二段階認証、 SNS でも登録してますか？

はじめに

最近、Facebook Messenger でスパムメッセージが出回っています。「このビデオではあなたです」などと怪しげな日本語とともに動画ファイルや YouTube 風のリンクが送られてくる、という典型的なものです。

ぼくの元にも何通が届きました。メッセージ内容やリンクはパターンがあるようですが、全て同様の手口のスパムとなります。

これらはメッセージ内のリンクを開いてしまうことで
・アカウントが乗っ取られ、同様のメッセージを友だちへ送信する
・デバイスがコンピュータウイルスに感染する

などの被害に遭うことになります。場合によっては、アカウントにアクセスすることができなくなる恐れもあります。

普段からセキュリティを意識している人であれば、リンクを開かず本人に連絡する、という対応ができますが、不慣れな人だと信頼できる友だちから送られていることで、開いてしまうこともあるかもしれません。

このメッセージを送ってきた友だちも、別の友だちから送信された同様のメッセージからリンクを開いてしまったか、脆弱なパスワードを使いまわしていて不正アクセスされてしまったか、のいずれかにより、乗っ取りの被害にあったものです。

前者はリテラシーの問題なので 100% 防ぐことは難しいですが、後者はアカウントに対し 二段階認証を設定することで防ぐことができます。

二段階認証とは

二段階認証（Two-Factor Authentication / 2FA）とは、ログインID（メールアドレス）、パスワードとは別に電話や SMS 、アプリから一定期間だけ利用できる「認証コード」の入力が必要となる認証方式です。これにより、ログインID、パスワードが流出した際でも不正アクセスを防ぐことができます。

代表的な認証アプリは Microsoft や Google が提供しています。

‎Microsoft Authenticator

‎Google Authenticator

業務で利用する社内システムなどは会社から強制で設定している人も多いと思いますが、個人利用の SNS などのサービスでも設定していますか？

とくに IT 企業に勤めている会社員、情報系の学校に通っている学生が乗っ取り被害に遭ってしまうのはとても恥ずかしいことです。自分のアカウントで友だちにスパムメッセージをばら撒いてしまったら、注意喚起をする前に、まず自分で対策をしましょう。

以下、サービスごとの対応状況と設定方法をまとめます。

Facebook

最近乗っ取り被害が多発している Facebook。以下の URL で セキュリティとログイン > 二段階認証 へアクセスできます。
https://www.facebook.com/security/2fac/settings

SMS や認証アプリを使って 2FA を登録できます。また USB / NFC を使ったセキュリティキーでのログインや、リカバリーコードの取得もここから行えます。

Instagram

Facebook 傘下になった Instagram も、最近はスパムが増えてきています。以下の URL から セキュリティとプライバシー > 二段階認証 にアクセスできます。
https://www.instagram.com/accounts/two_factor_authentication/

Twitter

Twitter も乗っ取り被害の多いサービスのひとつです。以下の URL で  > セキュリティ > 2要素認証 へアクセスできます。
https://twitter.com/settings/account/login_verification

こちらも SMS によるテキストメッセージ、認証アプリでの認証が設定できるほか、セキュリティキーの設定、バックアップコード、仮パスワードの取得も行うことができます。

LINE

LINE に関してはかなり前から乗っ取りによる詐欺被害が多発していたので、すでに二段階認証が設定済みになっていることがほとんどだと思います。

アカウント > 電話番号 に電話番号が登録されていれば、すでに二段階認証の設定が完了している状態です。

LINE に関してはアプリ自体にパスコードが設定できる（iPhone なら Face ID / Touch ID も可能）ので、プライバシー管理 から設定しておくと良いでしょう。

Linkedin

Linkedin もビジネスユースも多い SNS なので、必ず登録しておきましょう。以下の URL から ログイン&セキュリティ > 二段階認証プロセス にアクセスできます。
https://www.linkedin.com/psettings/two-step-verification

こちらも他の SNS 同様、任意の認証アプリを登録すれば OK です。

Discord

最近はテレワーク用に導入している企業もあるらしい、ゲーマー向けのチャットツールです。なお、あくまで個人向けサービスのため、Discord は書面による契約無しでの商用利用を認めていません。
当然、IdP との連携、SAML/SSO なども非対応なので、業務利用することは個人的にはおすすめしません。

Preferences > マイアカウント から設定可能です。アプリ認証は Google Authenticator のみ対応しているようです。

ニンテンドーアカウント

Nintedo Switch や任天堂のスマホアプリ、ニンテンドーストアなどにサインインできるアカウントのことです。以下の URL で ログインとセキュリティ > 二段階認証の設定 へアクセスできます。
https://accounts.nintendo.com/2fa/authenticator

こちらもアプリ認証は Google Authenticator のみ対応しているようです。

Amazon

SNS ではありませんが Amazon も個人情報を利用するサービスなので、必ず設定しておきましょう。以下の URL から アカウント > ログインとセキュリティ > 2 段階認証 (2SV) の設定 へアクセスできます。
https://www.amazon.co.jp/a/settings/approval

終わりに

いま執筆している note は二段階認証が設定できませんでした。クレジットカードや銀行口座の情報などを扱うため、設定ができるようになると嬉しいですね。他にも TikTok などは二段階認証の設定が無いようでしたが、セキュリティ的にはそもそも TikTok を使わないほうが良いです。

他にも SNS、サービスは無数にあるので、二段階認証の設定有無、設定方法は随時確認して追記していこうと思います。