SNSなどのアカウントを保護するための手段として、多要素認証(MFA、multi-factor authentication)が注目されています。さまざまなサイバー攻撃に関する話題が連日のように報道される中、アカウントにログインする際に、パスワードともう一つの認証の手段を設定することがますます欠かせなくなっています。
そもそも、なぜ多要素認証が大事なのでしょうか?
Equifax、Marriott、Facebookなどの企業が近年サイバー攻撃の被害を受けましたが、その際、ユーザーが多要素認証を設定していればアカウントの不正利用は防げたと言われていることから、アカウントを保護するための手段として注目が高まっています。
そこで、Googleは昨年、すべてのアカウントで多要素認証の有効化をデフォルトで設定したり、GitHubも、コードを投稿するすべてのユーザーに多要素認証の使用を2023年末までに義務付けると発表したりと、企業側の対策も見られるようになりました。その一方、その有用性の割に、多要素認証への懸念を示す人は少なくありません。
この記事では、多要素認証にまつわる様々な疑問や思い込みについてご紹介します。あなたの会社、友人、家族などが多要素認証の導入を検討する際に出てくる質問も含まれているかもしれません。ご参考になれば幸いです。
1. 複数のアカウントで同じパスワードを長年使っているけれど、乗っ取られたことは一度もありません。それでも多要素認証は必要でしょうか?
多くのユーザーがあなたと同じように必要性を疑っているようです。しかし、ユーザーが自覚していないだけで、アカウントが情報漏洩などの被害に遭っている可能性もあります。メールアドレスが流出しているかどうかが気になる方は、Have I Been Pwned? や Avast Hack Check にアクセスして、自分のメールアドレスを入力すれば、流出の有無を確認できます。多くのメールアドレスは、十数の異なる流出件数が表示され、中には数年以上前にさかのぼるものもあるでしょう。
アカウントのパスワードを更新する際は、多要素認証も設定しておきましょう。
2. すでにSMSを多要素認証の手段として使用していますが、問題ないでしょうか。
SMSを第二の認証手段として使うことは、何もしないよりは好ましいですが、SMSは簡単に別の電話番号に転送されるなど、セキュリティに弱点があることが明らかになっています。そのため、信頼できる保護手段とは必ずしも言えず、実力以上の安心感を与えてしまうかもしれません。
SMSの代わりに、スマートフォンの認証アプリを使用することをおすすめします。認証アプリは、有効な数桁のランダムな数字を30秒~1分間など、数分間だけ表示します。アカウントにログインする際、指定時間内にその数字を入力することで、アクセスすることができます。
多くの認証アプリは無料で使用することができます。そして、AndroidとiOSの両方のデバイスで利用できるアプリも多く存在します。「Authy」はMac、Windows、Linux用のデスクトップアプリケーションも持っています。
3. 多要素認証を設定する時間がありません。
確かに、数年前までは多要素認証の設定は手間が掛かりました。しかし、現在のツールはわかりやすく、使いやすくなっており、設定や導入にそれほど時間はかかりません。デバイスに認証アプリを一度インストールすれば、あとはアカウントログイン時にアプリで生成された数字を入力するだけなので、すぐに使いこなせます。
4. 携帯電話や電話番号をアカウントに連携したくありません。
プライバシー保護の観点から、自分の携帯電話をアカウントに連携したくないという人も少なくないと思います。ここで役に立つのが、「セキュリティ キー」と呼ばれるハードウェアです。代表的なセキュリティ キーには、YubiKey、SoloKeys、GoogleのTitan Security keysなどがあり、1つあたり約50ドル(およそ6500円)で購入できます。1つを失った場合に備えて、少なくとも2つのキーを購入し、別々の場所に保管することをお勧めします。
5. サイバー攻撃は、私や私の会社には起こりえません。
- 私の会社は小さすぎて、ターゲットになりえない。
- 内部脅威や中間者(MITM)攻撃について心配する必要はない。
- 盗む価値のあるものを所有していない。
と思っていませんか?残念ながら、上記の主張はいずれも妥当とは言えません。個人であれ、中小企業の経営者や従業員であれ、盗まれたアカウントは、より価値のあるデータの窃盗に使われることがあり、例えば偽の銀行口座を開設したり、不正な税金の還付を受けたりするのにも使われます。また、盗まれた個人情報は、ランサムウェアやフィッシング攻撃を仕掛けるために使用されることもあり、あなたの会社に損害賠償責任が生じる可能性もあります。
今すぐ多要素認証を全てのアカウントに導入し、あなたのアカウント情報を守りましょう。
この記事は、2022年5月5日に公開されたTop MFA myths bustedの抄訳です。