皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は少々注意喚起的な情報です。

Google Authenticatorにリスクあり

今回発見されたマルウェアは『Android』デバイスに対するもののようで、以前に発見されたものの亜種であるとされています。

以前のマルウェアでは『ワンタイムパスワード（OTP）』は窃取されなかったようですが、今回のものはそれが盗まれてしまうようです。

『Google Authenticator』が保護されている場合にはユーザーデバイスに手動で接続できるようにもなっているようで、リモートで接続されてしまった場合には『Google Authenticator』を勝手に操作され、『ワンタイムパスワード（OTP）』を生成されてしまうとか。

ただし、ここで生成された『ワンタイムパスワード（OTP）』は『スクリーンショット』にてコードを取得しているようで、スクリーンショットが取得されないようにすれば保護できるともされています。

私も過去には『Google Authenticator』を使用していたことはありますが、今は他の認証アプリに変えています。

利用者の多い『Google Authenticator』に危険を感じたことが理由です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、昨日お伝えした『WordPressのLogin Security』はログイン先の『2FA（Two-Factor Authentication / 二要素認証）』に何を使うか？というものでしたが、今日は、『ワンタイムパスワード』を発行するアプリに何を使うか？ということをお伝えしたいと思います。

2FA（二要素認証）のスマホアプリ

日本において一番使われていると思われるスマホアプリは『Google Authenticator / Google LLC』かとは思いますが、それ以外にも使えるものはいくつかあります。

・Microsoft Authenticator / Microsoft Corporation

・Authy / Authy Inc.

・Sophos Mobile Security / Sophos Ltd.

・1Password (mobile and desktop versions) / AgileBits Inc.

・LastPass Authenticator / LogMein, Inc.

・FreeOTP Authenticator / Red Hat

・その他etc…

こんな感じですが、『Google Authenticator / Google LLC』と同じくらい使われているのは『Microsoft Authenticator / Microsoft Corporation』のような気がします。

『1Password (mobile and desktop versions) / AgileBits Inc. 』は『パスワード管理』でもよく使われています。

個人的には『Sophos Mobile Security / Sophos Ltd.』がお勧めです。

ウイルス対策などの『エンドポイントセキュリティ』からネットワーク保護のための『UTM（Unified Threat Management） / 統合脅威管理』まで、コンピュータセキュリティのソフトウェアとハードウェアを開発・提供するベンダーです。

アプリには『2FA（Two-Factor Authentication / 二要素認証）』の『ワンタイムパスワード管理』以外に、『パスワード管理』、『QRコードのセキュリティチェック』、『Wi-Fiセキュリティ』も付いており、2FAの方式は『TOTP（時間ベース）』、『HOTP（カウンターベース）』、両方の方式に対応しています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

『WordPress』のプラグイン追加から『2FA（Two-Factor Authentication / 二要素認証）』を検索すると50以上のプラグインが出てきます。

そして、日本のWebサイトで『2FA（Two-Factor Authentication / 二要素認証）』を使っているところでは『Google Authenticator/作成者：Ivan Kruchkoff』というプラグインをインストールして使われていることが多いのではないでしょうか。

WordPressのログインセキュリティ

まず、万が一勘違いをされている方のためにですが、この『WordPressプラグイン』の『Google Authenticator / 作成者：Ivan Kruchkoff』というのはインターネット関連サービスの『Google LLC』が作ったものではありません。

iPhoneやAndroid向けアプリ『Google Authenticator（Google LLC 提供）』で認証できるということで名前を『Google Authenticator』としているくらいでしょう（勝手な推測です）。

個人的にはそれよりも他のものをお勧めしたいです。

一部のインターネット記事では『Google Authenticator – WordPress Two Factor Authentication (2FA) / 作成者：miniOrange（セキュリティ企業のようです）』というプラグインをお勧めされている方もいらっしゃいますが、これをインストールして設定を行おうとすると『E-mailアドレスの登録』を求められます。

理由は、非常に安全なAPIを使用してプラグインと通信し、コミュニケーションを安全に保つためにアカウントに特定のAPIキーを登録して割り当てるようにお願いしている、となっていますが、少々微妙な感じもします。

また、同社はこれよりももっとシンプルなプラグインも出していますが、最終更新が8ヶ月前でWordPressの最新バージョンでは検証されていません。

そこでお勧めしたいのが『Wordfence Login Security / 作成者：Wordfence』というプラグインです。

有効インストール数が多くて評価も高いのは同社が提供する『Wordfence Security – Firewall & Malware Scan / 作成者：Wordfence』というプラグインの方ですが、こちらはファイアウォール、ウイルススキャン、IPブロック、ライブトラフィックといった機能も含まれていて少々複雑です。

その『Wordfence Security – Firewall & Malware Scan / 作成者：Wordfence』から『2FA（Two-Factor Authentication / 二要素認証）』の部分だけを切り出したプラグインが『Wordfence Login Security / 作成者：Wordfence』になりますので、有効インストール数は少ないものの『2FA（Two-Factor Authentication / 二要素認証）』のためだけであればこちらの方がシンプルで使いやすいです。

まだ初回リリースではありますが、WordPressの最新バージョンでも検証されており、初回リリースとなっているのはユーザーから『2FA（Two-Factor Authentication / 二要素認証）』部分だけを切り出して提供して欲しいという要望があったことで最近になって『Wordfence Security – Firewall & Malware Scan / 作成者：Wordfence』から切り出したプラグインと感じます。

『作成者：Wordfence』の『Wordfence』はセキュリティソリューション製品名のようで、アメリカのワシントン州シアトルにある『WordPress Security』を得意とする企業が作成したもので、ビジネス向けのソリューション製品も扱っている企業なのでお勧めです。

セキュリティ的に少々心もとない感じがしませんか？

皆さん、こんにちは。

業務コンサルタントの高橋です。

昨今、ウェブが被害にあうのも普通にある話しになっています。

また、WordPressという便利なツールはウェブ制作において非常に重宝されて

いるものです。

そんなWordPressの管理画面へのログイン、少々危険を感じたことはないでしょうか？

そこで、最近銀行のインターネットバンキングなどでよく見かける、

『ワンタイムパスワード』を導入してみると良いです。

特別な費用は掛けずに行うことができる、Google Authenticatorというものが

ありますので、それを使うと便利です。

手順的には３つのステップで設定することができます。

１．Googleアカウントの２段階認証プロセスを有効にする

（Googleアカウントは事前に取得しておいてください。）

２．スマートフォンにGoogle Authenticatorアプリをインストール＆設定をする

３．WordPressにGoogle Authenticatorプラグインをインストール＆設定をする

この３つのステップを行うことで２段階認証を使うことができます。

詳細は下記のアドレスから確認してみてください。

２段階認証プロセス Google アカウント ヘルプ