をご案内します。
<INDEX>
■Facebookの「2段階認証」設定
表示と検索に関する設定
■Twitterの2段階認証「ログイン認証」設定
メールアドレスや電話番号の照合を防ぐ/第三者による「パスワードリセット」のリクエストを防ぐ
■Instagramの「2段階認証」設定
■トラブルを防ぐ「アプリ連携」の確認と解除方法
Facebook/Twitter/Instagram
<以下本文>
Facebookの「2段階認証」には、SMS、一般的なTOTP方式の認証アプリ、Facebookの公式アプリに組み込まれている「コードジェネレータ」、アプリへの通知、U2F(Universal 2nd Factor)規格に対応したセキュリティキーが利用できます。この中で、初めてセットアップする際に利用できるのは、SMSまたは認証アプリだけです。他は、セットアップ後に別の手段として追加します。
2段階認証の有効化は、Webサイトは右上の▼メニューから、iOSは右下の、Androidは右上のメニューアイコンから、それぞれ[設定]→[セキュリティとログイン]と進み、[2段階認証を使用]を選択します。
図1 Facebookの2段階認証設定(左:iPhone、右:Webサイト)
指示に従って操作するとセットアップが完了し、2段階認証が有効になります。セットアップ後は、他の手段が追加できるほか、ログインしている別のブラウザやアプリに届く確認メッセージでログインを承認する方法も利用できるようになります。未承認の環境からログインしようとすると、ログイン中の端末にログイン確認のお知らせが届くので、指示に従って進み[私です]をタップすると、コードを入力しなくてもログインできます。
「2段階認証」のページの[リカバリーコード]では、ログインできない状況下でもログインに使用できるコードが取得できます。必ず取得し、印刷するなどして大切に保管しておきましょう。
●表示と検索に関する設定
Facebookは、登録情報や投稿内容などの公開範囲を個別に細かく設定できます。メールアドレスや電話番号に関しては、表示設定と、これらを使って自分を検索できるかどうかの設定があります。検索できるようにすれば、知り合いに見つけてもらいやすくなりますが、それを望まない場合は制限しておきましょう。
表示設定は、自分のプロフィール等で公開範囲を設定し、[自分のみ]に設定すれば非公開になります。検索に関する設定は、Webサイトはメニューから[設定]→[プライバシー]に進み、公式アプリは[設定]→[プライバシー設定]に進みます。ここで、[メールアドレスを使って私を検索できる人]と[電話番号を使って私を検索できる人]で、[全員][友達の友達][友達]のいずれかに設定します。
<関連記事:Facebook>
・2段階認証の概要とそのしくみ
https://www.facebook.com/help/148233965247823
Twitterでは、2段階認証を「ログイン認証」と呼んでいます。SMSと一般的なTOTP方式の認証アプリが利用できますが、利用には、SMSを受信できる携帯電話番号が必須です。
ログイン認証の有効化は、Webサイトの場合は右上の自分のアイコンから[設定とプライバシー]→[ユーザー情報]と進み、[セキュリティ]欄の[ログイン認証を設定]をクリックして指示に従います。
公式アプリは、左上の自分のアイコンから[設定とプライバシー]→[アカウント]→[セキュリティ]→[ログイン認証]と進み、[ログイン認証]をオンにして指示に従います。
SMSを受け取る電話番号は、登録済みのもの、または設定の過程で登録します。登録した電話番号宛てにSMSで届くコードを入力して電話番号を認証すると、[ログイン認証]が有効になり、[テキストメッセージ]でオン/オフが行えるようになります。
図2 Twitterのログイン認証設定(左:iPhone、右:Webサイト)
登録完了時には、ログインできなくなった際に、登録した端末なしでも認証できる、特別な「バックアップコード」が取得できるので、印刷するなどして大切に保管しておきましょう。バックアップコードは、[ログイン認証]のページでいつでも取得できます。
[ログイン認証]が有効になると、[モバイルアプリセキュリティ]で、認証アプリをセットアップできるようになります。SMSと認証アプリは、それぞれ個別にオン/オフできます。テキストメッセージをオフにすればSMSが無効になりますが、電話番号は登録したままでなければいけません。電話番号を削除するとログイン認証そのものが無効になります。
