最後の砦がうまく機能してくれました。
「2段階認証」ってご存じですか? IDとパスワードでの認証に加えて、本人しか知りえない番号でもう1回確認するというものです。その番号は認証する度に変わるので、より一層セキュリティを高めてくれます。
今日の話なのですが、僕のGoogleアカウントのパスワードが破られてしまいました。普通ならこの時点で乗っ取られるところですが、僕は2段階認証を設定していたので乗っ取られずに済みました、というお話。
※ セキュリティ超大事!2段階認証は絶対設定しておこう!ということを啓蒙できればと思って書いています。このブログに大きな影響力があるとは思いませんが、この記事を読んでくれた方の意識が少しでも変わればそれで良いのです。
Googleアカウントが乗っ取られそうになった!
そもそもの事の発端は、今日の昼前に知らない番号からSMSが届いたことでした。
第三者によるパスワードを使った(僕のGoogleアカウント)への不正なログインをブロックしました。
はい、なんだかただならぬ気配が漂っています。こんなSMSが届いたのは初めてなので、迷惑メール的なものかなーとも思ったのですが、Gmailにも通知が来てました。
2段階認証プロセスにより、お使いの Google アカウントへの不審なログインがブロックされました。このログインに心当たりがない場合は、第三者があなたのパスワードを不正に使用している可能性があります。
2段階認証が働いてくれて、不正なログインをブロックしてくれたとのこと。
・
・
・
ここで一瞬思考停止してしまったのですが、結構な緊急事態な気がするよ? しかもWindowsマシンでアメリカからのログインでした。どちらも心当たりがないぞ…!
その後Googleのセキュリティのページにアクセスしてみると、ログが残っていました。
サンフランシスコでログインに試みたようですが、僕が今いるのは日本。明らかに第三者によるものです。
よくよく考えてみると、2段階認証が効いたということはパスワードは突破されてるということですよね。つまり、2段階認証を設定していなかったらアカウントが乗っ取られていた可能性が高いわけです。
僕はいくつかGoogleアカウントを持っていますが、今日乗っ取られそうになったのはメインで使っているアカウントです。普段の連絡に使うGmailはもちろん、GoogleドライブやGoogleフォト、アナリティクスやアドセンスもこのアカウントで使っています。もし乗っ取られたらと考えるだけで気が遠くなりますね。。。
2段階認証を設定していた点はGOOD
今回の事例の中で自分を褒めてやりたいのは、あらかじめ2段階認証を設定していたというところです。
メインで使っているアカウントなので、できるだけセキュリティは高めておこうと思って設定していました。おかげで助かりました。
僕は「Google Authenticator」というアプリを使ってコードを取得するようにしているのですが、毎回コードを入力するのが面倒に感じていたのも事実。それでも設定を解除しなかったのは褒めてやりたいです。
長い間パスワードを変更していなかったのはBAD
でも褒められることばかりではありません。
今日乗っ取られそうになったアカウントのパスワードは、なんと2010年から8年間も変更していませんでした。しかも、その文字列(8文字)は2001年に当時契約していたプロバイダから発行されたパスワードでした。つまり17年間も同じ文字列をパスワードとして使い続けてきたわけです。(この文章を書いてて自分でも若干引いてます)
定期的に変更した方がいいと言われているパスワードを、同じアカウントで8年間も使い続けていたら、いつかは乗っ取られるよね。という当たり前の結論になってしまいますが、パスワードはきちんと変更しておくべきでした。反省します。
もちろん、その後速攻でパスワードを変更しました。今はいろんな端末で再ログイン作業に追われているところです。
2段階認証が使えるアカウントは必ず設定を!
せっかく記事にしているので、2段階認証が使えるサービスを記しておきますね。手遅れになる前に絶対に設定しておきましょう。
記事執筆時点では僕が設定しているアカウントに関するものですが、もし他にもあるよ!というのがありましたら、コメント欄でお知らせいただけると助かります。
そもそも「2段階認証って何?」っていう人は、まずはこちらへ。
繰り返しになりますが、Googleアカウントは2段階認証が設定できます。コードの取得は、指定した電話番号へのSMS送信でもいけると思いますが(未確認)、一番簡単なのは前述の「Google Authenticator」というアプリを使う方法でしょう。
iPhoneやAndroidスマホにこのアプリをインストールして、QRコードを読み取るだけで簡単に設定できます。手順はこちらの記事が詳しいです。
→ 「Google Authenticator」アプリとiPhone/iPadで2段階認証を実現する:Tech TIPS – @IT
注意点としては、例えばiPhone → iPhoneに機種変更した場合はバックアップから復元することが多いと思いますが、それでは2段階認証の設定は引き継げません。新しい機種で一から設定が必要です。といってもQRコードを読み取るだけですが。
Evernote
僕はEvernoteが無いと生きていけない体になってしまっているので、このアカウントが乗っ取られたらしばらく立ち直れそうにないと思います。だからできる限りのセキュリティ対策はしておきたいと考えています。
で、そんなEvernoteも2段階認証に対応しています。こちらも「Google Authenticator」でQRコードを読み取るだけで設定できるので大変お手軽です。
Dropbox
大切なデータを保存そることが多いDropbox。このアカウントも乗っ取られたら大変ですね。なんとこちらも、2段階認証に「Google Authenticator」が使えるのです。万能アプリですね。
3つのサービスを登録した状態がこんな感じ。
6ケタの認証コードは、それぞれ30秒ごとに更新されます。不正ログインしようとしている側からすると、30秒で6ケタのコードを解析するのは、なかなか難しいのではないでしょうか。
もちろん100%安全になるとは言い切れませんが、少なくともセキュリティレベルは上がるでしょう。現に今日の僕はこの2段階認証に救われたので。
Microsoft
Microsoftアカウントも2段階認証が設定可能です。こちらは「Microsoft Authenticator」というアプリを使います。
30秒間だけ数字のコードが表示されるという機能はGoogleのものと同じなのですが、こちらはコードが8ケタなんです。Googleよりもセキュアだと言うことができるでしょう(僕は素人なので6ケタと8ケタで顕著な差があるかは分かりません)。
ドコモ(dアカウント)
僕はメイン回線をドコモで契約しています。そのdアカウントも2段階認証に対応していて、SMSでコードが送られてくるタイプです。オンにするにはアカウントの設定メニューから。
こちらのメニューから入ってログインすると設定できます。
iCloud
iCloudの2段階認証は、同じアカウントにログインしている別の端末から許可する方式をとっています。たとえば、Macのブラウザからicloud.comにログインしようとすると、同じアカウントにログインしている端末にこんな通知が飛びます。(ここではiPhoneの画面を掲載しています)
まとめ
これまでは「なんだか安全っぽいしとりあえず設定しとくか〜」という感覚だったのですが、こうやって助けられて初めて、2段階認証の重要性を認識しました。これは絶対に設定しておくべきです。
アカウントが乗っ取られて大事なデータが消されたり、勝手にメールを送られたり、見られたくない写真を見られたりするよりは、毎回のログインが少し面倒臭くなる方がマシだと思います。
2段階認証を使ったことないよ!って方、今すぐ設定することを強くオススメして、今日の記事を締めようと思います。では。
