Google Authenticatorで2段階認証を導入!不正アクセスを可能な限り遮断

Google Authenticator

インターネットバンキングが当たり前になり、近年では実店舗が無く基本的にインターネットで全てが完結するいわゆるネット銀行が増えてきました。

更には仮想通貨のように全ての取り引きがネット上という価値が当たり前になり、それと合わせて露呈したのがセキュリティの重要さ。

今あなたが持つ大切な資産・データを確実に守る為に、めんどくさがらずに2段階認証を今すぐ導入しましょう。

  • 2段階認証の仕組み・使い方が分かる
  • 2段階認証の設定ができる
  • 2段階認証導入サービスが分かる
スポンサーリンク
スポンサーリンク

2段階認証って何?

そもそも2段階認証って何?という方もまだまだ多い時代。

2段階認証を知っているかどうか、使いこなせているかどうかで自分のセキュリティ意識が分かります。

2段階認証の解説

2段階認証は、通常Webサービスにログインする時に必要なIDとパスワードに加えもう一つリアルタイムで変動する文字列を入力する事でログインできる仕組みです。

簡単に言うとIDとパスワードだけではログインができず、合言葉を指定されるのでその合言葉も必要になるという事ですね。

この合言葉の事をワンタイムパスワード(OTP)といいます。

セキュリティ
セキュリティ

IDとパスワードを入力してね!

IDはコレ・・・パスワードはコレ・・・と!

セキュリティ
セキュリティ

ダメダメ!ワンタイムパスワードも言ってくれなくちゃ!

ワンタイムパスワードは123456だよ!

セキュリティ
セキュリティ

間違いなく本人だね!ログインしていいよ!

万が一IDとパスワードが何らかの理由で流出してしまった時もワンタイムパスワードが分からないとログインできず、不正ログインを防いでくれるサービスです。

仕組みはオンラインバンキングのトークンと同じ

察しの良い方はもうお気づきだと思いますが、実はこれ近年ほとんどの銀行が提供しているトークンと全く同じ仕組みです。

ゆうちょ銀行やソニー銀行のようにワンタイムパスワード生成機やトークンと呼ばれているハードウェア型のもの。

三菱UFJ銀行や三井住友銀行のようにスマホアプリのソフトウェア型のもの。

種類は銀行によって異なりますが、オンラインバンキングは不正ログインの温床となっていたので現在はほとんどの銀行で2段階認証が提供されています。

けんちゃん
けんちゃん

ハードウェアトークン型は万が一紛失してしまった時に再発行手数料が1,000円ぐらい掛かるのが地味に不便・・・。

合言葉の発行はGoogle Authenticatorが代行

しかしながら2段階認証を導入するにはそれ相応のコストが掛かるもの、Webサービスを提供する側にはとても大きな事です。

Webサービスだけじゃなく、認証に必要なスマホアプリまで開発してたらコストがかさみますよね。

そこであのGoogleがそれを代行してくれています、それがGoogleグーグル Authenticatorオーセンティケーター

僕らユーザーはスマホアプリをダウンロードすれば即使えるので、追加で何か購入したり費用を払う必要はありません。

Webサービス提供社は低コストで2段階認証を導入する事ができ、僕らユーザーは安全に資産やデータを管理する事ができます。

けんちゃん
けんちゃん

後述するけど2段階認証アプリはGoogle Authenticator以外の種類もあるよ!

なぜ2段階認証は安全なの?

ここでそもそもなぜ2段階認証を導入することが安全なのか、しっかり検証してみましょう!

認証コードは100万通り

Google Authenticatorで表示される認証コードは6桁の数字、つまり000000~999999までの100万通りです。

もうこの時点で手入力は無理ですよね、1回3秒掛かるとして一切飲まず食わず寝ることもせずにやっても約35日間掛かります。

けんちゃん
けんちゃん

普通に人間業じゃない・・・!

単純に入力項目が増える

Webの世界に関わらず、シンプルであればシンプルである程被害に合いやすいもの。

例えば泥棒に入ろうとする悪い人だって、鍵が掛かってる窓より鍵が空いている窓の方が侵入も楽ですよね?

同じ鍵でも上下2ヶ所施錠してある方が窓ガラスを割るにしても時間がかかりますよね?

これと同じ事です、単純に入力項目が増えるという事はそれだけ時間がかかります。

けんちゃん
けんちゃん

2段階認証があるだけで悪いことを考えてるやつも諦めてくれるかも!

