2ファクタ認証のメリット
前号では、インターネットの世界で一般的になりつつある「ワンタイムパスワード(TOTP)」を用いた「多要素認証」について解説しました。TOTPは安全性に優れ、先述のとおりインターネットでの標準として認識されているため、アップルとしてもサポートすべきものとなりました。従来、アップルは多要素認証として、SMS(ショートメッセージサービス)を用いる「2ステップ認証」という仕組みを用意していました。これに加えて、新たにTOTPを実装した「2ファクタ認証」を用意したのです。
2ファクタ認証のセットアップは非常に簡単です。Macの「システム環境設定」、もしくはiOSデバイスの「設定」アプリから2ファクタ認証を有効にする設定を行い、セキュリティの質問やクレジットカード番号などでユーザの認証を行い、電話番号を登録するだけです。
以降、アイクラウドにサインインを試みるなどアップルIDでの認証が必要になると、登録されたデバイスに認証画面が表示されるようになります。ここで[許可する]を押すと、TOTPと同じく6桁の毎回変わる数値(確認コード)が表示され、アイクラウドの画面で入力すると認証に成功します。トラブルでデバイスが使えなくなった際は、登録された電話番号へのSMSや電話で確認コードを受け取ることもできます。
アップルらしい便利さ
これも前号で説明したように、グーグルの多要素認証システム「2段階認証プロセス」や、マイクロソフトアカウントの2段階認証など、一般的なTOTPを使った多要素認証では、事前に「Authenticator」アプリを用意して、認証先ごとに「シード」(認証に必要な数列)を登録するのが一般的です。グーグルやマイクロソフトなど、各社が提供するAuthenticatorアプリでは、QRコードを読み取ることでシードを登録することができ、長い数値を打ち込む手間がありません。
ただし、QRコードを表示するデバイスと、カメラで読み取るデバイスと、2つの機器が必要になってしまいます。加えて、そもそも事前にAuthenticatorアプリを入れておく必要もあります。
しかし、アップルの2ファクタ認証ではこうした手間がありません。Authenticatorアプリに相当する機能はmacOS/iOS自身に組み込まれており、シードのやりとりはアイクラウドで自動的に行われます。
また、認証のたびにAuthenticatorアプリを起動させる手間はなく、認証時に自動的に確認のウインドウがポップアップ表示されるのも便利です。加えて、地図の表示により認証を行おうとしているデバイスの大まかな場所がわかります。日本にいるのにアメリカなど、ほかの国から認証を求められたら明らかにおかしいので、認証の拒否もしやすいというわけです。
2ファクタ認証の前提条件
2ファクタ認証を有効にするには、2ファクタ認証に対応したバージョンのOSがインストールされたMacもしくはiOSデバイスが最低1台、アイクラウドに登録されている必要があります。登録されていないと「2ファクタ認証を有効にする」ではなく、「2ステップ確認を有効にする」と表示されます。名前が似ているため、非常に紛らわしいのでご注意ください。
iPhoneやMacを買った人が初期セットアップの流れでアイクラウドアカウント(アップルID)を新規作成した場合、自動的にそのデバイスが登録されているのですが、オンラインでアイクラウドアカウントだけを作った場合、あるいは2ファクタ認証に対応できない古いデバイスしかない場合などは注意が必要です。
忘れてはならない注意点
2ファクタ認証は極めて安全ですが、手元に登録されたデバイスがあるか、SMS/電話で確認コードを取得する必要があるなど、条件面での制約があります。注意すべきケースは、iPhoneしか2ファクタ認証の対応デバイスを持っておらず、そのiPhoneが壊れてしまったときの場合です。
ほかのパソコンからアイクラウドにアクセスしようとする、あるいはiPhoneを再セットアップしようとすると、アイクラウドでの認証が必要になってしまい、このときに2ファクタ認証が発生します。ここで認証するiPhoneが壊れている、あるいはセットアップ途中だと確認コードは表示されず、また場合によってはSMSも電話も受け取れないこともあります。そして、2ファクタ認証を解除しようにも、2ファクタ認証が必要です。つまり、がんじがらめの状態になってしまうのです。
