Twitterに電話番号を預けると危険なので別の2要素認証に切り替える手順

前書き（何が危険なのか？）

詳しい内容はこちらのGigazineの翻訳記事を読むのが良さそうです。
gigazine.net

この脆弱性で具体的にどんな危険があるかというと

自分の電話番号を知っている人に自分のTwitterアカウントが特定される
知らない人に自分のTwitterアカウントと電話番号が特定される

などが思い当たります。
要は「知り合いに裏アカがバレた」とか「自撮りをTwitterにアップしたら知らないおじさんから電話がかかってきた」みたいな事象が起きる可能性があるわけです。

この記事の対象と目的

iOSアプリでTwitterを使っている人向けに対処方法の手順を伝えることが目的です。
Android端末でもPCでもほぼ対処方法は同じなので参考になると思います。
なるべく広い層に届くように詳しくかつ平易に書きますが、「分かっている」層には回りくどい書き方になると思うので予め謝っておきます。

ていうか2要素認証（あるいは二段階認証、2FA）ってなに

IDとパスワードの組合せだけだとセキュリティ的によわよわなので、ID/PW以外にもう一つ認証の仕組みを使おうぜ、というのが2要素認証です。
Twitterでは一般的に携帯電話番号を登録して、その番号にSMS（ショートメッセージサービス）で使い捨てのログインコードを送信して入力させる2要素認証が使われていると思います。
下の画像みたいなの。

f:id:mono_i_love:20191225171139j:plain — Twitterで電話番号宛のSMSを使った2要素認証

今回は「Twitterに電話番号を登録するのやめよーぜ」という話なので、このSMSとは別の2要素認証に切り替える必要があります。
以下、手順を説明していきます。

手順

2要素認証用のアプリを端末に入れる（今回はGoogle Authenticatorを使います）
Twitterの公式アプリから↑で入れた認証アプリで2要素認証用のワンタイム・パスコードが発行できるようにする
Twitterの公式アプリで「認証アプリ」の2要素認証を設定する
Google Authenticatorを入れた端末を紛失した時に備えてバックアップコードを控える
電話番号を削除する

では順を追って説明していきます。

2要素認証用のアプリを端末に入れる

お使いのスマートフォンにGoogleの二段階認証アプリを入れます。
普段から手元にある端末が良いでしょう。
→iPhone

Google Authenticator

Google LLC
ユーティリティ
無料

apps.apple.com
→Android
play.google.com

インストールに手間取ることは無いと思いますが、Googleの公式も掲載しておきます。
Google 認証システムのインストール - iPhone と iPad - Google アカウントヘルプ

Twitterの公式アプリからGoogle Authenticatorで2要素認証用のワンタイム・パスコードが発行できるようにする

分かりやすく画像で順に追っていきます。

f:id:mono_i_love:20191225174201j:plain — Twitter公式アプリで左上のプロフィール画像から設定メニューを開く

f:id:mono_i_love:20191225174320j:plain — 「設定とプライバシー」を開く

~~…モザイク要る？~~

f:id:mono_i_love:20191225174638j:plain — 「アカウント」を開く

f:id:mono_i_love:20191225174753j:plain — 「セキュリティ」を開く

f:id:mono_i_love:20191225175003j:plain — 「2要素認証」を開く

f:id:mono_i_love:20191225175155j:plain — 「認証アプリ」のスイッチをONにする

f:id:mono_i_love:20191225175426j:plain — 認証アプリの登録画面で「始める」を押す

f:id:mono_i_love:20191225175333j:plain — 現在使っているTwitterのパスワードを訊かれたら入力して「認証する」を押す

f:id:mono_i_love:20191225175639j:plain — 現在使っているTwitterのパスワードを訊かれたら入力して「認証する」を押す

Twitterの公式アプリで「認証アプリ」の2要素認証を設定する

上記の操作でAuthenticatorが開かれると自動的にTwitterアカウント用のワンタイム・パスコード追加されます。
ここに表示される6桁のワンタイム・パスコードをタップするとクリップボードにコピーされるのでTwitterの画面に戻って入力しましょう。

ちなみにワンタイム・パスコードは30秒おきに変化します（もちろんAuthenticatorアプリを閉じている時も）。
右下に表示される円グラフみたいなのが有効な残り時間を示しています。
有効時間が残り僅かになると数字が赤字になるので、そのときは慌てずに次の6桁の番号になるのを待ちましょう。

※このパスコードはTwitterアカウント毎に用意する必要があるので、複数アカウントを持っている方は同様の作業でアカウント毎に追加して下さい。

脱線しますが、仕組みを知りたい人はこちらをどうぞ。
sekika.github.io

f:id:mono_i_love:20191225175957j:plain — Twitter公式アプリに戻って先程のワンタイムパスコードを入力する

f:id:mono_i_love:20191225180112j:plain — 時間内にパスコードを入力できれば成功。「OK」を押して戻る

Google Authenticatorを入れた端末を紛失した時に備えてバックアップコードを控える

上記で2要素認証の設定は完了ですが、例えばパスコードを表示するGoogle Authenticatorが入ったスマホを紛失した or 機種変したりすると詰みます。
そういったときに備えて「バックアップコード」をメモしておきましょう。

これは2要素認証が使えない時に使える1度限りの使い捨てのコードです。奥の手としてきちんと保管しておきましょう。

f:id:mono_i_love:20191225181003j:plain — 「バックアップコード」を開く

f:id:mono_i_love:20191225181051j:plain — バックアップコードをメモやスクリーンショットを撮って控える

スクショを撮る、紙のメモを取る等々ご自分に合った方法で保管しておきましょう。
個人的にはこういったバックアップコード専用の小さいメモ帳を1つ用意して、財布や鍵を保管している引き出しや緊急時の持ち出し袋に入れておくのが良いと思います。
（家族に乗っ取られるケースも実際にあるので、その辺は上手いことやってください…）