皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、昨日お伝えした『WordPressのLogin Security』はログイン先の『2FA（Two-Factor Authentication / 二要素認証）』に何を使うか？というものでしたが、今日は、『ワンタイムパスワード』を発行するアプリに何を使うか？ということをお伝えしたいと思います。

2FA（二要素認証）のスマホアプリ

日本において一番使われていると思われるスマホアプリは『Google Authenticator / Google LLC』かとは思いますが、それ以外にも使えるものはいくつかあります。

・Microsoft Authenticator / Microsoft Corporation

・Authy / Authy Inc.

・Sophos Mobile Security / Sophos Ltd.

・1Password (mobile and desktop versions) / AgileBits Inc.

・LastPass Authenticator / LogMein, Inc.

・FreeOTP Authenticator / Red Hat

・その他etc…

こんな感じですが、『Google Authenticator / Google LLC』と同じくらい使われているのは『Microsoft Authenticator / Microsoft Corporation』のような気がします。

『1Password (mobile and desktop versions) / AgileBits Inc. 』は『パスワード管理』でもよく使われています。

個人的には『Sophos Mobile Security / Sophos Ltd.』がお勧めです。

ウイルス対策などの『エンドポイントセキュリティ』からネットワーク保護のための『UTM（Unified Threat Management） / 統合脅威管理』まで、コンピュータセキュリティのソフトウェアとハードウェアを開発・提供するベンダーです。

アプリには『2FA（Two-Factor Authentication / 二要素認証）』の『ワンタイムパスワード管理』以外に、『パスワード管理』、『QRコードのセキュリティチェック』、『Wi-Fiセキュリティ』も付いており、2FAの方式は『TOTP（時間ベース）』、『HOTP（カウンターベース）』、両方の方式に対応しています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

『WordPress』のプラグイン追加から『2FA（Two-Factor Authentication / 二要素認証）』を検索すると50以上のプラグインが出てきます。

そして、日本のWebサイトで『2FA（Two-Factor Authentication / 二要素認証）』を使っているところでは『Google Authenticator/作成者：Ivan Kruchkoff』というプラグインをインストールして使われていることが多いのではないでしょうか。

WordPressのログインセキュリティ

まず、万が一勘違いをされている方のためにですが、この『WordPressプラグイン』の『Google Authenticator / 作成者：Ivan Kruchkoff』というのはインターネット関連サービスの『Google LLC』が作ったものではありません。

iPhoneやAndroid向けアプリ『Google Authenticator（Google LLC 提供）』で認証できるということで名前を『Google Authenticator』としているくらいでしょう（勝手な推測です）。

個人的にはそれよりも他のものをお勧めしたいです。

一部のインターネット記事では『Google Authenticator – WordPress Two Factor Authentication (2FA) / 作成者：miniOrange（セキュリティ企業のようです）』というプラグインをお勧めされている方もいらっしゃいますが、これをインストールして設定を行おうとすると『E-mailアドレスの登録』を求められます。

理由は、非常に安全なAPIを使用してプラグインと通信し、コミュニケーションを安全に保つためにアカウントに特定のAPIキーを登録して割り当てるようにお願いしている、となっていますが、少々微妙な感じもします。

また、同社はこれよりももっとシンプルなプラグインも出していますが、最終更新が8ヶ月前でWordPressの最新バージョンでは検証されていません。

そこでお勧めしたいのが『Wordfence Login Security / 作成者：Wordfence』というプラグインです。

有効インストール数が多くて評価も高いのは同社が提供する『Wordfence Security – Firewall & Malware Scan / 作成者：Wordfence』というプラグインの方ですが、こちらはファイアウォール、ウイルススキャン、IPブロック、ライブトラフィックといった機能も含まれていて少々複雑です。

その『Wordfence Security – Firewall & Malware Scan / 作成者：Wordfence』から『2FA（Two-Factor Authentication / 二要素認証）』の部分だけを切り出したプラグインが『Wordfence Login Security / 作成者：Wordfence』になりますので、有効インストール数は少ないものの『2FA（Two-Factor Authentication / 二要素認証）』のためだけであればこちらの方がシンプルで使いやすいです。

