一度は利用経験がある方も多い『宅ふぁいる便』、実はお粗末な仕様で管理されていました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

海外からの不正アクセスによって個人情報が流出した『宅ふぁいる便』、私も過去に利用経験がありますが今は利用していません。

この情報漏えい、今の時代としては考えられない状態で管理されていたことには驚きです。

ファイル転送サービスは暗号化されたものを

『宅ふぁいる便』における大きな問題として、パスワードをはじめとした個人情報は一切『暗号化』されておらず、保管されているファイルも『暗号化』はされていなかったことにあります。

個人情報保護や情報セキュリティの徹底がさけばれる昨今においては考え難い管理です。

『ファイル転送サービス』を利用することそのものは決して悪いことであるとは思いません。

個人的にはメールに添付するよりも良いと思っています。

もし今後も『ファイル転送サービス』を利用したい場合、『暗号化されている』ことは当然ですが、『会員登録不要』のサービスがお勧めです。

例えば、以前ご紹介したMozillaの『Firefox Send』のことです。

もしくは『Google Drive（グーグルドライブ）』などを使っての受け渡しを行うことでも良いでしょう。

（『Dropbox（ドロップボックス）』は個人的にはお勧めしません。過去に情報漏えいがあったことで迷惑メール被害が結構ありました。）

ただし、自身のGoogleアカウントは必ず2段階認証を設定すべきです。

最後に、『宅ふぁいる便』を過去に利用したことがある方も含め、他のサービスなどにおいて『パスワード』の変更を行うべきです。

すでに流出してしまっている以上、『宅ふぁいる便』の復旧後にただ退会するだけでは意味はありません。

参考：＜宅ふぁいる便から漏えいした情報＞

・氏名（ふりがな）

・ログイン用メールアドレス

・ログインパスワード

・生年月日

・性別

・ 職業、業種、職種

・居住地の都道府県名

・居住地の郵便番号

・勤務先の都道府県名

・勤務先の郵便番号

・配偶者

・子供

※　すでに退会していても漏えい対象になっている可能性があります。

それにより、非常に多くの労力を強いられることになってしまったそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ある方はSNSをはじめとするウェブサービスにおいて『2要素認証（Two Factor Authentication）』を使っていました。

そして、ある時スマートフォンの機種を変更した際に悲劇が起きてしまったそうです。

2要素認証は安全だがリスクもある

2要素認証（Two Factor Authentication）というのは、ウェブサービスにログインする際、ID・パスワードなどで認証させた後、さらにスマートフォンなどでワンタイムパスワードを使って認証させるといった、2つの要素で認証をすることですが、これは安全ではあるものの若干リスクを伴うとも言えます。

何がリスクか？

2要素目の認証部分はスマートフォンなどにQRコードを読み込ませて登録したり、アプリケーションを入れ、そのアプリケーションで認証させたりします。

そして、もしスマートフォンを機種変更したり、トラブルで初期化してバックアップから復元するようなことが起きた場合においてはそれは元に戻りません。

簡単に言えば、スマートフォンの機種変更やバックアップからの復元の際には『2要素認証を解除』しておく必要があるということです。

もし解除していなかった場合、『バックアップコード』などにてウェブサービスにログインすることは可能ですが、これも保管していなかったとしたら最悪なことが起きる場合があります。

ウェブサービスに完全にログイン不可能になります。

とは言え、救済方法が全くないわけではありません。

登録されている携帯電話番号宛にSMS（ショートメール）で認証コードを送って救済してくれるものもあります。

しかし、SMS（ショートメール）に認証コードを送って救済してくれるウェブサービスばかりではありません。

サポートセンターに連絡をし、そのウェブサービスに登録されている情報を細かく提示した上で完全に情報を一致させるなどしなければ解除してもらえないものも多くあります。

このように、最終的な解決までには非常に労力を要することにもなります。

もっと最悪な場合はアカウントが使えなくなる場合もあり得るでしょう。

2要素認証（Two Factor Authentication）を使われている方、くれぐれもお気を付けください。

注：2要素認証（Two Factor Authentication）と2段階認証（Two Step Verification）は厳密には異なるものですが、前述のような事例の場合にはどちらにおいても一時解除した方が良いと言えます。

しかし、これにおいても問題が起きた事例があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭で書いた二要素（二段階）認証（Two-Factor Authentication：2FA）における問題事例ですが、今月初め、米国のソーシャルニュースサイト『reddit』にて発生しました。

redditでは、SMS（ショートメッセージサービス）を使った二要素（二段階）認証を義務付けていたようですが、これでは守り切れずに不正侵入を許してしまったようです。

では、このような事態から保護するにはどのようにしたら良いのでしょうか？

二要素認証を突破されないために

まずは二要素（二段階）認証の主な種類を見ていきましょう。

１．SMS（ショートメッセージサービス）を使うケース

２．E-mailを使うケース

３．電話を使うケース

４．ハードウェアトークンを使うケース

５．ソフトウェアトークンを使うケース

この中で、４と５のトークンを使った二要素（二段階）認証であれば今回の『reddit』のような事態は防げる確率は上がるはずです。

現にredditは、SMSベースの2FA認証からトークンベースの2FA認証への切り替えを促しています。

ただし、こればかりはサービスを提供している側がどのセキュリティ方法を提供しているかにもよりますので難しいところもありますが、選択肢があるのであればトークンベースの2FA認証に変更することがお勧めです。

また、仮に現時点ではSMSベースの2FA認証しか提供されていなかったとしても、今回のような事態を受け、他のサービスにおいてもトークンベースの2FA認証が提供される可能性も大きいと思われますので、こまめに情報をチェックしておくと良いでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、皆さんはGoogleのサービスにログインする際、どのような方法でログインしていますか？

