ラベル セキュリティ の投稿を表示しています。 すべての投稿を表示
ラベル セキュリティ の投稿を表示しています。 すべての投稿を表示
2015年5月20日水曜日

Googleの2段階認証に使えるUSBセキュリティーキーを使ってみた


猫と一緒にガジェットライフ♪ムチャです。

今回ご紹介するのは、Googleの2段階認証に使えるUSBセキュリティーキー「ePass FIDO(イーパス ファイド)」という物です。

標準化団体のFIDO Allianceが策定した、セキュリティキーを用いる2要素認証の標準規格「FIDO U2F」に準拠したデバイスで、飛天ジャパン株式会社という日本の会社が最近発売しました。
早速ゲットしてみたのでご紹介します。



開封の儀



中身は簡単な説明書兼保証書と、本体のみです。


本体はとてもコンパクト。小さなUSBメモリという感じです。


キャップを開けたところ。
中央の丸い部分はボタンになっています。


ストラップホールがついています。


設定方法


Googleの2段階認証を有効にしていない場合は先に有効にする必要があります。
少し画像が古いですが、以下の記事で設定方法を解説しています。


ここでは2段階認証が設定済みという前提で話を進めます。

GmailやGoogleのページなどを開き、右上のアイコンから「アカウント」を選択します。


アカウント設定から「2段階認証プロセス」をクリックします。


一番右の「セキュリティーキー」タブをクリックします。


登録をクリックしてから、セキュリティーキーをUSBポートに挿入します。


セキュリティーキーを挿入するとLEDが点滅するので、ボタンを押します。


「登録済み」になれば登録完了です。

設定の仕方はGoogleのヘルプページでも解説されています。
1つのアカウントに複数のキーを設定することもできます。


ログインしてみる


現時点では、対応しているブラウザはChromeのみです。


ログイン画面でユーザー名とパスワードを入力すると、このような画面になります。

ここでセキュリティーキーを挿入してボタンを押すと・・・


ログインが完了しました!

設定は簡単で、ログイン時もUSBポートに挿してボタンを押せばいいので手軽で確実です。



セキュリティーキーを紛失した場合は



下に出ている「代わりに確認コードを使用」をクリックすると、従来通り登録済みの電話番号やアプリでコードによる認証が行えます。


その後、2段階認証の設定画面からセキュリティーキーを無効にすれば大丈夫です。
(右側のゴミ箱マーク)

セキュリティーキーが第三者の手に渡ったとしても、ユーザー名とパスワードが分からなければログインはできません。さすがに全部渡ってしまったらアウトですが・・・。



購入方法


Amazonで購入できます。
価格は2480円(税別)。8月末までは販売開始キャンペーンとして1780円(税別)で販売するそうです。

こっちの方が安いですね・・・。でも耐久性がちょっと心配というレビューあり。



おしまいのひとこと


セキュリティーキーを使った2段階認証はとても簡単です。
FIDO Allianceには160社以上が加盟しているとのことで、今後様々なサービスでこの方式が使われるのではないかと思います。マイクロソフトもWindows10ではFIDO認証をサポートするそうです。



今回自分は日本のメーカーだし期間限定で安売りしていたので購入してみました。それほど高くないので、試しに使ってみてはいかがでしょうか。

それではみなさまよきガジェットライフを(´∀`)ノ
2014年9月17日水曜日

必ず知っておきたいスマホ時代のセキュリティ:SSLの仕組みとEV SSL証明書

猫と一緒にガジェットライフ♪ムチャ(@mutoj_rdm821)です。

以前書いた無線LANのセキュリティの記事で「SSLについて書きます」と宣言したので、今回はSSLの仕組みと、「EV SSL証明書」についてできるだけ分かりやすく解説してみます。




