あなたやあなたの知り合いが、公的な存在であったり、高額な資産を有していたり、オンライン窃盗犯にとって魅力的な何かを持っている場合、従来のセキュリティ対策だけでは不十分かもしれません。オンライン窃盗犯はますます「スピアフィッシング」と呼ばれる手法を使って個人を直接狙うようになっています。これは、携帯電話番号を盗み、それを使ってパスワードをリセットするという驚くほど容易な手法です(2018年10月4日の記事「iOS 12とMojaveでSMSテキストメッセージによるログインコード自動入力が可能になったが、依然として安全性に問題あり」参照)。認証アプリはこの問題に対する一般的な解決策ですが、技術に詳しくないユーザーにとっては使いこなすのが難しすぎるなど、いくつかの理由で問題を引き起こす可能性があります。
パートナーのキャロライン・グリーンと私は、マンハッタンでMacコンサルティング会社を共同経営しています。今年はスピアフィッシングの事例を2件目撃し、他にも数件の事例を耳にしました。私たちが担当した事例では、メール、ドメインホスティング、ソーシャルメディアサイトなど、複数の重要なアカウントが盗まれました。最終的にはほとんどのアカウントを復旧できましたが、他の状況でも確実に復旧できる保証はありません。さらに、アカウントは数日間アクセス不能状態にあり、アカウントの不正利用によって評判が損なわれる可能性も容易にありました。
悪意のある攻撃者のツールや手法がより洗練され、広範囲に及ぶようになるにつれ、スピアフィッシングがより頻繁に行われるようになることを懸念しています。コンサルタントや技術専門家として、私たちの課題は、クライアント、特に著名人や高額資産家の方々に、管理しやすい方法で包括的なオンラインセキュリティを提供することです。
認証アプリの代わりにGoogle Voiceのテキストメッセージを使用する手法を考案しました。設定は少し手間がかかりますが、使いやすく理解しやすいと考えています。また、信頼できるアシスタントやコンサルタントにアカウントへのアクセスを許可しなければならない人もいることを認識しています。この手法を公開する目的は2つあります。1つ目は、同様の解決策を探している他の人々の役に立つこと、2つ目は、外部からの精査によって潜在的な弱点や脆弱性が明らかになることを期待することです。
どこに感染していますか?
まず、オンライン アカウントを安全に保つための基本事項を確認しましょう。
- アカウントの優先順位付け:一般的な小売サイトやコンテンツサイトなど、すべてのアカウントに万全のセキュリティ対策が必要なわけではありません。しかし、必要なアカウントもあります。メールアカウント、Apple ID、Googleアカウント、Microsoftアカウント、ソーシャルメディアサイト、金融サイト、ドメインレジストラ、DNSホスト、Webホスト、Webサイトのコンテンツ管理システム、オンラインビジネスアプリケーション、クラウドストレージ、クラウドバックアップ、写真共有サイトなどです。つまり、失いたくない情報、他人に知られたくない情報、あるいは攻撃者に利用された際に自分の身元を偽られたくない情報が含まれているアカウントは、より一層の保護に力を入れるべきです。
- 強力で固有のパスワードを使用する:このアドバイスは誰もが聞いたことがあるかもしれませんが、改めて強調しておきます。すべてのパスワードを記憶しようとしないでください。そうすると、同じパスワード、あるいは似たようなパスワードのバリエーションを使い回すことになります。残念ながら、いずれかのサイトでセキュリティ侵害が発生した場合、窃盗犯があなたのすべてのアカウントにアクセスできるようになるというリスクがあります。すべてのオンラインアカウントには、コンピュータで生成された固有のパスワードが必要です。このパスワードは、1Password、Dashlane、LastPass、あるいは少なくとも現在のバージョンのWebブラウザに組み込まれている比較的シンプルなパスワードマネージャーに記憶されます。私が知っているパスワードは3つだけです。Macにログインするための管理者パスワード、1Passwordのマスターパスワード、そしてApple IDのパスワードです。残りのパスワードは1Passwordが知っています。
