Twitterに電話番号を預けると危険なので別の2要素認証に切り替える手順
前書き(何が危険なのか?)
詳しい内容はこちらのGigazineの翻訳記事を読むのが良さそうです。
gigazine.net
この脆弱性で具体的にどんな危険があるかというと
などが思い当たります。
要は「知り合いに裏アカがバレた」とか「自撮りをTwitterにアップしたら知らないおじさんから電話がかかってきた」みたいな事象が起きる可能性があるわけです。
目次
この記事の対象と目的
iOSアプリでTwitterを使っている人向けに対処方法の手順を伝えることが目的です。
Android端末でもPCでもほぼ対処方法は同じなので参考になると思います。
なるべく広い層に届くように詳しくかつ平易に書きますが、「分かっている」層には回りくどい書き方になると思うので予め謝っておきます。
ていうか2要素認証(あるいは二段階認証、2FA)ってなに
IDとパスワードの組合せだけだとセキュリティ的によわよわなので、ID/PW以外にもう一つ認証の仕組みを使おうぜ、というのが2要素認証です。
Twitterでは一般的に携帯電話番号を登録して、その番号にSMS(ショートメッセージサービス)で使い捨てのログインコードを送信して入力させる2要素認証が使われていると思います。
下の画像みたいなの。
今回は「Twitterに電話番号を登録するのやめよーぜ」という話なので、このSMSとは別の2要素認証に切り替える必要があります。
以下、手順を説明していきます。
手順
- 2要素認証用のアプリを端末に入れる(今回はGoogle Authenticatorを使います)
- Twitterの公式アプリから↑で入れた認証アプリで2要素認証用のワンタイム・パスコードが発行できるようにする
- Twitterの公式アプリで「認証アプリ」の2要素認証を設定する
- Google Authenticatorを入れた端末を紛失した時に備えてバックアップコードを控える
- 電話番号を削除する
では順を追って説明していきます。
2要素認証用のアプリを端末に入れる
お使いのスマートフォンにGoogleの二段階認証アプリを入れます。
普段から手元にある端末が良いでしょう。
→iPhone
→Android
play.google.com
インストールに手間取ることは無いと思いますが、Googleの公式も掲載しておきます。
Google 認証システムのインストール - iPhone と iPad - Google アカウント ヘルプ
Twitterの公式アプリで「認証アプリ」の2要素認証を設定する
上記の操作でAuthenticatorが開かれると自動的にTwitterアカウント用のワンタイム・パスコード追加されます。
ここに表示される6桁のワンタイム・パスコードをタップするとクリップボードにコピーされるのでTwitterの画面に戻って入力しましょう。
ちなみにワンタイム・パスコードは30秒おきに変化します(もちろんAuthenticatorアプリを閉じている時も)。
右下に表示される円グラフみたいなのが有効な残り時間を示しています。
有効時間が残り僅かになると数字が赤字になるので、そのときは慌てずに次の6桁の番号になるのを待ちましょう。
※このパスコードはTwitterアカウント毎に用意する必要があるので、複数アカウントを持っている方は同様の作業でアカウント毎に追加して下さい。
脱線しますが、仕組みを知りたい人はこちらをどうぞ。
sekika.github.io
Google Authenticatorを入れた端末を紛失した時に備えてバックアップコードを控える
上記で2要素認証の設定は完了ですが、例えばパスコードを表示するGoogle Authenticatorが入ったスマホを紛失した or 機種変したりすると詰みます。
そういったときに備えて「バックアップコード」をメモしておきましょう。
これは2要素認証が使えない時に使える1度限りの使い捨てのコードです。奥の手としてきちんと保管しておきましょう。
スクショを撮る、紙のメモを取る等々ご自分に合った方法で保管しておきましょう。
個人的にはこういったバックアップコード専用の小さいメモ帳を1つ用意して、財布や鍵を保管している引き出しや緊急時の持ち出し袋に入れておくのが良いと思います。
(家族に乗っ取られるケースも実際にあるので、その辺は上手いことやってください…)
電話番号を削除する
新しい2要素認証を用意して、バックアップコードも控えたら憂いなく電話番号を消しましょう。
作業内容は以上です。
これで今後IDとパスワードを入力してTwitterにログインする際は、Authenticatorに表示される6桁のワンタイム・パスコードの入力も求められるようになります。
補足(SIMスワップについて)
日本ではあまり話題になりませんが、海外では「SIMスワップ」「SIMスワッピング」(SIM Swapping Attacks)という携帯電話の番号を乗っ取るタイプの詐欺が盛んです。
暗号通貨クラスタ向けにアラタさんの記事を引用しておきますね。
SIMスワッピングを利用し、SNS乗取り、仮想通貨窃盗を行った米国男性2名を逮捕 | CRYPTO TIMES
したがって、電話番号とSMSによる2要素認証というのは今後「セキュリティ的に脆弱な認証」という認識が広まっていくのは明らかなので今のうちに慣れておきましょう。
最近になってようやくTwitterが対応しだしたのもその辺りが背景にあると思います。
Twitterが「アカウントセキュリティを強化するための2要素認証に電話番号の登録が不要になった」と、2019年11月22日(金)に発表しました。