サイバーセキュリティ 
フィッシングサイトとは、正規のウェブサイトを装い、ユ
認証アプリはセキュリティを強化するために安全で簡単な本人確認方法で、ユーザーがアカウントにアクセスする際に認証情報と一緒に入力する番号コードを生成します。
これらのコードは定期的に変わるため、万が一パスワードが侵害されても、アカウントのセキュリティは維持されます。認証アプリはハードウェアトークンに代わるソフトウェアベースの解決策であり、スマートフォンやタブレットなどのデバイスにインストールして使用して使える優れたアプリです。
この記事では、認証アプリの基本的な仕組みと、なぜそれがセキュリティに効果的なのか、使い方などを解説します。
ビジネスプラン14日無料トライアルでKeeperが企業の安全を支えますビジネスのセキュリティ対策をKeeperで強化!
認証アプリの機能とは?
認証アプリ(Authenticator) は、多要素認証(MFA)における追加認証を行うために使用されます。MFAとは、パスワードが漏洩してもアカウントを保護できる重要な追加のセキュリティ対策です。今日のサイバーセキュリティ環境では、情報漏洩や巧妙なフィッシング攻撃などのサイバー脅威により、パスワードの漏洩は頻発に発生しています。
最も人気のある認証アプリには、Google Authenticator や Microsoft Authenticator などがあります。認証アプリは、本人確認のためにタイムベースワンタイムパスワード(TOTP)と呼ばれる認証コードを生成し、あなたが自分のアカウントにログインする際にユーザー名とパスワードを併せてこの認証コードを入力します。認証コードは通常、6桁から8桁の数字です。
認証アプリを使用すべき理由
セキュリティの専門家たちは、可能な限り多くのアカウントで多要素認証(MFA)を使用することを強く推奨しています。この方法は、個人データのセキュリティと保護を大幅に強化します。認証アプリは、このMFA機能を無料で、かつ簡単かつ安全に提供する手段の一つです。ほとんどのオンラインアカウントでは、セキュリティ設定の一部として認証アプリを利用するオプションが提供されており、これによりユーザーは自身のアカウントをより強固に保護することができます。
認証アプリ(Authenticator )の仕組み
認証アプリは TOTP認証モデルに基づいて機能します。アカウントで MFA を設定しTOTPを選択すると、アカウントサーバーは認証アプリでスキャンするQRコードを作成します。QRコードには、現在時刻を使用してTOTPコードを生成するためのシークレットアルゴリズムが含まれています。
認証アプリとアカウントサーバーだけがこのシークレットアルゴリズムを持っています。この 2 つはそれぞれがシークレットを使って同時に同じコードを生成します。
ユーザーはログイン時に認証アプリに表示されたコードを入力します。サーバーは入力されたコードと自分が生成したコードが一致することを確認します。一致すればユーザーのログインは許可されます。一致しなければユーザーのログインは許可されません。
認証アプリには多くの選択肢があります。人気のあるスマートフォン向けのスタンドアロン認証アプリには、Google Authenticator や Microsoft Mobile Phone Authenticator があります。
認証アプリには、Keeper Password Manager のようにパスワードマネージャーと統合できるものもあります。パスワードマネージャーは、パスワード、パスキー、TOTPコードなど、あらゆる認証情報を安全に保存できます。パスワードマネージャーは、すべてのデバイス間で同期され、認証情報とともに TOTPコードを自動入力できるものもあり大変便利です。これは、ログインのためだけに複数のデバイスを使用する必要がないことも意味します。
認証アプリは安全なのか?
