Google Authenticatorはサイトログインへの2段階認証をしてくれるアプリです。
ログインのセキュリティーを高めてくれるGoogle Authenticatorですが、実際の安全性はどうなのか様々な視点から調査しました。
今後、2段階認証をする際にGoogle Authenticatorが必要という方は参考にしてください。
Contents
2段階認証とは
2段階認証とは?
サイトなどにログインするときは、1つのパスワードでログインできますが、2段階認証はログインする際に自分のパスワード+認証コードが必要になるログイン方法です。
ログインする際に必要なパスワードが漏れても、2段階認証のコード生成の設定をしておくことで、他の誰かに不正にログインされないというメリットがあります。
なぜ2段階認証が必要なの?
例えば、個人情報やクレジットカード情報などが入力されているサイトや仮想通貨で通貨の取引が必要など、お金が絡んでくる情報などは盗まれると厄介なことになります。
しかし、あらかじめ2段階認証を設定しておくことで、大きな被害を受ける前に、回避することが可能です。
ハッキング・ウイルスによってパスワードやメールアドレスが誰かに盗まれても2段階認証で情報漏えいを防ぐことができる!
Google Authenticatorの特徴
Google Authenticatorの特徴を以下にまとめてみました。
- 2段階認証のコード生成にはネット接続の必要がない!
- 多くのアカウントに対応しているので利用しやすい
- 日本語以外にも数十ヶ国語に対応してる
いくつかの特徴がGoogle Authenticatorにはありますが、一番メリットのある特徴は「コード生成にネット接続の必要がない」ところです。
例えば、コード生成にネット接続が必要!だけどフリーWi-Fiを利用するしかない!そのような状況でコード生成すると、情報を盗まれるという危険性が考えられます。
しかし、Google Authenticatorでは一度設定をしてしまえば、ネット接続がなくてもコード生成できるので、いつでもどこでも安心してコード生成することができるということです。
Google Authenticatorは安全性が高いか調査!
Google Authenticatorは本当に安全性が高いのか調査した結果を解説します。
大手企業のGoogleが開発しているので安心
まず、このGoogle Authenticator(2段階認証コード生成アプリ)は名前にも入っている通りあの大手企業の「Google」が開発しているサービスです。
様々なサービス(Google mapやGooglephotoなど)を手掛けているGoogleが提供している2段階認証コード生成アプリということもあり、有名なサイトやサービスの2段階認証としても利用されています。
- Amazon
- WordPress
- Yahoo!
- Dropbox
- Evernote
AmazonやYahoo!/Twitterなど多くの人が利用するサービスでGoogle Authenticatorを推奨しているということに、安全性の高さを感じます。
認証コードは毎回変わるので安心
Google Authenticatorで生成される認証コードは30秒間に6桁のコード(数字)となっており、30秒が経過すると認証コードは違う数字に変わってしまいます。
30秒以内に認証コードを打ち込むことができれば、認証完了画面が表示される設定になっています。
30秒という短さで認証コードが変わってしまうので、他の人にバレる・盗まれるという危険性は低いでしょう。
また、目に見える認証コードは6桁となっていますが、実際にはシステム上40桁のパスワードが生成されており、そのような点からも安全性が高いと言えるでしょう。
もし、スマホが故障・紛失した場合はどうなる?
結論からお伝えするとGoogle Authenticatorにはバックアップ機能がないので、スマホの故障・紛失で認証コードを生成できなくなり、ログインすることが不可能になる上に、2段階認証の解除もできなくなります。
その理由は簡単で、上の画像のようにバーコードなどでアカウントとこのアプリを紐づけているからです。
スマホをなくすという状態はアプリとアカウントの紐づけが切れてしまうということになります。
このような状況になってしまうと、どのサイト・サービスにもログインできなくなるので、ログインしたいサイトのサポートセンターに事情を説明して2段階認証を解除してもらいましょう。
他の2段階認証アプリではほとんどがバックアップ機能がありますが、Google Authenticatorはついていないので、これが実は意外な落とし穴となっています。
もし、認証コードの発行ができなくなるとどうなる?
スマホを故障・紛失した場合、認証コードを発行できないとお伝えしましたが、もし認証コードが発行できなくなると、どういう状況になるのか以下にまとめてみました。
認証コードがないとどうなる?
- 2段階認証に設定しているアプリ・サイトなどにログインすることが不可能になる
- 仮想通貨や株のサイトで2段階認証を行っていると、取引することができなくなる
- 通販サイトでの買い物や購入履歴などが見れなくなる
- サイトのブログを書くことができなくなる
- ファイル共有をすることができなくなる
- ネット銀行などで残高確認・振込などが利用できなくなる
- クレジットカードの利用履歴などが確認できなくなる
バックアップ機能がある2段階認証のアプリであれば、アプリをダウンロードして復元することが可能です。
しかし、Google Authenticatorにはバックアップ機能がないので、一切ログインすることができなくなります。
Google Authenticatorにバックアップ機能はありませんが、その対処法について後ほど、詳しく解説します。
Google Authenticatorで考えられる危険性
Google Authenticatorが必ずしも安全というわけではありません。ここからは考えられる危険性について紹介します。
パスワードが漏洩する可能性がないとは言いきれない
Google Authenticatorではサイトのアカウントと紐づけて認証コードを生成しますが、もしGoogle Authenticatorのセキュリティを打ち破るウイルスなどがあれば、パスワードが漏洩する危険性もあります。
Google Authenticatorの2段階認証を完全に信頼するのではなく、パスワードは定期的に変更したり、複雑なものにすることをおすすめします。
Google Authenticatorからコードを盗み出すマルウェアの存在も
実は、2段階認証は安心と言われてきましたが、オランダにあるサイバーセキュリティ企業Threat FabrickがGoogle Authenticatorのコードを盗み出すマルウェアを発見したと公表しています。
このマルウェアの特徴は?