その前に前提知識について解説


SSLの説明をする前に、いくつか押さえておかないといけない知識があるので、まずそれらを説明したいと思います。

共通鍵暗号方式

これは直感的に分かると思いますが、事前にお互いが同じ鍵を用意しておいて、通信の際はその鍵を使って暗号化・復号化する方式です。特に説明の必要は無いでしょう。

公開鍵暗号方式

こちらは説明が必要ですね。
ある数学的なルールに従って、1ペアの鍵を生成します。これらを鍵1、鍵2としますと、以下が成り立つような仕組みになっています。(理論はとても難しいので省きます)
  • 鍵1で暗号化した物は鍵2でしか復号化できない
  • 鍵2で暗号化した物は鍵1でしか復号化できない

そこで、片方を公開鍵、もう片方を秘密鍵とします。公開鍵はその名の通り、公開してかまわない鍵です。
通信する際には、まず送ってもらう側が何らかの方法で公開鍵を相手に渡します。
送る側は、もらった公開鍵で暗号化して相手に送信します。
受け取った側は秘密鍵で復号化します。

ハッシュ関数とメッセージダイジェスト


ハッシュ関数(暗号通信で使う物は暗号学的ハッシュ関数と言うようです)は、与えられたデータに対して固定長のビット列(ハッシュ値、メッセージダイジェストとも言う)を生成するものです。
ハッシュ関数はいくつかの特徴を持ちます。
  • 与えられたデータに対してメッセージダイジェストが容易に計算できる
  • 逆にメッセージダイジェストから元のメッセージを得ることは不可能
  • メッセージダイジェストを変えずに元のデータを改ざんすることは不可能
  • 同じメッセージダイジェストを持つ2つのデータを求めることは不可能
ややこしいですが、要は「一方向であり逆は不可能、元データが変わるとメッセージダイジェストも変わる」と言うことです。元データが例え1文字(テキストの場合)でも変わると、メッセージダイジェストは全く違う物になります。

電子署名

先に挙げた「ハッシュ関数」と「共通鍵暗号方式」を(暗号化とは逆に)使うと、電子署名が実現できます。
元文書のメッセージダイジェストを求めたら秘密鍵で暗号化します。これを元文書に添付しておきます。

元文書が改ざんされると、メッセージダイジェストの値が変わるため、改ざんが分かります。
また、メッセージダイジェストは秘密鍵で暗号化されているため、公開鍵で中身を見る事はできても、その内容を差し替えることができません(できるのは秘密鍵を持っている人のみ)。


SSLの仕組み


さて、ここからが本題です。
「じゃあショッピングサイトは秘密鍵と公開鍵を用意して、公開鍵を配って暗号化してもらえばいいんでしょ」と思われるかもしれません。これは2つの危険があります。
  1. そのサイトが本当にユーザーが求めるサイトかどうかが分からない
  2. 全員が同じ公開鍵で暗号化しているだけだと、なりすましができてしまう
仮に本物そっくりの偽サイトが公開鍵をばらまいていたら、そのまま信じて暗号化通信を始めてしまっても気づかずに決済してしまうかもしれません。また、ユーザーが使う鍵が同じだと他人がなりすましてしまうかもしれません。

そのため、SSLでは「第三者機関」が登場します。

※現在ではSSL(Secure Sockets Layer)の後継となるTLS(Transport Layer Security)が使われていますが、そのままSSLという呼び方をすることが多いようです。

サイト運営側の準備:サーバー証明書を作成する


サイト運営組織は、まず自身を証明するための「証明書」を作成します。これは決められた形式(興味のある方はX.509を参照してください)で組織の情報を記述し、公開鍵を含めて「認証局(CA=Certification Authority)」へ提出します。

CAは証明書の発行を行う機関です。有名どころではVeriSign(現在はSymantecが取得)があります。

CAは運営組織を審査した後、受け取った証明書に対してメッセージダイジェストを求めて自身の秘密鍵で暗号化し、証明書に添付します。これでサーバー証明書の完成です。

CAの公開鍵はどうやって配布するの?と思われた方、鋭いです。
CAも自身で署名した自身のサーバー証明書を作成してあり、これらはブラウザに最初から組み込まれています。