結論から言うと、認証アプリは安全です。
認証アプリは、 認証コードをローカルのデバイスに留め、認証コードが暗号化されずにインターネットで送信されることがないので安全と言えます。つまり、一般的なサイバー攻撃手段では認証コードを傍受することはできないのです。認証コードは、30秒から60秒ごとにリセットされるのでサイバー犯罪者が窃取することは困難です。認証アプリは簡単、無料、安全に使用できるため、現在最も推奨されているMFA方法の 1 つです。
長い間、デフォルトのMFA方法として、ワンタイムパスコードをSMSのテキストメッセージやEメールで携帯電話に送信する方法が取られてきました。しかしながら、この方法には多くのセキュリティ上の欠陥が確認されています。これらのメッセージは暗号化されません。暗号化されていないため、サイバー犯罪者がメッセージを傍受すればコードを平文で確認できます。これらの認証コードの有効期限は15分間から数時間であることが多く、認証コードを詐取しアカウントに不正ログインするのに十分な時間をサイバー犯罪者に与えています。
この種のMFA方法はSIMスワップ詐欺に対しても脆弱です。SIMスワッピング詐欺でサイバー犯罪者は、あなたになりすまして電話プロバイダーにSIMカードを再発行させます。犯罪者はそのカードを使ってあなたの携帯電話宛ての通話を受けたり、MFAの認証コードを含んだテキストメッセージを受信したりします。
認証アプリがハッキングされることはまれですが例外もあります。ハッカーがデバイスのアプリにアクセスできた場合、認証コードが窃取される恐れがあります。つまり、スタンドアロン認証アプリを使用している場合、アプリの入ったデバイスを盗んだハッカーは認証コードにアクセスできる可能性があります。
理論的には、サイバー犯罪者がQRコード(すなわちシークレットアルゴリズム)を窃取できればアカウントへの不正ログインが可能になります。しかし、このようなことが実際に起こることはまれです。QR コードが窃取されるケースとしては、アカウントサーバーが安全でない場合、QR コードを他人と共有し漏洩させた場合、QRコードのスクリーンショットを安全でない場所に保存した場合だけです。
認証アプリのTOTPコードを保護するには、暗証番号を設定してデバイスを保護しあなただけがデバイスにアクセスできるようにします。また、QRコードは共有したり、スクリーンショットを保存したりせずに、自分だけの秘密にしておく必要があります。
認証アプリのセットアップ手順
認証アプリのセットアップ手順は以下の通りです。
- 導入する認証アプリを選ぶ。Keeperでは、パスワードマネージャーの使用をお勧めしますが、アプリの選択肢は他にもあります。あなたにとって最も使いやすい認証アプリを選びましょう。
- デバイスにアプリケーションをダウンロードする。スタンドアロン認証アプリを使用する場合は、アカウントにログインする必要があるときに、携帯はいつでも手元にあることが多いと思われますので、携帯電話にアプリをインストールしておくことをお勧めします。
- アカウントからQRコードを要求する。QRコードの要求は通常、MFAオプションで保護したいアカウントのセキュリティ設定から実施できます。
- 認証アプリでQRコードを読み取ります。お使いのアプリでデバイスのカメラやスクリーンショットの読み取り機能を使って、QRコードを読み取ります。
- 以上でセットアップは完了です。認証アプリに表示されたTOTPコードを入力してアカウントにログインします。TOTPコードをパスワードマネージャーで管理している場合は、コードはログイン時に自動入力されます。
まとめ:認証アプリをMFAとして使用する
認証アプリ(Authenticator )はオンラインセキュリティが格段に向上し、安全性が非常に高く、セットアップも使い方も簡単です。KeeperはMFAに認証アプリを使用することを強くお勧めします。さらに、認証アプリはパスワードマネージャーとも非常に相性が良いです。Keeperのようなパスワードマネージャーは複雑でユニークなパスワードの生成と管理を容易にし、認証アプリはこれらのアカウントに対する二次的なセキュリティチェックを提供します。この組み合わせにより、不正アクセスやデータ侵害のリスクが大きく減少し、ユーザーの個人情報はより堅牢に保護する事ができます。認証アプリとパスワードマネージャーを組み合わせることで、オンラインでのセキュリティ対策をさらに強化することが可能になります。
この機会にKeeperパスワードマネージャーの無料30日間トライアル体験または、14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。