30秒でリアルタイムに切り替わる認証コード

Google Authenticatorは認証コードが30秒に1回リアルタイムに切り替わり、逆に言えば不正ログインを試みる者は30秒以内に認証コードを解析して入力しなければなりません。

仮に1秒に1回入力を試せたとして、30秒で切り替わるので試せる回数は30回。

その30秒間に合致する数字を100万通りの数字の組み合わせから見つけなければならない”って物凄いハードル高いですよね、少なくとも人力では不可能。

なおかつ単に100万通りだったら1から100万まで全部試せば良いんですが、30秒間でリセットされるのでどんなに高速で試しても30秒後には1からやり直しです。

「この認証コードは過去に入力したから除外できるな」という絞り込みが行なえないので非常に強固な認証手段といえます。

けんちゃん
けんちゃん

フィッシングサイトのようにユーザーに誤認させて入力した認証コードを取得する以外、全く情報が無い状態で2段階認証が突破されたという話を聞いたことがありません!

ID・パスワードと端末がセットで必要

これはもうちょっとアナログな不正ログインの方法ですが、従来ならIDとパスワードが書かれた紙を偶然入手すればそれだけで不正ログインし放題でした。

また、どこかのWebサービスで情報流出が起こった場合「きっと同じIDとパスワードを使いまわしているだろう」という予測の元、別のWebサービスへのログインを試みられる可能性もあります。

しかし2段階認証を導入していれば仮にIDとパスワードを使いまわしていても2段階認証の認証コードが分からなければログインは限りなく不可能です。

つまり、ID・パスワードと端末を分けて保管しておけば安全性が飛躍的に上がります。

けんちゃん
けんちゃん

ID・パスワードと2段階認証アプリを入れたスマホにロックをかけずに歩くような行為は自殺行為と言えるね・・・!

メジャーな2段階認証アプリの紹介

2段階認証はGoogle Authenticator以外にも様々なアプリがあり、アプリによって機能に多少の違いがあります。

正直Google Authenticatorはかゆい所に手が届いていないアプリなので、慣れてきたら移行を考えても良いでしょう(もちろん最初から違うアプリを使ってもOK)。

当然全て無料で利用できるので、とりあえずダウンロードして使ってみて最もしっくり来るものを選んでもいいかと思います。

あまりマイナーな物だとサービス終了の可能性や、AppleやGoogleが審査しているとはいえバックドアが仕掛けられている可能性もあるので極力メジャーな物を利用するべきです。

Google Authenticator

Google Authenticator
Google Authenticatorは最もメジャーな2段階認証アプリと言える。

まずは当記事で紹介するGoogle Authenticator。

Google Authenticatorは非常にシンプルで、手っ取り早く2段階認証を導入したい方には非常におすすめです。

ただし他社製アプリにあるようなバックアップ機能が無いので、機種変更時にかなり手間が掛かる点がマイナスポイント。

Google Authenticatorを標準のアプリとして推奨しているWebサービスも多いので、その影響か最も利用者が多いです(AppStoreでは2段階認証で一番上に表示されるのがGoogle Authenticator)。

Google Authenticator

Google Authenticator

Google LLC無料posted withアプリーチ

Authy

Authy
バックアップやPCデバイスにも対応したAuthy。

非常に高機能なのがAuthyオースィー

Google Authenticatorの場合、機種変更した時基本的に2段階認証の設定引き継ぎができません(iPhoneの場合iCloud経由で復元する事で設定移行ができる)。

対してAuthyはクラウドでのバックアップが可能で、機種変更時は新端末で情報をダウンロードするだけでOK。

ただしAuthyは全て英語のサービスなので、英語が苦手な方は2段階認証のやり方に十分慣れてからの使用を推奨します。

他にもAuthyはスマホだけじゃなくWindows/Mac OS上でも稼働するので、2段階認証をスマホ以外でも実現できます。

Authy

Authy

Authy Inc.無料posted withアプリーチ

Microsoft Authenticator

Microsoft Authenticator
Microsoftアカウントと親和性が高く、デザインも優れたMicrosoft Authenticator。

Microsoftマイクロソフト Authenticatorオーセンティケーター言うまでもなく、WindowsやOfficeシリーズをリリースしているMicrosoftが製作している認証アプリです。

Google Authenticatorでできる事は全てMicrosoft Authenticatorでも実現可能、更に個人的にですがインターフェースがとても優れており、なんとなくかっこいいです笑。

もちろん世界のMicrosoft製なので日本語対応もばっちりOK!