SSLの仕組み


やっとSSLの仕組みに入ります。ここまで読んでいただけたら、この図で大体分かると思います。
・・・だけだとあんまりなので、説明を加えます。

クライアント(ブラウザ)はサーバーに対してSSLの要求を出すと、サーバーは証明書を送ってきます(③)。

ブラウザは受け取った証明書の電子署名をCAの公開鍵で復号し、証明書を検証します(④)。

検証の結果、偽の証明書だと分かる(もしくは自己証明書の場合:CAに依頼せず自身で署名を付けただけの物)と、ブラウザは警告を出します。
画像は警告を回避!Parallels Panelのコントロールパネル全体をSSL化する方法 | 株式会社LIGより

もし目的のサイトにアクセスしているはずなのにこの画面が出た場合、そのサイトは偽物の可能性があります。
※SEの方はテスト用に立てているサーバーでこの画面をよく目にすることがあるかもしれません。

証明書が正しいと分かったら、証明書からサーバーの公開鍵を取り出します。そしてランダムなデータを生成して、サーバーの公開鍵で暗号化してサーバーへ送ります(⑥)。

サーバーはデータを自身の秘密鍵で復号し、予め決められたアルゴリズムで共通鍵を2つ生成します(⑦)。

並行して、クライアント側でもランダムデータから共通鍵を2つ生成します(⑤)。鍵生成にどんなアルゴリズムを使うかは、事前にお互いがやりとりしている段階で決めます。同じアルゴリズムでお互いに鍵を生成するので、できた鍵は双方で同じになるはずです。

できた鍵を使って、共通鍵暗号方式で暗号通信を開始します(⑧)。
この鍵はSSL接続を開始するたびに異なるので、他社が介在する余地はありません。


EV SSL証明書とは


「これだけやってれば何も問題無いじゃない」と思われるかも知れません。
本来、SSLはCAの審査を受けさせることによって暗号通信に信頼性を持たせるのが目的でした。

しかし、CAにも色々あり、中にはそれほど厳密な審査を行わない(ドメインの登録情報を確認するのみ)で発行される証明書も存在します。
これを悪用して、SSL接続をしている(https://~で始まり、鍵マークが表示される)にもかかわらず、実際は偽サイトへ誘導されているというフィッシング詐欺に使われてしまうという問題が生まれてきました。

そこで、証明書の発行においてより厳格な審査を行い、クライアント(ユーザー)が通常の物と区別できるようにしましょうということで定められたのがEV(Extended Validation) SSL証明書です。

サイト管理組織側の話は、この記事を読んでいる方にはほとんど関係無いと思いますので省略します。簡単に言えば、銀行などフィッシング詐欺の標的になりやすいサイトについて、EV SSL証明書を導入することによって被害やサポートコストの削減に繋がります。

さて、クライアント(ユーザー、つまり我々)はどうやってEV SSL証明書かどうかを判断すれば良いのでしょうか。

答えは簡単です。ブラウザのアドレスバーを見れば分かります。

通常の証明書では単に「鍵マーク+https://~」となっていますが、EV SSL証明書の場合は「緑色のバーで『鍵マーク+運営者名』+https://~」となります(画像はChromeの場合)。
ブラウザによって多少異なりますが、アドレスバーが緑色になって運営者名まで表示されるというのは共通です。

既にメガバンク3行にりそな、楽天銀行のようなネット銀行でも、オンラインバンキングの画面ではEV SSL証明書が使われています。

ですので、銀行などを騙った怪しいメールが来たとき、表示されたサイトがEV SSL証明書でない場合は要注意です。また、運営者名が異なっていたらこれも注意です。

逆に言えば、直接お金が絡むようなサイトを利用するときは、EV SSL証明書が導入されていて、運営者名が正しいかどうかを必ずチェックしましょう。

スマートフォンではどう見えるか


Android版のChromeで、スマホ版三菱東京UFJダイレクトと楽天市場のユーザー情報の画面を表示させました。どちらもアドレスバーは同じになっています。鍵マークをタップして出てくる詳細では、三菱東京UFJダイレクトの方は「VeriSign Class 3 Extended Validation SSL」と書かれており、EV SSL証明書であることが分かります。

