サービス一覧 »  セキュリティ通信

セキュリティ通信

インターネットを安全・快適にお楽しみいただくため、「セキュリティ通信」では、セキュリティ関連の最新ニュースや対策情報などをお届けしています。

不正ログインを防ぐパスワードの設定と管理(後編)――Facebook、Twitter、LINEの2段階認証

前回のトピックスでは、不正ログイン被害を防ぐためのアカウントの基本的な管理と、パソコンやスマートフォンの利用に欠かすことのできない、端末に紐づいたアカウントとして、「Microsoftアカウント」「Apple ID」「Googleアカウント」のセキュリティ機能をご紹介しました。今回は、国内で特に人気の高いSNSサービス、「Facebook」「Twitter」「LINE」に用意されているセキュリティ機能をご紹介します。SNSの不正ログイン被害は、つながっている知り合いにまで被害が及ぶことがあります。利用できる機能をフルに活用して、アカウントを守りましょう。

今回とりあげる3つのSNSサービスは、特に人気が高く、標的にされることが多い。Facebookは、今年5月に女性芸能人のアカウント侵入被害が話題になった。LINEのアカウントが乗っ取られ、本人になりすましてプリペイドカードの購入を持ちかける詐欺行為が行われたのも記憶に新しい。TwitterやFacebookのアプリ連携を悪用したスパム被害は、日常茶飯事と言ってもいいだろう。アプリ連携は、アカウントそのものの不正ログインとは若干異なるが、ここでは、一般の方の被害が多い悪質なアプリ連携の問題と、アカウントそのものを守る2段階認証の設定方法を解説する。

「アプリ連携」の確認と解除方法

主要なSNSサービスには、他のアプリやサービスと連携する機能が用意されている。サービスや連携するアプリによって利用できる機能は異なるが、不用意なアプリ連携によって、不正ログインを受けたのとよく似た結果を招くことがある。自身や友達の情報が取得されたり、勝手にフォローや「いいね」を出されたり、身に覚えのないメッセージが投稿されたり、不要な通知が頻繁に来るようになるなど。こうした問題が生じた場合は、不正ログインだけではなく、連携アプリの仕業も疑い、覚えのないアプリや不要なアプリの連携がないか確認し、解除する必要がある。もちろん、問題が発生してから対処するのではなく、日ごろからアプリのインストールや連携を慎重に行うよう心がけることが重要だ。

  • <Facebook>

    Webサイト右上のメニューから[設定]→[アプリ]と進むか、アプリのメニューから[アカウント設定]→[アプリ]と進むと、連携しているアプリとアプリが利用する機能の確認、連携の解除を行うことができる。

    図1 アプリ連携の確認と解除(Facebook)

  • <Twitter>

    Webサイト右上の自分のアイコンから[設定]を選択し、設定ページにある[アプリ連携]に進むと、連携しているアプリとアプリが利用する機能の確認、連携の解除が行える。

    図2 アプリ連携の確認と解除(Twitter)

  • <LINE>

    アプリのその他のメニューから[設定]に進み、[アカウント]→[連動アプリ]を選択すると、連携しているアプリとアプリが利用する機能の確認、連携の解除が行える。

    図3 アプリ連携の確認と解除(LINE)

Facebookの2段階認証:ログイン承認

Facebookのログイン承認には、SMSで送られてくる確認コード(Facebookではログインコードと呼ぶ)か、公式アプリに付属しているコードジェネレータで生成するものが利用できる。コードジェネレータは、Googleの2段階認証などで使われているものと同じコード生成方式なので、公式アプリを利用していない方は、汎用のコード生成アプリが利用可能だ。

ログイン承認の有効化は、Webのメニューから[設定]→[セキュリティ]→[ログイン承認]の順に進むか、アプリのメニューから[アカウントの設定]→[セキュリティ]→[ログイン認証オン]の順に進み、設定する。