Microsoftアカウントとの親和性も高いので、パソコンがWindowsユーザーの方は一見の価値あり。

MicrosoftのクラウドサービスであるOneDriveでのバックアップに対応している他、対象デバイスに限りますが指紋や顔認証でのセキュリティにも対応している為スマホを落としても流出の可能性が低くなります。

ちなみにGoogle Authenticatorと同じく、Microsoftアカウント無しでも利用可能です。

Microsoft Authenticator

Microsoft Authenticator

Microsoft Corporation無料posted withアプリーチ

IIJ SmartKey

IIJ SmartKey
IIJ社が提供するシンプルなら認証アプリ。

IIJ SmartKeyアイアイジェースマートキーは日本通信(b-mobile)の次にMVNO(格安SIM)サービスを始めたあのIIJmioを運営するInternetインターネット Initiativeインタラクティブ Japanジャパン社の認証アプリです。

社名で分かる通り日本の会社なので、国産の認証アプリという事になりますね。

もちろんインターフェースは全て日本語なので英語に不安がある方でも使いやすいアプリになっています。

一応機種変更の為のエクスポート(書き出し)はできるんですが、件数が1件1件と面倒なので個人的にはAuthyやMicrosoft Authenticatorの方がおすすめです(それでもエクスポートできないGoogle Authenticatorよりマシなんですが・・・笑)。

IIJ SmartKey

IIJ SmartKey

Internet Initiative Japan Inc.無料posted withアプリーチ

Google Authenticatorで2段階認証を導入

2段階認証を使うと安全という事が分かりました、それでは実際に2段階認証を導入してみましょう!

ここでは最も普及率が高いGoogle Authenticatorで説明しますが、基本的な認証スキームはどのアプリでも同じです。

Google Authenticatorのダウンロード

まずはお手元のスマホ、タブレットにGoogle Authenticator Appをダウンロードします。

iOS、Androidの端末から利用可能です。

Google Authenticator

Google Authenticator

Google LLC無料posted withアプリーチ

Google Authenticatorの設定

続いてGoogle Authenticatorの設定を行います。

2段階認証を設定するWebサービスを開きログインします。

ここでは利用者も多いであろうTwitterアカウントに2段階認証を設定する方法を解説しますが、基本的に他の2段階認証提供サービスでも手順は同様です。
また、パソコン画面で解説していますがスマホからも同様の手順で登録可能です。

まずはTwitterにログインした状態で2要素認証設定ページを開きます。

Google Authenticator - 2要素認証の状況
現状の2段階認証(Twitter上では2要素認証)の状況が表示される。

2要素認証欄の認証アプリ、これがGoogle Authenticatorを使ってログインする為の設定項目です。

チェックボックスをクリックします。

Google Authenticator - 2要素認証の設定開始
始めるをクリックして2要素認証の設定を開始する。

You can use a compatible authentication app to get an authentication code when you log in to Twitter. We’ll walk you through linking the app to your Twitter account.

(訳:認証アプリを使ってTwitterログイン時に認証コードを取得します。Twitterアカウントに認証アプリをリンクする方法を説明します。)

公式の案内を見たい方は本文内の「詳細はこちら」から確認して下さい。

始めるボタンをクリックして、Google Authenticatorを使用した2段階認証の設定を開始します。

Google Authenticator - Twitterアカウントの再確認
再度Twitterアカウントのパスワードを入力し本人確認を実施する。

改めてTwitterアカウントのパスワードを入力し、本当に2段階認証の設定を行っているのが本人である事の証明をします。

Google Authenticator - QRコード読み込み
Google Authenticatorアプリを使ってQRコードを読み込む。

Open the authentication app on your mobile device to link it to your Twitter account. When the app prompts you, scan the following QR code with your camera.

(訳:スマートフォンで認証アプリ(Google Authenticator)を開き、Twitterアカウントとリンクします。認証アプリのカメラでQRコードを読み取ります。)

スマホ側でGoogle Authenticatorアプリを立ち上げ、QRコードを読み込みます。

Google Authenticator - 新規追加
右上の+マークをタップし、下部に現れるバーコードをスキャンをタップする。
Google Authenticator - 追加完了
「Twitter」という項目が追加されていれば無事に読み込み完了。