おそらく、2段階認証を使っている人の中でも多くはSMSを使った2段階認証でGoogleのサービスにログインしているかと思いますが、実はこの方法は推奨されていません。

SMSによる2段階認証が非推奨な理由

米国立標準技術研究所（NIST）は、SMSによる2段階認証を以下の理由から安全ではないとし、非推奨としています。

１．攻撃者が携帯電話事業者をだましてSMSのメッセージを自分の携帯電話にリダイレクトさせられる

２．SMS経由で銀行からユーザーに送信されたコードを読み取る悪質なAndroidアプリが数多く存在する

では、どのような方法であれば安全なのでしょうか？

Google Promptを使った2段階認証

Googleは昨年、Google Prompt（プロンプト）という新たなオプションを導入し、提供しはじめました。

これは暗号化された接続を介して認証プロセスが実行されることから、SMSを使った方式よりも安全であり、推奨されています。

認証方法は非常にシンプルです。

１．Googleアカウントにログインすると、スマートフォンを確認するよう促すリマインダーが表示される

２．スマートフォンに送信された『ログインしようとしていますか？』というプロンプトで『はい』をタップする

これだけです。

ただし、Googleアカウントにて予めスマートフォンを追加しておく必要があることと、スマートフォンにはGoogleアプリを入れておく必要があります。

ちなみに、私の場合は『Google2段階認証とスマホ認証』の記事でご紹介したスマートフォン認証を使っていますが、プロンプト方式の2段階認証よりプロセスが増えますので、それでも良い場合はこちらがお勧めです。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

今日はかなり遅くなってしまいましたので、かなり走り書きになる可能性がありますがご容赦くださいm(_ _)m

さて、以前ご紹介したGoogleの2段階認証を覚えていらっしゃいますでしょうか？

冒頭でお書きした通り、WordPressの管理画面にログインする際のセキュリティを高めようということでご紹介したのですが、これはWordPressに限った話しではありません。

Googleの2段階認証とスマホ認証

皆さんもGoogleのツールはよく使われているかと思いますが、Googleへのログインとしては2段階認証以外にも認証する方法があります。

前者の2段階認証は、スマートフォンにGoogle Autheticatorというアプリケーションをインストールし、そこに表示されるワンタイムパスワードを入れることによってログインするものです。

これを使うことにより、自身が設定したパスワードだけではなく、ワンタイムパスワードも入れないとログインできないため、セキュリティ性を高めることができます。

これとは別に、もう少し簡単な認証方法があります。

スマートフォン認証というものです。

このスマートフォン認証の場合、アカウントを入力したらパスワードは入力することなく、スピーディーにログインすることができます。

１．2段階認証プロセスをオフにする

２．オフにした際、Googleへのログインに『パスワードの入力が煩わしい場合は、スマートフォンを使ってログインできます。開始』というところが表示されます。

３．開始をクリックしします。

４．スマートフォン側にてGoogleアプリをインストールし、同じアカウントでログインします。

５．パソコン側の設定をクリックすると、ログインしたスマートフォンが表示されます。

６．次へをクリックします。

７．アカウントが表示されたら次へをクリックすると、スマートフォン側にて『ログインしようとしていますか？』と表示されますので、『はい』をタップします。

８．Touch IDやスマートフォンのパスコードを入力すると、パソコン側に『正常に動作しています。オンにしますか？』と表示されますので、オンをクリックします。

以上で準備は終わります。

次からGoogleにログインしようとした際は以下の通りです。

１．アカウントを入力してログイン

２．スマートフォン側に『ログインしようとしていますか？』と表示されますので、『はい』をタップします。

３．Touch IDやスマートフォンのパスコードを入力すると、パソコン側に『正常に動作しています。オンにしますか？』と表示されますので、オンをクリックします。

４．パソコン側に表示されている数字と同じものをスマートフォン側にてタップします（3つの中から選択です）。

以上でログインはできますので、パソコン側にてパスワードを入れたりする必要がなくなります。

ご参考までに。

強化によりパスコードの長さがデフォルトで4桁から6桁になりました。

皆さん、こんにちは。

業務コンサルタントの高橋です。

日本時間の今日未明、新型のiPhoneであるiPhone6S・iPhone6S Plusが発表された

わけですが、これらを含め、Touch IDが搭載された機種、iPhone5S以降の機種

においては、iOS9においてデフォルトのパスコードの長さが6桁になります。

そして、アップル社の公式サイトでは以下のようにコメントされています。

Touch IDの指紋によるセキュリティに加え、パスコードの長さがデフォルトで4桁から6桁になりました。1万通りの組み合わせが100万通りに増えたため、あなたのパスコードは一段と強固なものになるでしょう。
さらに、新しいブラウザやデバイスからサインインする時にあなたに認証コードの入力を求める2ファクタ認証も利用できます。このコードは、あなたが使っているほかのApple製デバイス上に自動的に表示されるか、あなたの電話に直接送られます。そのため、あなたは瞬時にアカウントにアクセスできますが、無許可のユーザーによるアクセスは阻止されます。

これらが意味するものとは何なのでしょうか？

ITの進化とともに、各デバイスなどに対する攻撃も残念ながら進化してしまいました。

これにより、最近ではパスワードの長さを従来よりも長いものでないと設定できない

仕様とするところも随分増えてきました。

また、それとともに2つの認証方式を併用する2段階認証を取り入れるところも随分

増えてきています。

※　2ファクタ認証は2段階認証のことです。

そこから考えると、16日にリリースされるiOS9においてパスワードが6桁設定できる

ようになることや、2ファクタ認証が利用できることはごく自然な流れでしょう。

そして、これらの進化と同様、私たちのセキュリティに対する意識なども強化され、

進化もしていかなければいけないでしょう。