So-net無料ブログ作成

なりすましメール被害も防ぐ「2段階認証」――フリーメールで利用するには [成りすまし]

主要なインターネットサービスが採用している「2段階認証」は、パスワードが盗まれても侵入を防ぐ、強力な不正ログイン対策のひとつだ。7月28日付の記事「自身のメルアドを送信元に“なりすましメール”が知人に送られる被害多発」で紹介した、メールクライアントからの不正ログインも、2段階認証が機能していれば、防ぐことができた。


通常のパスワード認証に、別の認証手順をもう1段階追加したのが2段階認証だ。各社が提供している2段階目の認証には、毎回変化する4~8桁の暗証番号(確認コード)を入力する方法と、端末に送られて来るログイン要求の通知に許可を与える方法、セキュリティキーなどと呼ばれる専用のハードウェアを使って端末に接続して認証する方法がある。

 確認コードを入力するタイプには、SMSやメール、音声で確認コードを通知するものと、コード生成用のハードウェアやスマートフォンのアプリを使うものがある。どの方法も、パスワードともうひとつの認証方法の両方が揃わないとログインできない。

 主要なサービスの2段階認証についてはトピックス記事でご紹介する(7月のトピックスではMicrosoft、Apple、Googleを取り上げており、8月にはTwitter、Facebook、LINEを取り上げる予定だ)。ここでは、2段階認証が各社のフリーメールサービスにどう影響するのかを解説する。

■Webサービスでの利用方法

 Webブラウザから利用するサービスでは、2段階認証が有効になると、ログイン時のパスワード認証に続いて、2段階目の認証を求めてくるようになる。たいていの場合、ログインに使用したWebブラウザを登録できるようになっており、登録した環境からのログインは、2段階目の認証が省略される。
 2段階目の認証が追加されて操作が変わっても、ユーザーは臨機応変に対応できるが、アプリの場合はそうはいかない。2段階認証に対応していないアプリは、追加の認証を行えないのでログインできなくなってしまう。POPやIMAPという仕組みを使ってメールにアクセスするアプリ(メールクライアント)もそのひとつだ。これら未対応のアプリは、2段階認証を設定すると、メールにアクセスできなくなってしまう。

■対応アプリでの利用方法

 サードパーティ製の対応メールクライアントは、いわゆるアプリ連携と呼ばれる方法を使ってアクセスするのが一般的だ。アプリ連携は、初期設定時にアプリが連携先のサービスにアクセスをリクエストし、ユーザーがそれを承認することによって、サービスとアプリの連携が成立するというもの。連携が成立すると、サービス側からアプリに対しアクセストークン(チケットや許可証のようなもの)が発行され、以後アプリは、このトークンを使ってサービスにアクセスする。
 アプリ連携の承認に際しユーザー認証が行われるので、パスワードだけではアプリを連携することができない。また、アプリに直接パスワードを設定する従来の方式と違い、安全性も高い。

■未対応アプリでの利用方法

 このような仕組みに対応していない従来型のメールクライアントでも、サービスを引き続き利用できるように、各社のサービスでは、個々のアプリに特別な専用パスワード(アプリパスワード)を発行する機能を用意している。このアプリパスワードをログインパスワードの代わりに設定すれば、2段階認証に対応していないアプリも、これまで通りに使い続けることができる。

 ユーザーの多い主要なフリーメールとして、マイクロソフトの「Outlookメール」、アップルの「iCloudメール」、グーグルの「Gmail」がある。これらについて、汎用メールクライアントを利用するポイントとなる、アプリパスワードの発行方法をご紹介する。ちなみに他と対応の異なるヤフーの「Yahoo!メール」には、アプリパスワードはない。同社が「ワンタイムパスワード」と呼んでいる2段階認証は、メールクライアントからのアクセスには機能せず、通常のID/パスワードだけでアクセスできてしまう。

<Outlookメール>
 マイクロソフトのサービスには、これまでの経緯からいろいろな名前が付けられているが、ここではフリーメールサービスを「Outlookメール」、アカウントを「Microsoftアカウント」とする。Outlookメールでは、POPが規定で無効になっているので、POP接続を利用する場合は、有効化しておく必要がある。WebブラウザでOutlookメールにログインし、右上の歯車アイコンをクリックし「オプション」を選択する。「アカウント」のところにある「POPとIMAP」を選択し、POPを有効にして「保存」をクリックするとPOPが利用できるようになる。
 アプリパスワードの発行は、Microsoftアカウントの「セキュリティの設定」で行う。WebブラウザでMicrosoftアカウントにログインするか、先ほどのOutlookメールの右上のアカウント名のアイコンをクリックして「アカウントの表示」を選択する。「セキュリティとプライバシー」→「その他のセキュリティ設定」と進むと「セキュリティの設定 」ページが開く。下にスクロールしていくと、2段階認証が設定されていれば「アプリパスワード」というセクションがある。「新しいアプリパスワードの作成」をクリックすると発行される。

<iCloudメール>
 アップルのフリーメールサービス「iCloudメール」は、IMAPのみに対応する。2段階認証(同社では2ステップ確認、2ファクタ認証)に未対応のメールクライアントから利用できるようにするためのアプリパスワードの発行は、「Apple IDを管理」で行う。
 Webブラウザで「Apple IDを管理」にログインし、「セキュリティ」セクションの「編集」をクリックすると、Apple IDのセキュリティ機能にアクセスできる。「セキュリティ」セクションの「編集」をクリックして展開し、「App用パスワード」セクションの「パスワードを生成...」をクリックする。どのアプリ用のパスワードなのかを識別する任意のラベルを付けて「作成」をクリックすると発行される。

<Gmail>
 グーグルのフリーメールサービス「Gmail」は、POP/IMAP接続が既定で無効になっているので、POP接続やIMAP接続を利用する場合は、有効化しておく必要がある。WebブラウザでGmailにログインし、右上の歯車アイコンから「設定」を選択する。「設定」ページの「メール転送とPOP/IMAP」をクリックし、POPやIMAPを有効にして「変更を保存」をクリックすると利用できるようになる。
 アプリパスワードの発行は、「アカウント情報」の「ログインとセキュリティ」で行う。Gmailの右上のアカウント名のアイコンをクリックして「アカウント」に進む。「ログインとセキュリティ」を選択し、「Googleへのログイン」セクションにある「アプリパスワード」をクリック。端末とアプリを選択または指定して「生成」をクリックすると発行される。

(2016/08/01 セキュリティ通信)

【関連記事】
・自身のメルアドを送信元に“なりすましメール”が知人に送られる被害多発(セキュリティ通信、2016/07/28)
http://security-t.blog.so-net.ne.jp/2016-07-28
・不正ログインを防ぐパスワードの設定と管理(前編)――Microsoft、Apple、Googleの2段階認証(セキュリティ通信トピックス、2016/07)
http://www.so-net.ne.jp/security/news/newstopics_201607.html