図4 Facebookの「ログイン承認」。左:スマートフォン画面、右:Webサイト画面

設定には、SMSが受信できる電話番号が必須なので、事前に、または設定の過程で電話番号を登録する。登録した電話番号宛てに確認コードを記載したSMSが送られてくるので、それを入力すると設定が完了する。

コードジェネレータを使用する場合は、公式アプリのメニューから下方にスクロールし、[コードジェネレータ]を選択して「オンにする」をタップする。すでにコードジェネレータが動いていて、コードを入力してもログインできない場合には、「コードが認証されません」をタップし「リセット」を選択すると、コードジェネレータが自動的に再設定される。

他のコード生成アプリを利用する場合には、Webは、先のセキュリティ設定ページの[コードジェネレータ]の項目で「セキュリティコードを入手するその他の方法を設定」に進み、指示に従ってコード生成アプリを設定する。公式アプリの場合は、アプリのメニューから[アカウントの設定]→[セキュリティ]→[サードパーティ認証]の順に進み設定する。

確認コードを入力する代わりに、ログインしている別のブラウザやアプリに承認させるやり方でログイン承認を行う方法もある。未承認の環境からログインが試行されるとログイン確認のお知らせが届くので、指示に従って進み「私です」をタップすると承認される。

ログイン承認に対応していないアプリ用に発行する専用のパスワードは、Webやアプリの[アプリのパスワード]で取得できる。ログインできなくなった際に使う特別なコードは、Webは[ログイン承認]の[携帯電話を持っていない時に使用するためコードを取得]で、アプリは[ログイン承認コード]で取得できる。

Twitterの2段階認証:ログイン認証

ログイン認証の有効化は、Webサイトまたは公式アプリから行える。Webサイトの場合は右上の自身のアイコンをクリックして[設定]を選択する。左のリストの[キュリティとプライバシー]をクリックし、[セキュリティ]セクションの[ログイン認証]で[ログインリクエストを認証]をオンにする。iOS版公式アプリの場合は、右下の[プロフィール]をタップし、[設定]アイコン(歯車)→[設定]→[アカウント]→[セキュリティ]と進み、[ログイン認証]をオンにする。Android版公式アプリの場合は、右上のメニューアイコン(≡)をタップし、[設定]→[アカウント]→[セキュリティ]と進み[ログイン認証]をオンにする。


図5 Twitterの「ログイン認証」。左:スマートフォン画面、右:Webサイト画面

ログイン認証の利用には、SMSを受け取ることのできる端末が必須だ。事前に、または設定の過程で電話番号を登録する。登録した電話番号宛に確認コードを記載したSMSが送られてくるので、それを入力すると電話番号が登録され、ログイン認証のオン/オフが行えるようになる。

ログイン認証に対応していないアプリ用に発行する専用のパスワードは、Webの[アプリのパスワードを生成]、アプリの[アプリの仮パスワード]で取得できる。ログインできなくなった際に使う特別なコードは、Webは[バックアップコードを取得]、アプリは[バックアップコード]で取得できる。

・メールアドレスや電話番号の照合を防ぐ

Twitterに登録したメールアドレスや電話番号は、一般に公開されることはないが、他のユーザーがアップロードした連絡先に含まれていた場合には、「おすすめユーザー」としてそのユーザーに通知される。知り合いに見つけてもらいやすくなるが、それを望まない場合は、「セキュリティとプライバシー」の設定で「メールアドレスの照合と通知を許可する」「電話番号の照合と通知を許可する」をオフにしておく。

・第三者によるパスワードリセットのリクエストを防ぐ

Twitterのパスワードリセットは、登録してあるメールアドレス、電話番号、ユーザー名のいずれかを入力するとリクエストできる。この中のユーザー名は公開情報なので、間違った指定やいたずらなど、第三者によるリクエストが行われることがあり、その度にパスワードリセットのメールが来る。覚えのないメールは無視すればよいが、大量に届くような場合には、ユーザー名だけではリクエストできないようにしておくとよい。
Webサイトの「設定」ページから「セキュリティとプライバシー」に進み、「パスワード」欄にある「パスワードのリセットに個人情報を使う」をオンにする。こうしておくと、リクエストする際に登録した電話番号やメールアドレスの入力が必須となる。