- 2ファクタ認証を使用する: 2ファクタ認証(2FA)とは、パスワードを入力すると、テキストメッセージ、画面上のダイアログ、または認証アプリを通じて別のコードまたはプロンプトが表示され、パスワードを知っているだけの他人ではなく、本人であることを確認する認証方法です。多くのAppleユーザーは、新しいデバイスでApple IDを使ってサインインする際にこの認証画面を目にします。2FAに対応している重要なサイトでは、必ず2FAを有効にしてください。2FAにはいくつかの種類があり、後ほど詳しく説明します。
- セキュリティ質問に偽の回答をする:一般的に、2FA(二要素認証)を有効にしている場合は、セキュリティ質問は不要です。しかし、一部のサイトではセキュリティ質問が必須です。そのようなサイトでは、私たちが別々でプライベートだと思っているあらゆる種類の情報を関連付けた、目に見えない悪意のあるデータベースが存在するという前提で運営されています(最も有名なのは「Facebook」や「Google」です)。誰でも数回の検索であなたの情報をすべて知ることができると想像してみてください。攻撃者がセキュリティ質問をハッキングするのを防ぐ方法の一つは、意味不明な回答(もちろんサイトごとに異なるもの)を作成し、パスワードマネージャーのメモエリアに保存することです。最初のペットの名前は何でしたか?「マカートマ・ガンジー」。誕生日は?「1919年1月9日」のようにランダムな日付を選んでください。
- 自分が重要だと思い込む:自分は取るに足らない存在なので、セキュリティ対策は他人のためだと考えるのは当然です。しかし、今は2020年。私たちは自分が思っている以上に目立ち、重要な存在になっています。これからお話しする電話番号盗難事件の動機は、その電話番号の持ち主が2文字のインスタグラム名も持っていたというだけのことでした。後に、ダークウェブの闇市場では非常に高い価値を持つことが判明しました。
あなたの携帯電話番号は弱点です
上記のすべてを実行しても、安全とは限りません。私たちが確認した2件のアカウント盗難のうち1件は、高度な攻撃でした。被害者は強力なパスワードとパスワードマネージャーを使用していましたが、犯人はSIMカードから自分の携帯電話番号を自分の携帯電話に移行させました。犯人が被害者の電話番号が登録された携帯電話を入手すれば、確認コードはテキストメッセージで送られてくるため、パスワードのリセットを要求するだけで簡単にアカウントにアクセスできました。
どうしてこんなことが起きたのか、不思議に思われるかもしれません。犯人はソーシャルエンジニアリングを駆使し、被害者の携帯電話会社の担当者に電話番号の移行を依頼したのです。あり得ないシナリオだと思うかもしれませんが、次の視点で考えてみてください。世界中の誰もがあなたの携帯電話会社のカスタマーサービスに電話をかけることができ、電話に出た従業員全員があなたの番号を別のSIMカードに転送できるのです!これは大きなリスクです。ほとんどの携帯電話会社は、番号の移行前に転送ロック、パスコード、またはPINの入力を求めています。
キャリアに電話してPINを有効化し、パスワードマネージャーに保存しています。皆さんにもぜひ同じことをおすすめします。AT&T、Sprint、T-Mobile、Verizonの情報はこちらです。ただし、キャリア転送ロックだけに頼りたくはありません。キャリア転送ロックがどれほどうまく実装されているかは分かりませんし、中には巧妙に侵入を企む輩もいるでしょうから、巧妙に回避できるかもしれません。
認証アプリの問題点
セキュリティ専門家は通常、2要素認証のためにテキストメッセージを受け取るのではなく、Authy(2014年11月6日の記事「Authyは2要素認証トークンを保護します」参照)、Google Authenticator、Duo Mobileなどの認証アプリを使用することを推奨しています。これらのアプリは、30秒ごとに変更されるコードを独自に提供します。1Passwordなどの一部のパスワードマネージャーは、認証アプリとしても機能します。認証アプリは2要素認証コードを取得する非常に安全な方法であることは、私たちも認めています。
スタンドアロンの認証アプリで私たちが見つけた問題は、特に設計が優れているわけではないということです。私たちのクライアントは、新しいアカウントを設定するのに苦労し、一度設定してもアプリ自体が使いにくいのです。私たち人間にとっては使えるかもしれませんが、TidBITSを読まない人のことを考えています。認証アプリ機能を備えたパスワードマネージャを既に使っている人でさえ、2FAを設定するにはQRコードをスキャンし、「時間ベースのワンタイムパスワード」などの概念を理解する必要があります。
