芸能人のiCloudやFacebookが不正ログインされる被害が発生した。標的になったこれらサービスには、いくつかの防止策が用意されていたのだが、活用されていなかったのかもしれない。サービスのセキュリティ機能を有効にし、安全性を高めよう。
標的になったiCloudとFacebookを例に、不正ログインを見過ごさないようにする方法と、パスワードを破られても不正ログインされないようにする方法をご紹介する。他のサービスでも同じようなセキュリティ機能が提供されていることがあるので、ぜひ有効に活用していただきたい。なお、iCloudでは「サインイン」、Facebookでは「ログイン」と表記されていることが多いが、ここでは、実際の表記の引用以外は「ログイン」に統一する。
■iCloudのセキュリティ機能
2014年に海外のセレブ(女優やモデル、歌手)のプライベート写真がiCloudから流出して拡散する事件が発生し、甘かったiCloudのセキュリティが強化された。そのひとつが、iCloudへのアクセスを通知する機能だ。
○ログイン通知
2014年の流出事件後の対策で、ブラウザやアプリがiCloudにアクセスした際には、Apple IDに登録したメールアドレス宛てに通知が送られてくるようになった。「Apple IDを管理(My Apple ID)」の「セキュリティ」セクションには、アカウントの設定変更などのセキュリティに関する重要な操作が行われた際に通知を送る「通知用メールアドレス」の設定があるが、ログイン通知はそれではなく、Apple IDのメールアドレスに送られてくるので注意していただきたい。いち早く不正ログインに対処できるように、リアルタイムで通知が受け取れるメールアドレスにしておくことをお勧めする。
○不審なログインや端末の排除
iCloudの「設定」の「詳細設定」セクションにある「すべてのブラウザでサインアウト」を実行すると、現在ログイン中のすべてのブラウザを強制的にログアウトすることができる。「サインインしたままにする」が指定されたブラウザも、自分自身も追い出され、次回のログイン時には本人確認が必要になる。
ログイン中の一部の端末は、「Apple IDを管理」の「デバイス」セクションで確認したり削除したりすることができる。表示される端末は「Apple ID のデバイスリストを調べて Apple ID でサインインしているデバイスを確認する」に詳しいが、「iCloud for Windows」で同期しているWindows端末もここに表示され、次の「2ファクタ認証」を設定している場合は、削除すると再認証するまでサービスが利用できなくなる。
○2ステップ確認/2ファクタ認証
「2ステップ確認」は、ログイン時に通常のID/パスワードに加え、SMSまたは「iPhoneを探す」の通知で送られてくる、4桁の使い捨ての確認コードの入力を必要とする認証方式だ。「2ファクタ認証」はその改良版で、iPhoneなどのモバイル端末用OS「iOS 9」および、Mac用OS「OS X El Capitan」から利用できる認証方式で、6桁の使い捨ての確認コードを使用する。これらを有効にしておけば、ID/パスワードが破られても確認コード受信用の端末がないとログインできず、不正ログインを防ぐことができる。
2014年の流出事件当時、「2ステップ確認」はすでに提供されていたが、iCloudに対応しておらず、事件を受けて急きょ対応した。今回の不正ログインが行われた当時は、対応済みだったので、利用していれば侵入されることはなかった。
「2ステップ確認」は、「Apple IDを管理」の「2ステップ確認」セクションで設定すると利用できるようになる。初期設定時には、確認のコードをSMSで受け取るための電話番号が必要だ。「2ファクタ認証」は、iOS端末の場合は[設定]アイコンから[iCloud]→[パスワードとセキュリティ]→[2ファクタ認証を設定]の順に選択。OS Xは、Appleメニューから[システム環境設定]→[iCloud]→[アカウントの詳細]の順に選択して設定すると、利用できるようになる。初期設定時には、確認コードをSMSまたは音声通話で受け取るための電話番号が必要だ。
<関連URL:アップル>
・iCloud
https://www.icloud.com/
・Apple IDを管理(My Apple ID)
https://appleid.apple.com/
・Apple ID を変更する
https://support.apple.com/ja-jp/HT202667
・Apple ID のデバイスリストを調べて Apple ID でサインインしているデバイスを確認する
https://support.apple.com/ja-jp/HT205064
・Apple ID の 2 ステップ確認についてよくお問い合わせいただく質問 (FAQ)
https://support.apple.com/ja-jp/HT204152
・Apple ID の 2 ファクタ認証
https://support.apple.com/ja-jp/HT204915
■Facebookのセキュリティ機能
iCloudと同様のセキュリティ機能は、Facebookにも用意されている。
○ログインアラート
誰かがログインした際に通知を送る「ログインアラート」は、Webのメニューから[設定]→[セキュリティ]→[ログインアラート]、またはアプリのメニューから[アカウントの設定]→[セキュリティ]→[ログインアラート]の順に進むと設定できる。
○不審なログインや端末の排除
Webのメニューから[設定]→[セキュリティ]→[ログインの場所]、またはアプリのメニューから[アカウントの設定]→[セキュリティ]→[進行中のセッション]の順に進むと、Facebookアカウントに最近ログインしたブラウザや端末が表示され、アクセス日時やだいたいの場所などが確認できる。[終了]や[×]を押せば、強制的にログアウトさせることができる。
Webのメニューから[設定]→[セキュリティ]→[ブラウザとアプリ]、アプリのメニューから[アカウントの設定]→[セキュリティ]→[認証済み機器]と進むと、承認済みのブラウザやアプリが表示される。承認済みとは、ログイン時にログインアラートが通知されず、次項のログイン承認も不要と登録したアプリやブラウザのこと。[削除]や[×]を押すとこの承認を取り消し、初めてログインする時と同じ未確認扱いになる。
○ログイン承認
ログイン時に通常のID/パスワードに加え、6桁の使い捨てのログインコードの入力が必要になる認証方式だ。Facebookでは2011年に導入しており、これを利用していれば侵入されることはなかった。
使い捨てのログインコードは、SMSで送られてくるものとFacebookアプリ付属のコードジェネレータで生成するものが利用できる。コードジェネレータは、Goolgleの2段階認証などで使われているものと同じコード生成方式なので、汎用の認証コード生成アプリでも代用可能だ。
ログイン承認を有効にするには、Webのメニューから[設定]→[セキュリティ]→[ログイン承認]の順に進むか、アプリのメニューから[アカウントの設定]→[セキュリティ]→[ログイン認証オン]の順に進み設定する。設定には、SMSが受信できる電話番号が必要だ。
<関連URL:Facebook>
・追加のセキュリティ機能
https://www.facebook.com/help/413023562082171/
(2016/05/27 ネットセキュリティニュース)