読み込みが終わりTwitterの項目が表示されたらCan’t scan QR code?をクリックします。

Google Authenticator - 登録用認証コードの表示
QRコードとは別に、登録用認証コードを控えておく。

万が一QRコードが読み込めない、もしくはカメラが搭載されていないデバイスでも登録できるように先程のQRコード情報を手入力で登録する為のシークレットキーです。

シークレットキーはQRコードの内容そのもの、正確に言うとこのシークレットキーをQRコード化した物が画面に表示されるQRコードです。

つまりシークレットキーをメモしておけば、万が一スマホを紛失したり壊れてしまった場合でも新しいスマホにこのシークレットキーを入力する事で2段階認証が再び利用できます。

逆に言えば、シークレットキーを控えておかなければ2段階認証を再実施する手段が無くなり基本的にログインできなくなります。

2段階認証シークレットキーは可能な限りそれが何か分からない状態で保管しておくことが好ましいです。

ID、パスワードと一緒に保管する事は絶対に避けて下さい、ログインして下さい!と言っているようなものです。

後述しますが、シークレットキーとは別にバックアップコードが提供されているWebサービスの場合バックアップコードのみをメモっておけばOKです。
Twitterはバックアップコードが用意されているので、説明の為記載していますがセキュリティ上はバックアップコードを保管しておくほうが好ましいです。

Webサービスにもよりますが、厳格な本人確認を利用して2段階認証を解除してくれるケースもあります。

Google Authenticator - 認証コード入力
Google Authenticatorに表示された6桁の認証コードを入力する。

最後にGoogle Authenticatorに表示された6桁の認証コードを入力して認証します。

Google Authenticator - 設定完了
この画面が表示されれば2段階認証は無事成功している。

これでTwitterアカウントに2段階認証設定ができました!

バックアップコードの取得

Twitter - バックアップコード
Twitterの場合バックアップコードを使用して1度だけ2段階認証の代わりにログインする事ができる。

Twitterの場合、万が一端末を無くしたり壊したりしてGoogle Authenticatorが使えない場合、1度だけ使用できるバックアップコードが用意されています。

このバックアップコードを控えておけば、1度だけログインしGoogle Authenticatorの2段階認証を解除して一時的にIDとパスワードのみでログインできる状態に設定ができます。

新しいスマホを購入したりスマホを修理したら再度Google Authenticatorの設定を行えばOKですね!

先述したようにバックアップコードは1度しか使用できないので、バックアップコードを利用してログインした場合は再度バックアップコードを発行しましょう。

バックアップコードは以下のページで取得する事ができます。

バックアップコードが提供されているサービスの場合、バックアップコードを必ず保管しておきましょう。

Google Authenticatorの2段階認証を手動で入力

続いてGoogle Authenticatorの2段階認証を手動登録する方法を解説します。

これは新規登録時はもちろん、先述したようにスマホを紛失したり壊してしまった場合に新しいスマホで引き継ぐ時にも使用しますので覚えておきましょう!

シークレットキーを手入力

先程QRコード読み込み時に行ったシークレットキーをGoogle Authenticatorアプリに入力していきます。

Google Authenticator - 手動で入力
先程とは違い、今度は「手動で入力」を選択する。
Google Authenticator - 情報を入力
アカウント名、認証キーを入力する。

アカウント名はそれが何か分かるように名前をつけます。

キーは先程取得したシークレットキーです、Twitterは4桁毎にスペースが表示されていましたがスペースは無視されるので続けて入力してOK。

ただし大文字小文字は区別されるので、間違わないように注意して下さい。

時間ベースについてはそのままでOK、基本的に現在のワンタイムパスワードはほぼ全て時間ベース(一定時間で切り替わる)方式です。

けんちゃん
けんちゃん

大文字と小文字を区別せず入力すると全く別の認証コードが表示されてしまうので、必ず表示された通りに入力しよう!

Google Authenticator上から既に2段階認証を設定した項目を削除

次にGoogle Authenticator上に既に登録してある2段階認証を解除する方法です。

注意点として、必ずWebサービス側の2段階認証を解除してからGoogle Authenticatorの項目を削除して下さい。

誤ってGoogle Authenticatorの項目を先に削除してしまうと、バックアップコード等を利用してログインしなければならなくなります。

Webサービス側の解除

Twitter - 2段階認証の解除
2要素認証ページから認証アプリの設定を解除する。

まずはWebサービス側から解除します。

Twitterの場合、2段階認証を設定したページから解除を実施できます。

認証アプリ欄のチェックボックスをクリックします。

Twitter - 2段階認証をオフにする
オフにするをクリックして2段階認証を解除する。

オフにするをクリックする事で2段階認証を解除する事が可能。

重要な項目の操作なので再度確認が入り、もう1度オフにするをクリックすれば完全に解除されます。

以降、再度設定するまでIDとパスワードのみのログインになります。

Google Authenticator側の項目削除

続いてスマホのGoogle Authenticatorから項目を削除します。

Webサービス側で2段階認証を解除すると、再度設定する時は認証コード情報が全て変わるのでWebサービス側の解除=Google Authenticator上の項目の削除と覚えておきましょう。