Androidのデバイス(スマホやタブレットなど)にマルウェアが感染すると、コンピューターの遠隔操作で情報を抜き取るというウイルスです。
Google Authenticatorを遠隔で操作したのちに認証コードを勝手に生成します。
そして、そのコードを利用して不正にログインを行うという本当に危険なウイルスです。
ちなみに、Google Authenticatorだけでなく、ここ近年2段階認証は特に狙われていることが多く、2段階認証にしているから安心という状況でもありません。
■ウイルス以外の2段階認証を入手する手法■
フィッシング詐欺を利用して、ID・パスワードを入手します。
そこから認証コード発行させるように誘導して、そのコードを盗み取り本当のサイトに入力する。
そうすることで、2段階認証もあっという間に突破されてしまいます。
2段階認証も簡単に突破されてしまう状況があるので、メールにあるURLからサイトにアクセスしない、SMSのメールからアクセスしないなど、日頃からフィッシング詐欺に引っかからない対策をとっておきましょう。
認証コードの画面を他の人に見られる可能性がある
認証コードの画面だけであれば、他の人に見られても問題ありませんが、ログインする際のメールアドレスやパスワードを他の人に見られた上に、認証コードまで見られてしまうと、不正ログインされてしまう可能性があります。
アカウントにログインするときや認証コードを入力する場合には、周りに人がいないか確認してから入力した方がいいでしょう。
認証エラーが起きて、ログインできなくなる可能性がある
Google Authenticatorでは、時々「認証エラー」が起きてしまうことがあり、そのような状況になると正常にログインすることができません。
認証エラーが起きる場合はアプリを再起動させたり、時間を置いてから再挑戦するなどの対策を行ってみましょう。
※間違ってもアプリの再インストールはしないようにしてください!
Google Authenticatorをバックアップしておく方法
step1
step2
Google Authenticatorにはバックアップ機能はありませんが、あらかじめバックアップしておく方法はあります。
今回はTwitterを例にバックアップを試してみました。
- step1:Twitterにアクセスして左上のアイコンをタップ
- step2:メニューから「設定とプライバシー」をタップ
step3
step4
- step3:設定メニューから「アカウント」をタップ
- step4:ログインとセキュリティの「セキュリティ」をタップ
step5
step6
- step5:「2要素認証」をタップ
- step6:「認証アプリ」をタップ
step7
step8
- step7:「始める」をタップ
- step8:Twitterにログインする際のパスワードを入力して、「認証する」をタップ
step9
step10
- step9:「Link app now」をタップ
- step10:自動的にGoogle Authenticatorが開き、キーが保存されるので「OK」をタップ
ちなみに、QRコードが表示される場合はそのQRコードをスクショなどで必ず保存しておきましょう。
step11
step12
- step11:Google Authenticatorの認証コードを覚える
- step12:Twitter上に同じ認証コードを入力して「認証する」をタップ
step13
step14
- step13:認証後「OK」をタップ
- step14:認証されると、Twitterからバックアップコードのメールが届くのでリンクをタップ
step15
step16
- step15:Twitterへのログイン画面が表示されるので、IDとパスワードを入力して「ログイン」をタップ
- step16:認証アプリを使ってログインが表示されるので、Google Authenticatorの認証コードを入力後「ログイン」をタップ
step17:バックアップコードが表示されるのでスクショをとるか、メモに残しておきましょう。
バックアップの内容を復元する方法
もし、Google Authenticatorで認証することができなくなった場合は、Twitterにログインする際に「別の方法の2要素認証を選択してください」を選びます。
次に「バックアップコード」を選びましょう。
Google Authenticatorに登録する際にメモ・スクショしておいた、バックアップコードをここに入力して「ログイン」しましょう。
これで、Twitterにログインすることができます。
ただし、このコードは1回しか利用できないので、Twitterから2要素認証を解除して、Google Authenticatorに再設定しましょう。
Google Authenticator以外におすすめの2段階認証を紹介!
Google Authenticatorはバックアップができないので、ログインできなくなる可能性もあります。
そこで、ここからはバックアップ機能がついている2段階認証アプリを紹介します。
IIJ SmartKey
IIJ SmartKeyのメリット・デメリットを以下にまとめました。
メリット
- 機種変更した際の新しいスマホへの引き継ぎが簡単
- QRコードを保存するので、情報移行が便利
- アプリを開く際にパスワードの設定をすることができる
デメリット
- アプリ自体はバックアップが取れないので、バックアップを取り忘れると復元不可能
- スマホを紛失してバックアップを利用する場合は他のスマホが必要になる
Authy
Authyのメリット・デメリットを以下にまとめました。
メリット
- アプリ自体にバックアップ可能で復元可能(マスターパスワードを利用)
- マスターパスワードを利用すれば、他のデバイスからも利用できる(PCもOK)
デメリット
- 携帯番号・メールアドレスが盗まれ、マスターパスワードまで盗まれると危険
- アプリ全体が英語表記なので英語が全く分からないという方には不便
バックアップがある2段階認証アプリがおすすめ!
ここまで「Google Authenticator」「Authy」「IIJ SmartKey」3つのアプリを紹介しましたが、万が一のことを考えれば、やはりバックアップができる「Authy」「IIJ SmartKey」どちらかのアプリを利用して2段階認証をした方がいいでしょう。
ただし、「Google Authenticator」でしか2段階認証できないアプリやサイトがあるので、その場合には「Google Authenticator」を利用するしかありません。