さらに、あなたや私のような人にとって、スタンドアロン認証アプリには次のようなリスクがあります。
- アシスタント、同僚、またはコンサルタントがアカウントにアクセスする必要がある場合、両方の人が同時に同じシードを使用してアカウントの認証アプリを構成する必要があります。
- アプリ内に表示されるアカウント名が見えにくくなる場合があり、ユーザーが同じサイトに複数のアカウントを持っている場合に混乱が生じることがあります。
- デスクトップ コンピューター上の認証アプリのサポートは制限されていたり、使いにくかったり、まったくサポートされなかったりする場合があります。
- デバイスの切り替え後に 2FA コードが失われるリスクがあります (Google Authenticator でこの問題が発生しました)。
- ログイン時に何をすべきかはユーザーには正確には伝えられず、正しい認証アプリを確認し、リストされている多数のコードの中から正しいコードを 1 つ見つけることを覚えておく必要があります。
- 多くのサイトでは認証アプリをまったくサポートしておらず、代わりに 2FA 用の SMS テキスト メッセージを受信できることが求められます。
1Password(そしておそらく他のパスワードマネージャーも)は、自動入力時にセキュリティコードをクリップボードに保存し、その旨を通知するなど、こうした懸念の多くに巧みに対処しています。しかし、パスワードマネージャーに2FAサポートを組み込むことには、独自の問題がないわけではありません。
- パスワードとワンタイムコードの両方を同じアプリに保存すると、マスターパスワードの紛失やデータの破損によりパスワードマネージャーにアクセスできなくなった場合に、アカウントが永久にロックアウトされるリスクが生じます。
- 同様に、パスワード マネージャーに何らかの侵害が発生した場合、2FA が有効になっているにもかかわらず、窃盗犯はすべてのアカウントに簡単にアクセスできるようになります。
- 同僚やその他の信頼できる関係者にアカウントへのアクセス権を付与するには、同時セットアップ、またはセカンダリ共有ボルトを用意することで複雑さが増す、より高価な「Teams」プランのいずれかが必要になります。
- 繰り返しになりますが、多くのサイトでは認証アプリ経由の 2FA をサポートしておらず、代わりに SMS テキスト メッセージの受信を求めています。
私たちは別の解決策を探し始めました。
認証アプリや携帯電話番号の代替としてのGoogle Voice
Google Voiceは、通話とテキストメッセージの両方に適した電話番号を提供する無料サービスです。Google Voice iOSアプリまたはWebブラウザからアクセスでき、どちらも通知機能を備えています。
Google Voice サービスは、実際の携帯電話番号と認証アプリに関して議論した多くの問題を解決できるため、魅力的です。
- 関連付けられている Google アカウントへのログイン アクセスがなければ電話番号を移行することはできません。つまり、ソーシャル エンジニアリングの餌食になる人はいないのです。
- テキスト メッセージはどのブラウザーや電話からでも簡単にアクセスできるため、アシスタント、同僚、コンサルタントがコードを簡単に受信できます。
- ユーザーは、他のテキスト メッセージと同様に携帯電話で通知を受け取るため、ユーザー エクスペリエンスに変化はありません。
- 弊社のクライアントが新しいアカウントを設定するのは簡単です。認証アプリや QR コードを扱う手間をかけずに、代替の電話番号を提供するだけで済みます。
私たちのアプローチは、この Google Voice 番号をホストするための新しい Gmail アカウントを作成することです。このアカウントでは、メールアドレス、名、姓、生年月日の欄に実際の個人識別情報を一切入力しません。次に、ユーザーの iPhone(必要に応じて iPad)に Google Voice アプリを追加し、サインインします。アカウントのメールアドレスはユーザーを特定するものではなく、Google Voice 番号のホスト以外の目的には使用されないため、窃盗犯がアカウントにたどり着くことはありません。また、たとえたどり着いたとしても、誰の番号なのかはわかりません。(この Google Voice アプローチを試す場合は、セットアップ時にデフォルトで追加される実際の携帯電話番号をアカウントから必ず削除してください。そうしないと、携帯電話番号を盗んだ攻撃者が Google Voice のテキスト メッセージ コードを入手できてしまいます。また、テキスト メッセージのメール アドレスへのデフォルトの転送も無効にしてください。)