Google Authenticator - 項目削除
右上の鉛筆マークをタップして編集モードにする。
Google Authenticator - 項目削除
削除したい項目にチェックをつけ、下部に現れる削除ボタンをタップ。

項目の削除は右上の鉛筆アイコンから行えます。

鉛筆アイコンをタップすると編集モードになるので、この状態で削除したい項目にチェックをつけます。

すると画面一番下に削除ボタンが現れそこで削除可能。

見れば分かる通り、編集モードで順番の入れ替えやアカウント名の編集等も行えます。

けんちゃん
けんちゃん

繰り返しになるけどGoogle Authenticator上で項目削除するのは一番最後!必ずWebサービス側の2段階認証を解除してから行おう!

Google Authenticatorは複数の端末で読み込み可能

Google Authenticatorを使って2段階認証をする時、バックアップとしてシークレットキーの保管を行いました。

が、実はGoogle AuthenticatorでQRコードを読み込む時複数のスマホで読み込む事ができます。

もちろん読み込む内容は全く一緒なので、例えば2台のスマホで順番に読み取っても画面に表示される認証コードは全く同じ。

例えば余っている古いスマホがある場合、メモを取る変わりにもう1台追加でQRコードを読むことでメモ代わりにする事もできます。

2段階認証を提供しているWebサービス

ここで執筆時時点で認証アプリを用いた2段階認証に対応しているWebサービスをいくつか挙げてみます。

なお同じ2段階認証でもSMSやメール配信による2段階認証のみのサービスは省いてあります。

リンク先を開くと各サービスの2段階認証ページへ飛びます。

SNS

EC(ネット通販)サイト

チャットツール

テクニカルサービス

エンタメサービス

金融系サービス

けんちゃん
けんちゃん

こうしてみると外資系・金融系サービスは積極的に取り入れてるけど、日系企業はまだまだだね・・・
ていうか日本の企業のセキュリティ意識やばい・・・!

Google Authenticatorで2段階認証 まとめ

Google Authenticatorを利用した2段階認証は、短時間でセキュリティレベルを一気に向上できる手段です。

それもスマホさえ持っていれば誰でも簡単に導入できるので、自分の資産やデータを守る為には必ず設定しておきたいサービス。

2018年頃に起こった仮想通貨の流出騒動で2段階認証は一気に知名度をあげましたが、まだまだ対応していないサービスも多いのが現状です。

だからこそ、Webサービス側で導入しているのであれば僕らユーザーも今から2段階認証を取り入れて慣れておきましょう!

ConoHa VPS+KUSANAGIで始めるWordpress講座!初心者でもステップ形式で導入が可能です!KUSANAGI managerの使い方からコマンドまで全部解説
WordPress高速化エンジンKUSANAGIは、ConoHa VPSと組み合わせて使う事で初心者の方でも比較的簡単に導入が可能です。KUSANAGI managerを使った登録方法から設定やWordPressの設定まで全て解説!日本一分かりやすいKUSANAGIの始め方です!
もうFTPは時代遅れ!SFTP対応のFTPクライアントソフトおすすめ3選を徹底比較
Webサイト作成時のファイル転送手段として、未だにFTPエフティーピーが紹介され使っている方も多いと思います。しかしFTPはもう過去の技術、FTP通信を現在も行っているというのは情報を盗んで下さいと言っているようなものです...
FTPクライアントソフトの本命FileZillaで安全にファイル転送をしよう!初期設定から使い方まで徹底解説!
FTPクライアントは数多くありますが、現在は実質FileZillaファイルジラの一強状態ではないでしょうか。Windows/Mac/LinuxとOSを問わず使え、基本的な機能から様々な便利な機能が網羅されているFileZi...
スポンサーリンク
Web
スポンサーリンク
\この記事いいね!と思ったらシェア/
この記事を書いた人
けんちゃん

スタジオミュージシャン・投資家・ブロガーの3本柱で生計を立てています。
当ブログでは僕が実際に使ったガジェットやサービスについてのレビューが中心。
他より一歩深い、そんな記事をお届けしています。

よく読まれているオススメ記事

スポンサーリンク
L'7 Records

コメント

タイトルとURLをコピーしました