皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は少々注意喚起的な情報です。

Google Authenticatorにリスクあり

今回発見されたマルウェアは『Android』デバイスに対するもののようで、以前に発見されたものの亜種であるとされています。

以前のマルウェアでは『ワンタイムパスワード（OTP）』は窃取されなかったようですが、今回のものはそれが盗まれてしまうようです。

『Google Authenticator』が保護されている場合にはユーザーデバイスに手動で接続できるようにもなっているようで、リモートで接続されてしまった場合には『Google Authenticator』を勝手に操作され、『ワンタイムパスワード（OTP）』を生成されてしまうとか。

ただし、ここで生成された『ワンタイムパスワード（OTP）』は『スクリーンショット』にてコードを取得しているようで、スクリーンショットが取得されないようにすれば保護できるともされています。

私も過去には『Google Authenticator』を使用していたことはありますが、今は他の認証アプリに変えています。

利用者の多い『Google Authenticator』に危険を感じたことが理由です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、昨日お伝えした『WordPressのLogin Security』はログイン先の『2FA（Two-Factor Authentication / 二要素認証）』に何を使うか？というものでしたが、今日は、『ワンタイムパスワード』を発行するアプリに何を使うか？ということをお伝えしたいと思います。

2FA（二要素認証）のスマホアプリ

日本において一番使われていると思われるスマホアプリは『Google Authenticator / Google LLC』かとは思いますが、それ以外にも使えるものはいくつかあります。

・Microsoft Authenticator / Microsoft Corporation

・Authy / Authy Inc.

・Sophos Mobile Security / Sophos Ltd.

・1Password (mobile and desktop versions) / AgileBits Inc.

・LastPass Authenticator / LogMein, Inc.

・FreeOTP Authenticator / Red Hat

・その他etc…

こんな感じですが、『Google Authenticator / Google LLC』と同じくらい使われているのは『Microsoft Authenticator / Microsoft Corporation』のような気がします。

『1Password (mobile and desktop versions) / AgileBits Inc. 』は『パスワード管理』でもよく使われています。

個人的には『Sophos Mobile Security / Sophos Ltd.』がお勧めです。

ウイルス対策などの『エンドポイントセキュリティ』からネットワーク保護のための『UTM（Unified Threat Management） / 統合脅威管理』まで、コンピュータセキュリティのソフトウェアとハードウェアを開発・提供するベンダーです。

アプリには『2FA（Two-Factor Authentication / 二要素認証）』の『ワンタイムパスワード管理』以外に、『パスワード管理』、『QRコードのセキュリティチェック』、『Wi-Fiセキュリティ』も付いており、2FAの方式は『TOTP（時間ベース）』、『HOTP（カウンターベース）』、両方の方式に対応しています。

それにより、非常に多くの労力を強いられることになってしまったそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ある方はSNSをはじめとするウェブサービスにおいて『2要素認証（Two Factor Authentication）』を使っていました。

そして、ある時スマートフォンの機種を変更した際に悲劇が起きてしまったそうです。

2要素認証は安全だがリスクもある

2要素認証（Two Factor Authentication）というのは、ウェブサービスにログインする際、ID・パスワードなどで認証させた後、さらにスマートフォンなどでワンタイムパスワードを使って認証させるといった、2つの要素で認証をすることですが、これは安全ではあるものの若干リスクを伴うとも言えます。

何がリスクか？

2要素目の認証部分はスマートフォンなどにQRコードを読み込ませて登録したり、アプリケーションを入れ、そのアプリケーションで認証させたりします。

そして、もしスマートフォンを機種変更したり、トラブルで初期化してバックアップから復元するようなことが起きた場合においてはそれは元に戻りません。

簡単に言えば、スマートフォンの機種変更やバックアップからの復元の際には『2要素認証を解除』しておく必要があるということです。

もし解除していなかった場合、『バックアップコード』などにてウェブサービスにログインすることは可能ですが、これも保管していなかったとしたら最悪なことが起きる場合があります。