アイクラウドにはiPhoneとMacや iPadといった別のデバイスを登録しておくか、あるいは家の固定電話や家族の電話機などの、iPhoneではない別の電話番号を登録しておくなど、必ず2つ以上のデバイスが使えるようにしておくべきです。なお、2ファクタ認証のときには、登録されたデバイスすべてに確認のパネルが表示されます。一方、電話番号やSMSは指定しない限り、使われることはありません。
アップルの2ファクタ認証に限らず、多要素認証は非常に安全ですが、デバイスを忘れたり、盗まれたり、壊れたときに自分も閉め出されてしまうことがあります。1台のデバイスに依存しないように考える必要があるのでくれぐれも気をつけましょう。
2ファクタ認証の設定
macOSの場合、「システム環境設定」→[iCloud]→[アカウント詳細]→[セキュリティ]から[2ファクタ認証]をオンにします。iOSの場合は「設定」→[Apple ID]→[パスワードとセキュリティ]から[2ファクタ認証]をオンにします。
2ファクタ認証時
2ファクタ認証をオンにすると、Apple IDへのサインイン時に登録デバイスにポップアップが表示されます。また拒否した場合には、素早くパスワード変更ができるよう、パスワード変更へのリンクが表示されます。サインインの要求のポップアップに表示されている地図上が知らない土地だったとしたら、あなたの知らないところで正しいパスワードが入れられたということです。至急パスワードを変更すべきでしょう。
2ファクタ認証のトラブル
2ファクタ認証でiPhoneやMacでのコード取得ができない場合、[確認コードを受信していませんか?]をクリック、[電話番号を使用]をクリックして、電話番号を選択(複数登録している場合)することで、SMSや音声通話で確認コードを送付できます。2ステップ確認と同じく盗聴の恐れがあるので、緊急時以外には使わないほうがよいでしょう。
【2ファクタ認証の地図 】
2ファクタ認証時に表示されるポップアップの地図の位置は、認証を試みたデバイスのIPアドレスをもとに大まかな住所を割り出して表示しています。IPアドレスはヨーロッパ、アメリカ大陸、太平洋地域などおおまかな地域ごと、さらにそこから各国ごとに割り当てられています。そのため、大まかな国はわかりますが、IPアドレスと地理的な位置にはそれ以上の関係はないため、細かい場所を特定できません。たとえば、神戸にいるのに大阪からアクセスしているように見えることはありえるでしょう。しかし、日本にいるのにアメリカからアクセスしているように表示されることはまずありえません。自分が認証を試みた瞬間にたまたま別の国で不正なアクセスを試みられた場合、「許可しない」を押すことでそもそも認証コードを表示させないようにできます。表示されなければ盗み読まれる可能性もゼロのため、わずかな危険も侵さずにすみます。
【 複数のiCloudアカウント 】
iOS、macOSともに1つのデバイスで複数のiCloudアカウントの2ファクタ認証に対応できます。iOSの場合は、「設定」の[メール]からアカウントを選択、[アカウントの追加]で2つめのiCloudアカウントを登録するだけです。このとき、メールや連絡先、カレンダー、リマインダー、メモのいずれも同期する必要はありません。2つめ以降のiCloudアカウントの2ファクタ認証の有効化についてはiOSからは聞いてきませんので、WEBブラウザでApple IDの管理画面に入り、2ファクタ認証を有効化する必要があります。macOSの場合も同じくシステム環境設定からインターネットアカウントの追加でiCloud アカウントを追加、2ファクタ認証を有効にするだけです。またmacOSではユーザごとに別IDの2ファクタ認証の設定もできます。この場合、そのユーザでログインしているときのみ地図のポップアップが表示されます。
文●千種菊理
本職はエンタープライズ系技術職だが、一応アップル系開発者でもあり、二足の草鞋。もっとも、近年は若手の育成や技術支援、調整ごとに追い回されコードを書く暇もなく、一体何が本業やら…。