皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は少々注意喚起的な情報です。

Google Authenticatorにリスクあり

今回発見されたマルウェアは『Android』デバイスに対するもののようで、以前に発見されたものの亜種であるとされています。

以前のマルウェアでは『ワンタイムパスワード（OTP）』は窃取されなかったようですが、今回のものはそれが盗まれてしまうようです。

『Google Authenticator』が保護されている場合にはユーザーデバイスに手動で接続できるようにもなっているようで、リモートで接続されてしまった場合には『Google Authenticator』を勝手に操作され、『ワンタイムパスワード（OTP）』を生成されてしまうとか。

ただし、ここで生成された『ワンタイムパスワード（OTP）』は『スクリーンショット』にてコードを取得しているようで、スクリーンショットが取得されないようにすれば保護できるともされています。

私も過去には『Google Authenticator』を使用していたことはありますが、今は他の認証アプリに変えています。

利用者の多い『Google Authenticator』に危険を感じたことが理由です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、昨日お伝えした『WordPressのLogin Security』はログイン先の『2FA（Two-Factor Authentication / 二要素認証）』に何を使うか？というものでしたが、今日は、『ワンタイムパスワード』を発行するアプリに何を使うか？ということをお伝えしたいと思います。

2FA（二要素認証）のスマホアプリ

日本において一番使われていると思われるスマホアプリは『Google Authenticator / Google LLC』かとは思いますが、それ以外にも使えるものはいくつかあります。

・Microsoft Authenticator / Microsoft Corporation

・Authy / Authy Inc.

・Sophos Mobile Security / Sophos Ltd.

・1Password (mobile and desktop versions) / AgileBits Inc.

・LastPass Authenticator / LogMein, Inc.

・FreeOTP Authenticator / Red Hat

・その他etc…

こんな感じですが、『Google Authenticator / Google LLC』と同じくらい使われているのは『Microsoft Authenticator / Microsoft Corporation』のような気がします。

『1Password (mobile and desktop versions) / AgileBits Inc. 』は『パスワード管理』でもよく使われています。

個人的には『Sophos Mobile Security / Sophos Ltd.』がお勧めです。

ウイルス対策などの『エンドポイントセキュリティ』からネットワーク保護のための『UTM（Unified Threat Management） / 統合脅威管理』まで、コンピュータセキュリティのソフトウェアとハードウェアを開発・提供するベンダーです。

アプリには『2FA（Two-Factor Authentication / 二要素認証）』の『ワンタイムパスワード管理』以外に、『パスワード管理』、『QRコードのセキュリティチェック』、『Wi-Fiセキュリティ』も付いており、2FAの方式は『TOTP（時間ベース）』、『HOTP（カウンターベース）』、両方の方式に対応しています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

『WordPress』のプラグイン追加から『2FA（Two-Factor Authentication / 二要素認証）』を検索すると50以上のプラグインが出てきます。

そして、日本のWebサイトで『2FA（Two-Factor Authentication / 二要素認証）』を使っているところでは『Google Authenticator/作成者：Ivan Kruchkoff』というプラグインをインストールして使われていることが多いのではないでしょうか。

WordPressのログインセキュリティ

まず、万が一勘違いをされている方のためにですが、この『WordPressプラグイン』の『Google Authenticator / 作成者：Ivan Kruchkoff』というのはインターネット関連サービスの『Google LLC』が作ったものではありません。

iPhoneやAndroid向けアプリ『Google Authenticator（Google LLC 提供）』で認証できるということで名前を『Google Authenticator』としているくらいでしょう（勝手な推測です）。

個人的にはそれよりも他のものをお勧めしたいです。

一部のインターネット記事では『Google Authenticator – WordPress Two Factor Authentication (2FA) / 作成者：miniOrange（セキュリティ企業のようです）』というプラグインをお勧めされている方もいらっしゃいますが、これをインストールして設定を行おうとすると『E-mailアドレスの登録』を求められます。

理由は、非常に安全なAPIを使用してプラグインと通信し、コミュニケーションを安全に保つためにアカウントに特定のAPIキーを登録して割り当てるようにお願いしている、となっていますが、少々微妙な感じもします。

また、同社はこれよりももっとシンプルなプラグインも出していますが、最終更新が8ヶ月前でWordPressの最新バージョンでは検証されていません。

そこでお勧めしたいのが『Wordfence Login Security / 作成者：Wordfence』というプラグインです。

有効インストール数が多くて評価も高いのは同社が提供する『Wordfence Security – Firewall & Malware Scan / 作成者：Wordfence』というプラグインの方ですが、こちらはファイアウォール、ウイルススキャン、IPブロック、ライブトラフィックといった機能も含まれていて少々複雑です。

その『Wordfence Security – Firewall & Malware Scan / 作成者：Wordfence』から『2FA（Two-Factor Authentication / 二要素認証）』の部分だけを切り出したプラグインが『Wordfence Login Security / 作成者：Wordfence』になりますので、有効インストール数は少ないものの『2FA（Two-Factor Authentication / 二要素認証）』のためだけであればこちらの方がシンプルで使いやすいです。

まだ初回リリースではありますが、WordPressの最新バージョンでも検証されており、初回リリースとなっているのはユーザーから『2FA（Two-Factor Authentication / 二要素認証）』部分だけを切り出して提供して欲しいという要望があったことで最近になって『Wordfence Security – Firewall & Malware Scan / 作成者：Wordfence』から切り出したプラグインと感じます。

『作成者：Wordfence』の『Wordfence』はセキュリティソリューション製品名のようで、アメリカのワシントン州シアトルにある『WordPress Security』を得意とする企業が作成したもので、ビジネス向けのソリューション製品も扱っている企業なのでお勧めです。

しかし、これにおいても問題が起きた事例があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭で書いた二要素（二段階）認証（Two-Factor Authentication：2FA）における問題事例ですが、今月初め、米国のソーシャルニュースサイト『reddit』にて発生しました。

redditでは、SMS（ショートメッセージサービス）を使った二要素（二段階）認証を義務付けていたようですが、これでは守り切れずに不正侵入を許してしまったようです。

では、このような事態から保護するにはどのようにしたら良いのでしょうか？

二要素認証を突破されないために

まずは二要素（二段階）認証の主な種類を見ていきましょう。

１．SMS（ショートメッセージサービス）を使うケース

２．E-mailを使うケース

３．電話を使うケース

４．ハードウェアトークンを使うケース

５．ソフトウェアトークンを使うケース

この中で、４と５のトークンを使った二要素（二段階）認証であれば今回の『reddit』のような事態は防げる確率は上がるはずです。

現にredditは、SMSベースの2FA認証からトークンベースの2FA認証への切り替えを促しています。

ただし、こればかりはサービスを提供している側がどのセキュリティ方法を提供しているかにもよりますので難しいところもありますが、選択肢があるのであればトークンベースの2FA認証に変更することがお勧めです。

また、仮に現時点ではSMSベースの2FA認証しか提供されていなかったとしても、今回のような事態を受け、他のサービスにおいてもトークンベースの2FA認証が提供される可能性も大きいと思われますので、こまめに情報をチェックしておくと良いでしょう。