フォーム読み込み中
2022年12月23日掲載
こんにちは!和田です。本ページを見ていただきありがとうございます。
この記事は、ソフトバンク Advent Calendar 2022 の 23日目の記事になります
この記事では、GoogleアカウントをGoogle Smart Lockアプリを使って不正アクセスから保護する方法について書いていきます。
偽サイトの被害情報などフィッシング被害に遭われた、アカウントを不正利用されたというニュースが後を絶ちません。
各企業もさまざまな対策や注意喚起を行ってくださっていますが、日々巧妙化が進んでおり利用者が気をつけないといけないということ、アカウントの保護もパスワードに依存する状況が基本なのは残念ながら変わりません。
複雑なパスワードを設定しましょう、桁数はx文字以上、大文字、小文字、数字、記号といった複数の文字種を混ぜて推測されにくいパスワードにするのがよいと、設定する本人も覚えにくいパスワードになりがちで、いけないことというのは理解しつつも、結局メモしてどこかに保存していたりしませんか?
個人的意見となりますがパスワードだけでアカウントを保護するというのは限界に来ており、パスワードだけに頼らずアカウントを守る術を有しておくということが大事だと考えております。
そこで2段階認証を設定しましょう!、というお話になるのですが2段階認証をただ設定すればよいという訳ではなく、どの方式を使うか?が重要と考えています。せっかくわざわざ手間のかかる2段階認証を設定したのに、効果が無かった・・だと切ないですよね。
本稿はみなさまがお使いのGoogleアカウントを悪意を持った人々から守り、悪用されないように安心して使っていたたくための選択肢、おすすめの方法についてご紹介いたします。
本記事が皆さんの安全なネットライフのお役に立てれば幸いです。
実在のサービスや企業をかたり、偽のメールやSMS(携帯電話のショートメッセージ)でフィッシングサイトに誘導し、IDやパスワードなどの情報を盗んだり、偽サイトに誘導してマルウェアに感染させたりする手口です。
情報を盗まれると、アカウントを乗っ取られてお金を奪われたり、インターネット通信販売サイトで勝手に買物をされたりします。また、マルウェアに感染してしまうと、スマートフォンに登録された電話帳の情報が盗まれたり、自分のスマートフォンがフィッシングSMSの発信源になってしまうこともあります。
フィッシングの怖いところは、IDやパスワードを入力している本人は間違っていることに気づいていない、利用者が気を付ける以外の保護する術が不十分。気づいた時は流出(悪用された)後というのが課題と考えております。
IDとパスワードだけで認証を通してしまうような場合は、守りの部分が脆弱でこのようなリスクが高いですが2段階認証を設定している場合であれば万一入力してしまったとしても、この後にもう1回確認が入るため悪意を持ったユーザからの不正アクセスを食い止めることができる可能性があります。
Google アカウントで提供されている2段階認証の方式は以下が選択肢となります。それぞれのメリット、デメリットを主観ではありますが以下にまとめました。
# | 物理キー | 方式 | メリット | デメリット |
---|---|---|---|---|
1 | あり | Titanセキュリティキー (物理キー) |
|
|
2 |
Google Smart Lock
|
|
| |
3 | なし | Google Authenticator (ワンタイムパスワード) |
|
|
4 | Gmailアプリ等による認証 |
|
| |
5 | 電話/SMS |
|
上記表の1〜5の順がセキュリティ強度(フィッシング耐性の強い)順となります。ですので一番理想的なのは #1 のTitanセキュリティキーなど物理キーを併用することですが、実運用としては難しいのではと思っています。いきなりセキュリティキーを展開しようとしても利用者側からすると「セキュリティ強度が上がるのは理解するが、荷物が増える、無くしそう」とネガティブな反応になりがちです。
そこで純粋な物理キーではなく #2 案であるモバイルデバイス+Google Smart Lockでので代用をご提案です。
管理者視点では、モバイルデバイスが実質の物理キーとなるので、Titan等に近いレベルのフィッシング対策が可能になります。会社で対応端末を支給されている場合はそのまま使うことができます。
利用者側視点では、支給されているモバイルデバイスをそのまま使うので新たに荷物も増えません。デバイスに届いた応答リクエストに応えるだけですので、難しい操作も発生致しません。
導入の第一歩としてはハードルは低いのでは無いでしょうか?
以下用途別まとめです。
# | 物理キー | よくある呼称 | どういう用途に向いているのか |
---|---|---|---|
1 | あり | Titanセキュリティキー |
|
2 | Google Smart Lock |
| |
3 | なし | Google Authenticator |
|
4 | Gmailアプリ等による認証 |
| |
5 | 電話/SMS |
|
キーとなるモバイルデバイスとBluetooth接続できる範囲内にログイン元のデバイスがあれば認証が通ります。
しかしながらモバイルデバイスとBluetooth通信ができない場合はID/パスワードがあっていたとしてもログインができません。
以下、実際の画面の動きです。
( Google Smart Lockの設定が完了していることが前提です)
設定方法は スマートフォンの組み込みのセキュリティ キーを使用する の手順に沿って実施してください。
設定が正しく完了すると、下図のような画面が表示されアカウントにモバイルデバイスが物理キーとして関連づけられます。
以下、導入後の動作イメージになります。
1.ログイン画面でID/パスワードを入力します。認証が通るとスマートデバイスを確認するようなポップアップが出現します。
2.セキュリティキーとして設定したiPhoneへ通知が届き、承認するとスマートデバイスがログインをしようとしている端末(PC等)にBluetoothを使用して接続を試みます。
※接続元PCはモバイルデバイスがBluetooth通信で検出できる範囲内にいる必要があります
3. 接続が成功すると認証が通り、接続元PC側の画面が切り替わります。
参考)端末が手元にない/遠隔地にある場合(不正アクセス or Bluetooth通信ができない時)
万が一悪意を持ったユーザにパスワードを入力されてしまい、さらに誤ってGoogle Smart Lockで承認してしまっても悪意を持ったユーザ側のPCとモバイルデバイスの通信ができなければ最終的にはタイムアウトとなり認証が通りません。
下図は悪意を持ったユーザ側の画面のイメージです
Googleアカウントのフィッシング対策とGoogle Smart Lockアプリを使用した認証強化の紹介をしました。
モバイルデバイスを物理キーとして使うことで不正アクセスに対するセキュリティ強化と、一方で物理キーを持ち歩くことの面倒さを同時に、しかも無料で解決する素晴らしい機能です。
ぜひ活用していただきたく、今回、紹介しました。
Google WorkspaceユーザだけではなくCloudIdentity アカウントや個人用Googleアカウントでも使用可能な機能となりますので、フィッシング耐性を高めるためのセキュリティ強化対策としてお試しいただけると嬉しいです。
最後まで読んでいただきありがとうございました。
明日は、ソフトバンク Advent Calendar 2022 の 24日目です。加藤さん、結城さんよろしくお願いします。
条件に該当するページがございません