Twitter、2段階認証を導入

大企業のTwitterアカウントがハッキングされる事件が続きましたが、ついにTwitterに2段階認証が導入されました。この機会に、Twitterの安全利用をいま一度考えてみましょう。

twitter-featured

Twitterは先ごろ、2段階認証機能を導入してユーザー保護を強化し、FacebookやGoogleといった競合に追いつきました。これで、大きな話題となってダウ・ジョーンズ平均株価にまで影響が出たAP通信Foxニュースのアカウント乗っ取り事件を忘れられるでしょう。個人のアカウントがハッキングされた場合は、そこまで重大な問題となることはあまりありませんが、アカウント所有者にとっては気持ちのいいものではありません。そのため、これを機にTwitterの安全ルールについて思い出してほしいと思います。

twitter-title

最大限のセキュリティ: 常に、利用可能な最高レベルの保護オプションを選んでください。Twitter の場合は2段階認証を有効にすることがそれに当たります。今後Twitter.comにログインするときは、ユーザー名とパスワードだけでなく、6文字の保護コードも入力することになります(保護コードはテキストメッセージで携帯電話に送られてきます)。この認証方法によって、パスワードを盗まれたとしてもアカウントの乗っ取りが不可能となります。2段階認証に切り替えるには、Twitterにログインしてアカウント設定を開き、[ログイン時に認証コードを要求する]オプションを選択する必要があります。次に、携帯電話の番号を入力して、画面の指示に従って番号を認証します。ただし、Twitterはこの認証機能を段階的にロールアウトしているため、まだ利用できない地域もあります(日本ではまだです)。今後のニュースを待ちたいところです。

Screen-Shot-2013-05-28-at-3.22.27-PM

この認証方法には、1つ大きなデメリットがあります。携帯電話ネットワークの電波状況が悪い場所やエリア外でサインインする際は、ログインが複雑になるのです。Googleはこの問題を解決しており、ユーザーのデバイスに2つめの認証を記憶させて、信頼できるデバイスからログインする限りは、最長で1か月間スキップできるようにしています。Twitterは最終的に、ユーザーがログインするたびに確認コードを入力するよう求めていく計画です。多くの場合、セキュリティの強化にはこの程度の不便が生じるだけの価値があります。しかし、前述のAP通信や、Kaspersky Labなど企業アカウントの保有者は、複雑な問題に直面するかもしれません。1つのアカウントを何人かで使うのが一般的ですが、Twitterは認証に1つの電話番号しか認めていないのです。この制限に対応するためのワークフローを構築しようと選択肢を検討していたとき、何者かが公衆Wi-Fiからカスペルスキーのパスワードの1つを盗みました。攻撃者はすぐにカスペルスキーのドイツ語のTwitterアカウントを乗っ取り、フォロワーにスパムリンクを送信しました。もちろん、我々はほんの数時間のうちにアカウントを取り返し、スパムメッセージをすべて削除しています。しかし、2段階認証への切り替えはもう間もなくです。

常に、利用可能な最高レベルの保護オプションを選んでください。Twitterの場合は2段階認証を有効にすることがそれに当たります。

強力なパスワードを使用: 2段階認証は、簡単には破れない信頼できるパスワードに取って代わるものではありません。長くて分かりにくく、推測できないパスワードを使用しましょう。これにより、Webサービスのパスワードデータベースを標的とした総当たり攻撃から身を守ることができます。Twitterさえもハッキングされたため、これは「見えざる脅威」ではありません。

フィッシングページに注意: パスワードなどの秘密情報を求めるフィッシング詐欺には常に目を光らせてください。パスワードのリセットを促すメールを受け取ったものの、そのようなメールをリクエストした覚えがない場合は、クリックしてはいけません。bit.lyのような短縮URLのリンクをクリックするときも注意しましょう。短縮URLは、そのリンクの最終目的地を隠そうとする詐欺師が、気づかれないように使うルートとなっています。

共用コンピューターや公衆Wi-Fiは使用しない: 自分のコンピューター以外から個人アカウントへアクセスしないでください。ホテルや空港のビジネスセンターのコンピューター、あるいは友人のノートPCでさえ、どんなマルウェアや悪質スクリプトが動いているか、わかったものではありません。公衆Wi-Fi接続は暗号化されていないことが多く、攻撃者に簡単に傍受されてパスワードを盗まれてしまう恐れがあります。公衆Wi-Fiネットワークを使わざるを得ない状況では、VPN接続を使用して身を守りましょう。

上級ユーザー向けの注記

SMS送信の問題を回避するため、Twitterへのアクセスにサードパーティアプリケーションを使用することができます。以前アクセス権があったアプリは、2段階認証に切り替え後も同じように使えるはずです。また、Twitterにログインして、設定からアプリのパスワードを管理することで、新しいアプリに権限を与えることもできます。しかし、これによってセキュリティがTwitterから特定のアプリケーションへと移り、アプリユーザーをパスワードやデータの盗難から守るのが開発者の責任となることを理解することが重要です。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?