まだ初回リリースではありますが、WordPressの最新バージョンでも検証されており、初回リリースとなっているのはユーザーから『2FA（Two-Factor Authentication / 二要素認証）』部分だけを切り出して提供して欲しいという要望があったことで最近になって『Wordfence Security – Firewall & Malware Scan / 作成者：Wordfence』から切り出したプラグインと感じます。

『作成者：Wordfence』の『Wordfence』はセキュリティソリューション製品名のようで、アメリカのワシントン州シアトルにある『WordPress Security』を得意とする企業が作成したもので、ビジネス向けのソリューション製品も扱っている企業なのでお勧めです。

それにより、非常に多くの労力を強いられることになってしまったそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ある方はSNSをはじめとするウェブサービスにおいて『2要素認証（Two Factor Authentication）』を使っていました。

そして、ある時スマートフォンの機種を変更した際に悲劇が起きてしまったそうです。

2要素認証は安全だがリスクもある

2要素認証（Two Factor Authentication）というのは、ウェブサービスにログインする際、ID・パスワードなどで認証させた後、さらにスマートフォンなどでワンタイムパスワードを使って認証させるといった、2つの要素で認証をすることですが、これは安全ではあるものの若干リスクを伴うとも言えます。

何がリスクか？

2要素目の認証部分はスマートフォンなどにQRコードを読み込ませて登録したり、アプリケーションを入れ、そのアプリケーションで認証させたりします。

そして、もしスマートフォンを機種変更したり、トラブルで初期化してバックアップから復元するようなことが起きた場合においてはそれは元に戻りません。

簡単に言えば、スマートフォンの機種変更やバックアップからの復元の際には『2要素認証を解除』しておく必要があるということです。

もし解除していなかった場合、『バックアップコード』などにてウェブサービスにログインすることは可能ですが、これも保管していなかったとしたら最悪なことが起きる場合があります。

ウェブサービスに完全にログイン不可能になります。

とは言え、救済方法が全くないわけではありません。

登録されている携帯電話番号宛にSMS（ショートメール）で認証コードを送って救済してくれるものもあります。

しかし、SMS（ショートメール）に認証コードを送って救済してくれるウェブサービスばかりではありません。

サポートセンターに連絡をし、そのウェブサービスに登録されている情報を細かく提示した上で完全に情報を一致させるなどしなければ解除してもらえないものも多くあります。

このように、最終的な解決までには非常に労力を要することにもなります。

もっと最悪な場合はアカウントが使えなくなる場合もあり得るでしょう。

2要素認証（Two Factor Authentication）を使われている方、くれぐれもお気を付けください。

注：2要素認証（Two Factor Authentication）と2段階認証（Two Step Verification）は厳密には異なるものですが、前述のような事例の場合にはどちらにおいても一時解除した方が良いと言えます。

しかし、これにおいても問題が起きた事例があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭で書いた二要素（二段階）認証（Two-Factor Authentication：2FA）における問題事例ですが、今月初め、米国のソーシャルニュースサイト『reddit』にて発生しました。

redditでは、SMS（ショートメッセージサービス）を使った二要素（二段階）認証を義務付けていたようですが、これでは守り切れずに不正侵入を許してしまったようです。

では、このような事態から保護するにはどのようにしたら良いのでしょうか？

二要素認証を突破されないために

まずは二要素（二段階）認証の主な種類を見ていきましょう。

１．SMS（ショートメッセージサービス）を使うケース

２．E-mailを使うケース

３．電話を使うケース

４．ハードウェアトークンを使うケース

５．ソフトウェアトークンを使うケース

この中で、４と５のトークンを使った二要素（二段階）認証であれば今回の『reddit』のような事態は防げる確率は上がるはずです。

現にredditは、SMSベースの2FA認証からトークンベースの2FA認証への切り替えを促しています。

ただし、こればかりはサービスを提供している側がどのセキュリティ方法を提供しているかにもよりますので難しいところもありますが、選択肢があるのであればトークンベースの2FA認証に変更することがお勧めです。

また、仮に現時点ではSMSベースの2FA認証しか提供されていなかったとしても、今回のような事態を受け、他のサービスにおいてもトークンベースの2FA認証が提供される可能性も大きいと思われますので、こまめに情報をチェックしておくと良いでしょう。