2017.09.15
OSの深層部分、知れば知るほど奥深い、macOSの仕組みを解き明かす。
さらなる安全のために
近年、アップルの「アップルID」やグーグルの「グーグルアカウント」、フェイスブックといった各種WEBサービスのアカウントに対する攻撃が激化しています。攻撃者はあの手この手を使って、アカウント内に記録された個人情報やクレジットカード情報を狙っており、ログイン時に利用するIDとパスワードは、厳重に管理する必要があります。
MacやiPhone、iPadならば複雑なパスワードを自動生成してくれる「キーチェーン」というOS標準の機能を使うことで安全に管理できるようになります。しかし、パスワード運用と組み合わせることで、さらにアカウントのセキュリティを強固にできる仕組みが存在します。それが、最近急速に導入が進んでいる「多要素認証」です。パスワードだけではなく、もう1つ別の「何か」で認証することでアカウントを多層防御しようという仕組みです。
サービスを堅固に守る多要素認証
たとえばグーグルの場合は「2段階認証プロセス」と呼ばれる仕組みがあり、これを有効にするとサインインのたびに「確認コード」の入力を求められます。確認コードは「Authenticator」というアプリの中で表示される6桁の数値を使います。確認コードは30秒ごとに変化しており、前の時間のものは使用できません。誰かに覗き見されても、最悪30秒後には使えなくなるというわけです。 では、この確認コードはどうやって導き出されているのでしょう?
ここで使っているのは「ワンタイムパスワード」という方式です。Authenticatorの場合、サービスを登録するときにサービス側から渡される「シード」と呼ばれる数字を記録します。数字は桁数が多いので、手入力ではなくQRコードなどを使います。このシードと現在の時間を元に複雑な計算を行うことで確認コードが決まるのです。
計算が複雑なため、以前の確認コードからシードを逆算することは不可能です。グーグルではシードを一度交換するだけで二度と見れないように運用されています。結果、シードを登録したAuthenticatorを実行している「デバイス」がないと、確認コードを知ることはできないというわけです。
ユーザが覚えている「パスワード」と、特定の機械が自動的に生成する「確認コード」という2つの要素で認証するため「2段階認証プロセス」とグーグルは呼んでおり、一般的には「多要素認証」と呼ばれています。
なお、フェイスブックでもマイクロソフトでも、多要素認証の一環にワンタイムパスワードを使うことに変わりはありません。それぞれの会社ごと、iOS向けにAuthencatorが用意されていますが、これらは皆同じインターネットの標準に従っているため相互運用が可能です。グーグルのAuthenticatorをマイクロソフトの二段階認証に使うこともできますし、その逆もしかり。
