OTPと2FA

はじめに

ネットサービス、オンライン金融サービス、SNS、ゲームプラットフォーム、ネットバンキングが常に成長している現代社会では、ハッカーや詐欺師がアカウントや個人情報にアクセスするのを防ぐことが極めて重要ですが、そこで登場するのが、2FA（二要素認証）です。では、どの 2FA のアプローチが最適なのか見ていきましょう。

TeamPassword は、デジタル資産を保護しながらビジネスやプロジェクトの動きを確実にスムーズかつ安全にするためのチームのログイン情報やパスワードを、保存および共有するためのシンプルで効果的な方法です。

無料トライアルのお申込みはこちら

2FAの種類

2FA（二要素認証）とは何でしょうか。セキュリティの追加レイヤーを提供するために、ユーザー認証に１つまたは複数の要素を要求して、身元を証明することができるものであり、その要素には以下のようなものがあります。

• パスワード、暗証番号、セキュリティ質問など『知っている（覚えている）もの』
• スマートフォン、USBドングル、スマートカードなど『持っているもの』
• 指紋、音声、網膜スキャンなど『生体認証』

SMSやメールによるOTP

2FAは、サービスがスマートフォンなどのデバイスに OTP（ワンタイムパスワード）を SMS やメールで送る場合に最もよく使われます。

１回こっきりのコードの紙やファイルへの保存

事前に用意し、サービスコードで生成したこれらのコードは、印刷した紙やファイル、あるいはTeamPassword などのパスワードマネージャーに暗号化して保存することができます。

ソフトウェア認証 

最近普及してきた 2FA 方式です。ベンダーが提供するQRコード（認証ソフトで生成）をユーザーが読み取り、このコードに基づいてアプリケーションが仮パスワードを生成し、ユーザーが本パスワードと一緒に入力することで認証が完了します。

プッシュ通知

使いやすく、速くて安全な認証方法です。暗号化された通信経路によって"中間者 "攻撃は排除され、ユーザーは、スマートフォンでサービスからの要求を承認または拒否するだけで、アカウントにアクセスできるようになります。

FIDO U2F ハードウェア認証

オープンソースの U2F（ユニバーサル2要素認証）に基づく、最も信頼性の高い堅実な方法の１つです。ユーザーは、USBドングルやバンプ NFC デバイスを差し込むだけで認証が可能です。

生体認証 

顔認証、指紋認証、音声認証のようなものがあり、Apple の Face ID や Microsoft の Hello のような革新的な技術は、デバイスやオンラインサービスへのアクセスによく使われています。

OTPの脆弱性

2FA 方式にはすべて長所と短所があり、どの方式もハッキングからの保護は１００％ではありません。盗難やソフトウェアの設計不良、脆弱な接続経路、ソーシャルエンジニアリングの犯罪目的での使用により、望まないアカウントアクセスにつながる可能性があります。しかし、SMS 経由のOTPとメール経由のOTPが一番安全からは程遠いです。

SMS 経由の OTP

ロック画面通知が有効な場合、ハッカーはスマートフォンの画面に表示されるパスワード付きのメッセージを覗き見るだけで情報を盗めてしまいます。

SIMカードが盗まれたり、犯罪者があなたの社会保障番号を知っていれば、あなたの電話番号のクローンを作って、OTP の入ったテキストメッセージを直接受信し、あなたのアカウントにアクセスできるようにすることができます。

また、ハッカーは、モバイルルーチンのSS7（共通線信号No.7 / CCSS7）のプロトコルの主な欠陥を利用してメッセージを傍受する、いわゆる『SS7（Signalling System Number 7）攻撃』も可能です。

ハッカーは SMS 経由の OTP を使うことで、例えば Gmail アカウントのパスワードをリセットして、メールアカウントに完全にアクセスすることもできます。

メール経由のOTP

情報漏えいやフィッシング攻撃など、ハッカーは上記のような行為によってユーザーのメールアカウントに完全にアクセスすることができます。なので、ユーザーがメールによる 2FA や、パスワードの復元を行うサービスに紐づくメールアカウントを使っている場合、ハッカーは一度に数十のサイトやサービスにアクセスできるようになる可能性があります。

最適な認証方法

2FA に関しては、生体認証の利用が最も安全な方法となり得ますが、指紋の盗難について少し考えてみましょう。もしそのようなことが起これば、生体認証のセキュリティアプローチは今後危ういものになるでしょう。指紋は電話番号みたいに変えることもできません。

U2F（ユニバーサル2要素認証）キーの使用は、デジタル傍受が排除されてフィッシングの防止になり、最も安全な2FAアプローチと考えられていますが、欠点がいくつかあるため、それほど広く適用されていません。

USB-Aドングルは、アダプタを使わないスマートフォンや新しい Macbook などの異なるデバイスとの互換性がありません（最新デバイスは大抵USB-Cが使われています）。また、U2Fトークンは価格が高い場合があるので、オンラインバンキングやメインのメールアカウントなど、最も重要なアカウントの認証にのみU2Fキーを使用することをお勧めします。

もう一つの信頼できる認証方法は、ソフトウェア認証の使用です。ソフトウェア認証は、適用が簡単で、デベロッパーに幅広い選択肢を提供し、クロスプラットフォームの互換性を誇り、追加機能により 2FA の利用を広げることができます。ただし、TeamPasswordのような信頼できるソフトウェア開発会社を選ぶ必要があることを考慮してください。

プッシュ通知も認証のための良い選択肢になり得ますが、この 2FA オプションに関しては、いくつかの欠点に注意が必要です。最大の欠点は、プッシュ通知の使用にはスマートフォンとインターネット接続が必要であることであり、また、ユーザーの不注意によって不正なリクエストが誤って承認される可能性もあります。

まとめ

ユーザーの状況はそれぞれ異なるなので、様々な 2FA の方法が必要になりますが、 SMS 経由の 2FA OTPのアプローチを使うだけでも、パスワードの入力のみのワンステップ認証よりも安全になります。アカウントを完全に管理できるように、認証アプリケーションの開発に時間をかけ、U2Fキーにお金をかける価値はあります。

TeamPassword は、パスワードを正しく生成し管理するための最適なソフトウェアを提供します。早速、１４日間の無料トライアルにサインアップして、TeamPassword についてぜひ詳しくご覧ください。