先週、Instagramはアカウントのセキュリティ設定を変更し、ユーザーがよりシンプルなテキストメッセージベースのコードではなく、Google Authenticatorなどのセキュリティアプリのパスコードでログインできるようにするという報道を認めました。これはあまり目新しいニュースではありませんが、他のアプリやサービスへの認証にテキストメッセージではなくトークンベースのアプリを使用するという手法が普及しつつあるのは喜ばしいことです。

可能な限り、二段階認証を必ず行うべきです（他に選択肢がない場合は、少なくとも二段階認証は使用しましょう）。ハッカーが携帯電話会社に電話をかけ、何も知らないカスタマーサービス担当者を見つけ出し、自分はあなたになりすますのがいかに簡単かを示す報告は数多くあります。ビットコイン取引所Krakenは、2016年のブログ記事で（ユーモラスに）このプロセスを説明しています。

どういうわけか、大衆は電話番号が身元と密接に結びついており、それゆえに優れた認証ツールになると信じ込まされています。KrakenがSMSベースの認証をこれまでサポートしなかったのには理由があります。残念ながら、あなたの通信会社のセキュリティレベルは、三流のコートチェック並みです。やり取りの例を以下に示します。

ハッカー：

ジャケットをもらえますか？

通信会社:

はい、チケットをいただけますか？

ハッカー：

失くしてしまいました。

通信会社:

番号を覚えていますか?

ハッカー：

いいえ、でもそれはそこにあります。

通信会社:

わかりました。どうぞ。アンケートに10/10の評価をお願いします ^_^

携帯電話会社（およびFTC）は、このハッキング（「SIMハイジャック」または「SIMポーティング」と呼ばれることが多い）の蔓延を認識しているにもかかわらず、このマザーボードの記事では、一部の携帯電話会社がようやくこの攻撃を阻止するための基本的な対策を提供し始めたばかりであると指摘しています。

そして、あなたが「より安全」と言えるのは、携帯電話会社のカスタマーサービスに電話をかける際に本人確認のために提示を求められる特別なPINコードをアカウントに追加するなど、実際に何か対策を講じている場合だけです。もしあなたがそうしていなかった場合、あるいはそうできることを分かっていたとしても、ハッカーに電話番号を盗まれた場合、サイバー空間において壊滅的な被害を受ける可能性があります。Motherboardは次のように指摘しています。

SIMスワップを常用していたあるハッカーは、通信事業者がこの攻撃手法を何年も前から知っていたにもかかわらず、このようなことは「しょっちゅう」起きていると話していました。T-Mobileによると、この詐欺の被害に遭った人は数百人にも上ります。ここ数ヶ月で、Motherboardは30人以上の被害者から話を聞きました。私が話を聞いたあるSIMハイジャック被害者は、Instagramのアカウントに加え、Amazon、eBay、PayPal、Netflix、Huluのアカウントもハッキングされました。

サイトやサービスから2段階認証コードをテキストで受け取るのをやめる

いくつかのサイト（どのサイトかは言いませんが）は、今でもログインが必要なたびにテキスト メッセージを送信してきます。これはセキュリティ上良くない習慣で、完全に私の怠惰のせいだと思います。それに、テキスト ベースの 2 段階認証ではなくアプリ ベースの 2 要素認証を提供しているサイトやサービスについて、私は十分に最新情報を把握していません。

お気に入りのサイトやサービスがこの種の「トークンベース」の2要素認証に対応しているかどうかわからない場合は、2つの方法があります。まず、テキストメッセージをスクロールして、企業からログインコードが送られてきた日時を確認します。次に、サイトの設定を確認し、お気に入りのアプリでソフトウェアトークンを設定できるかどうかを確認します。

先ほども申し上げましたが、2要素認証アプリを使い始めたばかりで、何を使えばいいのか全くわからないという方は、トークンベースの2要素認証に対応しているサイトで、おすすめのアプリが紹介されていることが多いです。そうでない場合は、以下に人気のアプリをいくつかご紹介します。

• Google 認証システム（Android、iOS）

• オーシー

• Microsoft 認証システム

• LastPass認証アプリ

• 1パスワード

• デュオモバイル

お気に入りのサービスの中には、独自のモバイルアプリを認証機能として利用しているものもあります。例えば、Facebookのコードジェネレーターなどです。コードジェネレーターが有効になっている場合、新しいウェブブラウザでFacebookにログインしようとすると、Facebookモバイルアプリからコードを入力するように求められます。（ただし、必要に応じて、Google Authenticatorなどを使ってFacebookの2段階認証を設定することもできます。）

ログインコードが記載されたテキストメッセージがない場合（サイトやサービスにログインしたら削除してしまうなど）、いつも役立つTwo Factor Auth（二要素認証）のウェブサイトもご覧ください。いずれかのカテゴリーをクリックすると、アプリやサービスの包括的なリストと、それらがサポートしている二要素認証の設定（もしあれば）が表示されます。

どのような方法であれ、たとえブラウザの履歴を手動で確認してどのサイトを頻繁に利用するか確認しなければならない場合でも、アクセスするすべてのサイトをトークンベースの2要素認証に切り替えるべきです。そうすれば、たとえハッカーがあなたの電話番号を入手したとしても、あなたのデジタルライフの残りの部分に侵入することはできません。

(2018年8月4日)皆さん、こんにちは！この記事の著者です。テキストベースのセキュリティログインの一般的な名称である「2段階認証」を示すために、見出しを少し変更しました。テキストメッセージの受信でも認証アプリのログインコードでも、すべてを「2要素認証」と呼ぶ人がまだたくさんいますが、混乱させたくないので、ここでは「2要素認証」とだけ書きました。