LINEの2段階認証:アカウント引き継ぎ設定

LINEは、公式アプリから電話番号またはFacebookの認証を行うとアカウントの新規登録が行える。アプリには、メールアドレスとパスワードを設定できるが、これは、機種変更時に電話番号で認証したアカウントを引き継ぐ場合や、パソコン版、iPad版などのLINEで使用するもの。Android版やiOS版のLINEアプリには、ログイン/ログアウトの機能はない。

アカウントの作成時の電話番号認証は、電話番号宛てのSMSか音声通話で確認コード(認証番号と呼んでいる)を取得し、アプリに入力すると登録される。電話番号は、固定電話や他の端末の番号でもかまわないが、1つの電話番号で利用できるLINEは1端末に限定される(Facebook認証も同様)。他の端末が同じ電話番号で認証し登録されると、元の端末のLINEは利用できなくなる。アカウントの引き継ぎを行わずに登録すると新規登録になる。元の端末のアカウント情報が流出することはないが、この手法による一種の乗っ取りが昨年発生し、運営が注意を呼びかけた。


図6 LINEのアカウント引き継ぎ設定

機種変更などでLINEのアカウント情報を引き継ぐ際には、旧端末のLINEに登録したメールアドレスとパスワードを使った認証と、LINEの2段階認証が行われる。新規登録時と同じように、登録した電話番号宛てのSMSか音声通話で確認コード(認証コードと呼んでいる)が送られて来るので、新しい端末に入力する。

機種変更時に電話番号が変わる場合には、確認コードの取得が旧端末の電話番号になるので注意したい。確認コードは、旧端末(パソコン版などでのアクセスも可)のLINEのトークにも送られてくるので、確認できる場合はこれを新しい端末に入力する。これは、Facebook認証を利用している場合も同様だ。旧端末のトークが確認できない場合には、LINEに登録してあるメールアドレス宛てにアカウントの引き継ぎを続行する認証用URLを送ってもらう方法もある。

・パソコン版などからのログインに注意

LINEは、1アカウント1端末が原則だが、パソコン版とiPad版のLINEに関しては、他の端末のLINEアカウントにログインし、同じアカウントを利用できる。ログインには、そのアカウントに設定したメールアドレスとパスワードを使うか、表示したQRコードをスマートフォン版などのLINEで読み取る。初回のログイン時には、パソコン側に本人確認用のコードが表示されるので、スマートフォン側にそれを入力するとログインが完了する。

ログイン時には(失敗した場合も含む)トークに通知されるので、知らない間に覗き見されてしまう可能性は低いが、心配な方はこの機能を停止しておくとよい。その他のメニューから歯車アイコンを選択し[設定]→[アカウント]に進み、[ログイン許可]をオフにしておくとログインできなくなる。LINEアカウントにログインしている端末は、その他のメニューから[設定]→[アカウント]→[ログイン中の端末]に進むと確認でき、覚えのない端末を強制的にログアウトすることも可能だ。


図7 LINEアカウントにログイン中の端末を確認し、覚えのない端末があれば強制的にログアウトできる

今年2月までは、iTunesのバックアップ/復元機能を使ってiOS版LINEの複製を別の端末に作成することでも、複数の端末から同じアカウントにアクセスすることができた。1月に起きた芸能人のプライベートなトークが流出し、悪質な週刊誌に掲載された事件では、この方法を悪用し、被害者のLINEに不正アクセスしたのではないかと言われている。この方法は、iOS版でトークを含むアカウント情報を引き継ぐ唯一の手段だったが、その後のアップデートで仕様が変更され、現在はこの方法でアクセスできなくなっている。

(執筆:現代フォーラム/鈴木)



お知らせ