●メールアドレスや電話番号の照合を防ぐ
Twitterに登録したメールアドレスや電話番号は、公開されることはありませんが、他のユーザーがアップロードした連絡先に含まれていた場合には、そのユーザーに通知されます。知り合いに見つけてもらいやすくなりますが、それを望まない場合は、「セキュリティとプライバシー」の設定で、「メールアドレスの照合と通知を許可する」「電話番号の照合と通知を許可する」をオフにしておきます。
●第三者による「パスワードリセット」のリクエストを防ぐ
Twitterのパスワードリセットは、登録してあるメールアドレス、電話番号、ユーザー名のいずれかを入力するとリクエストできます。間違った指定やいたずらなどで第三者によるリクエストが行われることがあり、その度にパスワードリセットのメールが届きます。単独の情報ではリクエストできないようにしておくと、第三者の操作を抑制できます。
Webサイトは、自分のアイコンから[設定とプライバシー]→[ユーザー情報]と進み、[セキュリティ]欄の[パスワードのリセットに個人情報を使う]をチェックします。 公式アプリは、自分のアイコンから[設定とプライバシー]→[アカウント]→[セキュリティ]と進み、[パスワードリセットの保護]をオンにします。こうしておくと、リクエストする際に登録した電話番号やメールアドレスの入力が必須になります。
<関連記事:Twitter>
・ログイン認証を使用する方法
https://help.twitter.com/ja/managing-your-account/two-factor-authentication
Instagramの「2段階認証」で利用できるのは、SMSだけです。利用には、SMSを受信できる携帯電話番号が必須です。
有効化は、Webサイトの場合はプロフィールに移動し、歯車アイコンをクリックして[プライバシーとセキュリティ]を選択し、下の方の[2段階認証をオンにする]をクリックして指示に従います。
公式アプリの場合は、iOSは歯車アイコン、Androidは右上のメニューアイコンをタップし、下の方にある[2段階認証]をタップします。[セキュリティコードをオンにする]をオンにし指示に従います。
図3 Instagramの2段階認証設定(左:iPhone、右:Webサイト)
設定が完了すると、ログイン時にセキュリティコードの代わりに認証に使用できる「バックアップコード」が表示されます。印刷するなどして大切に保管しておきましょう。このバックアップコードは、[2段階認証]のページでいつでも取得できます。
バックアップコードは、その場でスクリーンショットが撮ることができますが、端末内に保存したままだと、端末紛失時の役には立たないのでご注意ください。ログインできなくなってしまった時に速やかに救済できる手段は、これしかありません。
<関連記事:Instagram>
・2段階認証とは何ですか。使用方法を教えてください。
https://help.instagram.com/566810106808145
SNSサービスには、他のアプリやサービスと連携する機能が用意されています。他のアプリやサービスに、SNSのアカウントへのアクセスを許可し、機能の一部を利用できるようにするものです。利用できる機能は、サービスや連携するアプリによって異なりますが、不用意なアプリ連携によって、自身や友達の情報が取得されたり、勝手にフォローや「いいね」を押されたり、身に覚えのないメッセージが投稿されたりといった、不正ログインとよく似た被害が発生することがあります。こうした問題が生じた場合には、不正ログインをだけでなく、覚えのないアプリや不要なアプリを連携していないかどうかも確認しましょう。
・Facebook
Webサイトやアプリのメニューから[設定]→[アプリとウェブサイト]と進むと、FacebookアカウントでログインしたサービスやFacebookアカウントへのアクセスを許可したアプリの管理が行えます。
・Twitter
自分のアイコンからWebサイトは[設定とプライバシー]→[アプリ連携]へ進み、アプリは[設定とプライバシー]→[アカウント]→[連携しているアプリ]へと進むと、アカウントへのアクセスが許可されているアプリの管理が行えます。
・Instagram
Webサイトにログインし、プロフィールの歯車アイコンをクリックして[許可済みのアプリ]を選択すると、Instagramアカウントへのアクセスを許可したアプリの管理が行えます。
(執筆:現代フォーラム/鈴木)