見出し画像
Photo by subarasikiai

ITセキュリティを高めて生活すると、スマートフォンの乗り換え時に気を遣う話

Youkey (CTO/Engineering Manager)

 皆様、スマートフォンは使われていますでしょうか。多くの方は利用されており、しかも既にそれは台目である事は少なくないかと思います。私もAndroid/iPhoneなど複数台を利用してきました。

 さて、昨今のITセキュリティ事情を鑑みると、セキュリティは低いより高いほうがいいと思う私ではあります。ただ、今回はセキュリティを高めてシステムを考えるIT屋ではなく、利用者目線で感じた話。困った事、それは様々なサービスのログインなど本人確認に利用される【ワンタイムパスワード】【多要素認証】です。最近増えたと感じるのは、「セキュリティのため別な要素をリアルタイムで作るアプリ(なんとかの Authenticator)」でしょうか。

本記事は、特に認証アプリ利用した環境の話だと、思って読んでください。

私はiPhoneでGoogle Authenticatorを使いますが、他にも某サービス指定のため、別なアプリもインストールしています。これは安全・安心のために、私も意図して利用しています。ただ導入企業、利用企業が増えてアプリに多数の認証登録がリストで並んでおります。

本題にその前に、ワンタイムパスワード、多要素認証について少しだけ。

ワンタイムパスワードとは?

サービス・アプリケーションやシステムなど、コンピュータリソースにアクセスする際、一度だけ利用できるパスワードの事。

文字通り、1回のパスワードというのは一度目しか利用できず、使いまわしは出来ません。再度ワンタイムパスワードを利用する際には、再び取得する必要があります。その生成方法が漏洩しない限りは、非常に強固なセキュリティを実現ができます。比較的、金融機関、証券口座などセンシティブな内容を取り扱う企業のサービスで利用が推奨されます。

多要素認証とは?

MFA : Multi Factor Authentication 

本人を確認するための証拠を複数提示させる認証方法で、ユーザIDやパスワード以外に本人だけが知り得る「別な何か」を更に提示させる事が比較的多く2段階認証とも言われます。2要素も多要素に含みますが、2要素以上はあまり見かけない。画像に書かれた文字を入力させたり、秘密の質問を問うたり、SMSで数字を見せたりと「別な何か」の手段はいくつかあります。そういえば、マイナンバーカードもこの立ち位置な気がする。

一定時間で数字が変わるタイプのモノは、覚える必要が無く見て入力するため私も好んで使います。よく見かけるのは、新しいブラウザや端末でログインする時に本人による行動を確定つけるために、アプリで表示する数値を認証として入力を要求されるケースでしょうか。

本題

スマートフォン乗り換えで気を遣います。何故か?

決定的なのは、機種変更に伴う、アプリの移行や再インストールです。その際に(ゲームのアカウントでもそうですが、)スマートフォン側で準備される移行手段では「変更前のスマートフォンで使っていた、多要素認証を利用いるリスト」は基本的に引っ越しできません。認証を設定したリストが消えます。(新規インストール直後のような感じ)

これはセキュリティを高めるアプリの作りの都合上、やむを得ないのは理解します。システム屋だから。でも、ユーザ側面からすると面倒極まりない。

ここで一番危険なのは、「多要素認証を使ったサービスの多くでは、そのログイン後にしか、再度多要素認証の設定ができない」事です。もしくはなんとか出来るとしても、窓口電話やサポート依頼などが発生し面倒です。

確かに、第三者からすれば

「本人が正しく機種変更をしようとしているのか?」もしくは

「悪い輩が別機種から再登録をして乗っ取ろうとしているのか?」が

判別がつきません。

認証アプリの移行

手順として考えてみると、

1. 認証アプリを見て、その登録されているサービスを列挙

2. 登録したサービス全てでログイン+多要素認証を解除

3. 多要素認証無しで、ログインできるかを確認

4. スマートフォンの機種変更

5. 移行後のスマートフォンで認証アプリインストール(無ければ)

6.(2)で解除した多要素認証を、全てのサービスで再度設定を行う

7. もし認証用のアプリを複数入れていたら、その分繰り返す

となります。正直、面倒臭い。ゲームやLINEと同じく、移行前に準備したりアプリケーション間で同期を取ってくれると楽だと感じると思います。

終わりに

なお本記事は、このハマりによって暗号資産関連の海外サービスアカウントにおいて、アカウント凍結された実体験から書いております。(もっと英語力があれば、説明出来たかもしれない*。2歳児英語では無理、情けなし)

*「他の情報を言え」みたいなメールは貰えたが、簡易登録から付帯情報の入力サボっており「付帯情報少ない」+「携帯番号が変更」+「多要素認証NG」となって「ログイン後にしか多要素認証は外せない」の一点張りで詰みました。確かに怪しいやつの行動となってしまい、サービスの方にはご迷惑をお掛けしました。すいません。

この記事を読んだ方が、スマートフォン乗り換えの楽しい時間の直後、サービスログイン不可といった悲しい事態を避ける事に役立てば幸いです。

この記事が気に入ったらサポートをしてみませんか?