G Suite for Education での2段階認証の必要性について


2段階認証とは何?

「2段階認証」とは、ユーザーがメールや Google Drive を使うときに、 「パスワード」以外に「別の認証情報」も必要となる仕組みです。

新しいコンピュータから初めてメールにアクセスする時に「パスワード」以外に 「別の認証情報」(6〜8桁の数字)の入力が必要になります。

また、通常利用しているコンピュータでも月に1度だけ 「別の認証情報」の入力が必要になります。

「別の認証情報」は、携帯電話に送られてくるのが一般的です。

携帯電話を使わない人は、事前に発行して印刷しておいたバックアップコードを 「別の認証情報」として入力します。 バックアップコードは10個まとめて発行され、 どれから使っても構いませんが、 一度使ったバックアップコードはもう使えなくなります。 バックアップコードはいつでも新しく生成できます。

バックアップコードを使用してログインする方法や 発行方法については https://support.google.com/accounts/answer/1187538 で詳しく説明されています。


2段階認証を使うと何がいいの?

「2段階認証」を使うと、たとえあなたの「パスワード」が他人に漏れたとしても、 あなたのメールやGoogle Driveに他人はアクセスできません。 「別の認証情報」が入力できませんから。 結果として、あなたの情報は守られ続けることになります。


パスワードを漏らさなければいいのでは?

最近、「標的型攻撃メール」により、パスワードが漏れ、貴重なデータが流出する事件が多発しています。

「標的型」とは、攻撃対象の組織の情報をある程度調べあげて、 組織の中から特定の人物を選び出して、 引っかけるためのメールを送りつける攻撃です。

実際に送りつけられたら一定数の割合で引かかってしまうぐらいに、やり口が巧妙です。 たとえば、次のようなメールが届きます。

To: ○○@tsuda.ac.jp
From: nitta@tsuda.ac.jp
Subject: 入試割り当てについて

○○先生: 

来年の入試日程が変更されました。割り当て表がGoogle Docsのこちらにありますので、よろしくお願いします。

---
総務課 新田

標的型ですからこの「○○先生」の部分がまさしく「(あなたの名前)」なわけです。 しかも差し出し人の名前もメールアドレスも実在のものが使われます。

メール中のリンクをクリックすると、 次のように Google の偽サイトにログインするようにうながされます。

ここで表示されるのは偽サイトですが、 login 名も正しくあなたのアカウント名になっています。 なにしろ、敵はあなたのメールアドレスを知っていて、さらに多くの場合、氏名も知っているわけですから。 敵が欲しいのは、後はあなたの「パスワード」だけです。

ここでついパスワードを入力してしまうと、それでアウトです。パスワードは敵に漏れました。 後は「パスワードが違います」と表示されて、続いて適当な google のページが表示されれば、 まずあなたは偽のサイトに引かかったことに気づきません。 2段階認証を使っていなければ、 これ以後は、あなた宛のメールや Google Driveの情報など、 いろいろな情報が敵につつ抜けになります。


自分のセキュリティについて他人からとやかく言われたくない

敵は、漏洩したあなたのメールを使って、あなたの回りに標的型攻撃メールを送り付けます。

あなたに届くメールの内容は敵につつ抜けですし、あなたの本物のメールアドレスから攻撃を行いますから、 実に効果的に攻撃できます。

あなたは単なる踏台なのです。

敵は他に攻撃したい対象があって、その取っ掛かりとして一番脆弱なあなたを選んだだけにすぎません。


2段階認証以外の方法は無いの?

ちょっと前は「別の認証情報」として「秘密の質問」が流行っていた時代もありました。 「ペットの名前」や「母親の旧姓」など、本人もしくはその家族しか知らない情報を入力しないと ログインできない仕組みで、これも広義では2段階認証と言えます。

しかし、2014年9月に起きたiCloudに保存されていた米国人気女優・モデルなど 著名人のプライベート画像が多数流出した事件では、 ユーザー名・パスワードと共に秘密の質問の答も抜き取られたと言われています。

そもそも、著名人や知人に関する「秘密の質問」の答を探す作業はそんなに難しくない、という話があります。 しかも、「秘密の質問」の答は上記のように「標的型攻撃メール」で入力させることができますから セキュリティは確保できません。

「別の認証情報」が、 携帯電話に送られてくる(or 事前にバックアップコードとして発行された) 一度しか使えない One-time password であることがとても重要なのです。


でも数字の入力は面倒だし...

Googleの2段階認証プロセスには、「Google prompt」方式が加わりました。 Googleにログインしようとすると 月に1度だけ あらかじめ設定した携帯電話 (iPhone, Android) に 「ログインしようとしていますか?」 というメッセージ通知が 届き、「はい」を選択するだけで完了します。


携帯電話を使いたくない

バックアップコードを入力して下さい。月に1度だけです。


2段階認証を使っていれば安全なの?

残念ながらそうではありません。

あなたが標的型攻撃メールに引かかって偽サイトにパスワードを入力するのと同時に、 敵はあなたが入力した情報で本物のサイトにログインします。 すると2段階認証の数字があなたの携帯電話に届きますから、 あなたは偽サイトに2段階認証の数字を入力し、 敵はあなたが入力したその数字を使って本物のサイトの2段階認証を突破します。

以後、1ヶ月間はあなたの情報は敵につつ抜けになります。 が、1ヶ月間だけです。

1ヶ月が経過すると敵は再びあなたを騙さないと、あなたの情報に不正にアクセスできません。

このように本気で攻撃してくる敵に対しては 2段階認証による防御は完全ではありませんが、 敵の手間を増やして攻撃の意欲を削いだり、 被害を軽減させる効果はあります

そもそも完璧なセキュリティというものは存在しません。 できる範囲でセキュリティを高めておくことが重要です。


文責: 情報科学科 新田善久 (Mar./21/2018 更新)