強力なパスワードを使用することで、Google Voice アカウントは安全です。もし認証情報が失われたらどうなるでしょうか?これは少し大げさかもしれませんが、Google Voice アカウントのアカウント復旧が必要な場合に備えて、ユーザーの iCloud アドレスに関連付けられた、個人を特定しない別のメールエイリアスを使用します。エイリアスの背後にある、個人を特定しない実際の iCloud アカウントは、直接確認することも、クライアントの実際のメールアドレスに転送することもできます。そのため、たとえ窃盗犯が Google Voice アカウントの復旧用アドレスを発見したとしても、そのアドレスを使ってログインすることはできません。また、アカウント復旧時に Google から要求される可能性があるアカウント作成日と偽の生年月日も記録します。
Google Voiceの電話番号をご利用いただくことで、お客様は代替電話番号を使用するだけで、どのアカウントでも簡単に二要素認証を設定できます。認証コードが必要な場合は、テキストメッセージで通知されます。アシスタント、同僚、コンサルタントもコードにアクセスできます。また、Google Voiceアカウントへのログイン権限がなければ、代替電話番号を窃盗犯のSIMカードにコピーすることはできません。
二要素認証におけるGoogle Voiceの欠点
このGoogle Voiceのアプローチの最大のデメリットは、約6ヶ月ごとにテキストメッセージの送信や通話をしないと番号が失効してしまうことです。もちろんGoogleはこの点について警告を出していますが、私たちもお客様に対してそうしているように、積極的に対応するのが最善です。Google VoiceアカウントのGmailアドレス宛てのメールはすべて、定期的にチェックするアカウントに転送することをお勧めします。そうすれば、Googleからの警告をすぐに確認できます。また、カレンダーに半年ごとのリマインダーを設定するのも良いでしょう。
一部のウェブサイトでは、Google Voice番号を拒否したり、2FAの主な手段としてテキストメッセージを受け付けなかったりすることがあります。私は実際にそのようなケースをいくつか経験しています。例えば、FacebookはGoogle Voice番号をアカウントに最初に追加しない限り、受け付けません。CrashPlanは認証アプリをサポートしていますが、SMSはサポートしていません。このようなアカウントの場合、認証アプリ(または認証アプリとして機能するパスワードマネージャー)を使用するか、実際の携帯電話番号を入力するか、2FAを使用しないか、戦略的に判断する必要があります。また、一部の有名なウェブサイトでは2FAを全くサポートしていません(Spotifyなど)。
Adam Engst 氏は、Google Voice 番号にスパム電話がかかってくる可能性という、もう一つの潜在的なデメリットを指摘しました。Google Voice アプリでは、すべての通話とボイスメールを無視するようお客様にアドバイスする必要があります。さらに良い方法としては、アプリの設定で着信を無効にしたり、スパムの可能性のあるものをフィルタリングしたりできますが、Google が重要なコードを誤認した場合に、重要なコードを見逃してしまうリスクがあります。
最後に、Google VoiceはGoogleの周辺的な製品の一つなので、いつかGoogleがこれを廃止するかどうかは誰にも分かりません。とはいえ、Googleはユーザーが代替プランを検討できるよう、十分な警告を出す可能性が高いでしょう。
どう思いますか?
私はセキュリティの専門家ではありませんが、このシステムは、著名人や富裕層のお客様、あるいはセキュリティ意識の高い方々にとって、安全性と使いやすさのバランスが取れているように思えます。何か明らかな欠陥やリスクは見つかりましたか?コメント欄でお知らせください。
アイヴァン・ドラッカーは、ニューヨーク市に拠点を置くIvanExpert Mac Supportの創設者兼CEOです。彼は元Apple社のソフトウェア品質管理エンジニアで、1978年、8歳の時に初めてApple IIを使い始めました。