ウェブサービスに完全にログイン不可能になります。

とは言え、救済方法が全くないわけではありません。

登録されている携帯電話番号宛にSMS（ショートメール）で認証コードを送って救済してくれるものもあります。

しかし、SMS（ショートメール）に認証コードを送って救済してくれるウェブサービスばかりではありません。

サポートセンターに連絡をし、そのウェブサービスに登録されている情報を細かく提示した上で完全に情報を一致させるなどしなければ解除してもらえないものも多くあります。

このように、最終的な解決までには非常に労力を要することにもなります。

もっと最悪な場合はアカウントが使えなくなる場合もあり得るでしょう。

2要素認証（Two Factor Authentication）を使われている方、くれぐれもお気を付けください。

注：2要素認証（Two Factor Authentication）と2段階認証（Two Step Verification）は厳密には異なるものですが、前述のような事例の場合にはどちらにおいても一時解除した方が良いと言えます。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

今日はかなり遅くなってしまいましたので、かなり走り書きになる可能性がありますがご容赦くださいm(_ _)m

さて、以前ご紹介したGoogleの2段階認証を覚えていらっしゃいますでしょうか？

冒頭でお書きした通り、WordPressの管理画面にログインする際のセキュリティを高めようということでご紹介したのですが、これはWordPressに限った話しではありません。

Googleの2段階認証とスマホ認証

皆さんもGoogleのツールはよく使われているかと思いますが、Googleへのログインとしては2段階認証以外にも認証する方法があります。

前者の2段階認証は、スマートフォンにGoogle Autheticatorというアプリケーションをインストールし、そこに表示されるワンタイムパスワードを入れることによってログインするものです。

これを使うことにより、自身が設定したパスワードだけではなく、ワンタイムパスワードも入れないとログインできないため、セキュリティ性を高めることができます。

これとは別に、もう少し簡単な認証方法があります。

スマートフォン認証というものです。

このスマートフォン認証の場合、アカウントを入力したらパスワードは入力することなく、スピーディーにログインすることができます。

１．2段階認証プロセスをオフにする

２．オフにした際、Googleへのログインに『パスワードの入力が煩わしい場合は、スマートフォンを使ってログインできます。開始』というところが表示されます。

３．開始をクリックしします。

４．スマートフォン側にてGoogleアプリをインストールし、同じアカウントでログインします。

５．パソコン側の設定をクリックすると、ログインしたスマートフォンが表示されます。

６．次へをクリックします。

７．アカウントが表示されたら次へをクリックすると、スマートフォン側にて『ログインしようとしていますか？』と表示されますので、『はい』をタップします。

８．Touch IDやスマートフォンのパスコードを入力すると、パソコン側に『正常に動作しています。オンにしますか？』と表示されますので、オンをクリックします。

以上で準備は終わります。

次からGoogleにログインしようとした際は以下の通りです。

１．アカウントを入力してログイン

２．スマートフォン側に『ログインしようとしていますか？』と表示されますので、『はい』をタップします。

３．Touch IDやスマートフォンのパスコードを入力すると、パソコン側に『正常に動作しています。オンにしますか？』と表示されますので、オンをクリックします。

４．パソコン側に表示されている数字と同じものをスマートフォン側にてタップします（3つの中から選択です）。

以上でログインはできますので、パソコン側にてパスワードを入れたりする必要がなくなります。

ご参考までに。

セキュリティ的に少々心もとない感じがしませんか？

皆さん、こんにちは。

業務コンサルタントの高橋です。

昨今、ウェブが被害にあうのも普通にある話しになっています。

また、WordPressという便利なツールはウェブ制作において非常に重宝されて

いるものです。

そんなWordPressの管理画面へのログイン、少々危険を感じたことはないでしょうか？

そこで、最近銀行のインターネットバンキングなどでよく見かける、

『ワンタイムパスワード』を導入してみると良いです。

特別な費用は掛けずに行うことができる、Google Authenticatorというものが

ありますので、それを使うと便利です。

手順的には３つのステップで設定することができます。

１．Googleアカウントの２段階認証プロセスを有効にする

（Googleアカウントは事前に取得しておいてください。）

２．スマートフォンにGoogle Authenticatorアプリをインストール＆設定をする

３．WordPressにGoogle Authenticatorプラグインをインストール＆設定をする

この３つのステップを行うことで２段階認証を使うことができます。

詳細は下記のアドレスから確認してみてください。

２段階認証プロセス Google アカウント ヘルプ