Android版のFirefoxだと鍵マークの色で分かるそうです。
現状ではスマートフォンでブラウザを使ってオンラインバンキングを利用するのはやめておいた方が無難だと思います。どうしても利用する場合は、きちんと証明書を確認するか、あれば専用アプリを使う方が安全です。


EV SSLでは無いからといって危険ではない

勘違いしてはいけないのですが、EV SSL証明書を使ってないサイトだからといって危険というわけではありません。

SSLの暗号化通信については全く同じ(おそらく。現時点では。)ですし、心配な場合はURLの確認と、鍵マークをクリックして証明書の内容を確認してみてください。よく似たURLだけど微妙に違うとか、証明書の各項目に!マークがたくさんあるとかでなければ大丈夫と思います。

(というか、楽天市場のお気に入り画面だと鍵マークに!が表示されます。理由はリソースの一部がSSL接続でないためのようです(;´∀`) と言っても楽天のような大きいところはURLを確認しておけば大丈夫でしょう。
最近ではやたら値段の安い、独立したオンラインストアの方が危ないと思います。)


まとめ:正しい知識と普段からセキュリティ意識を持とう



SSLの仕組みとEV SSL証明書について、一通り覚えておくべき知識は説明したつもりです。EV SSL証明書は存在自体知らなかった方も多いのではないでしょうか。

ぜひ覚えておいて、今後オンラインバンキング等重要なサイトを利用する際には気をつけて見てみてください。

それではみなさまよきガジェットライフを(´∀`)ノ

【参考】

2014年8月27日水曜日

無線LANのセキュリティ完全解説と、気をつけるべき3つのポイント

MAX87_iphonesq20140531500
photo by pakutaso.com

猫と一緒にガジェットライフ♪ムチャ(@mutoj_rdm821)です。

はてなブックマークのホットエントリを見てたら、こんな記事を見つけました。
はてブのコメントでもいろいろ書かれていますが多くは以下のような感じです。
  • なにをいまさら・・・
  • そもそもセキュリティーは無線LAN区間だけの話では無い
  • 無線区間がどうあれ、上位でSSL(HTTPS、POP3S、SMTPS)を利用していれば問題無い
知っている人には至極当たり前のことなのでしょうが、今や子供やお年寄りまでスマートフォンを所持していて、そういった事情を知らない人が普通に無線LANを使う事は十分あり得る状況です。
そこで、無線LANのセキュリティについてまとめてみました。結論には何がマズいのか、どうすれば安心なのかを述べたいと思います。
※間違っていたらご指摘ください。

2014/08/27 19:30追記。ITmediaでも取りあげられてますね。


【目次】
  1. 前提条件
  2. 無線LANのセキュリティ一覧
  3. セキュリティプロトコルの種類
  4. セキュリティプロトコルの安全度を比較
  5. じゃあWPA2-EAP(AES)なら安全なのか?
  6. 公衆無線LANを使う時に注意すべき3つのポイント
  7. 家庭ではどうすれば良いか
  8. まとめ


前提条件


まずこの記事で言う「無線LAN」は、IEEE802.11で規格化された物を指します。
また、「無線LANのセキュリティ」とは以下の図で示す「無線LAN区間(端末~アクセスポイント間)」に限定されます。
2014-08-27_15h19_17

アクセスポイントを超えた先のインターネット~サーバーまでの通信については無関係です。


無線LANのセキュリティ一覧



セキュリティプロトコル認証方式暗号化方式暗号アルゴリズム暗号化キー安全度
WEPオープンシステムなし
共通鍵WEPRC4WEPキーそのもの
WPAPSKTKIPRC4パスフレーズを元に生成
CCMPAESパスフレーズを元に生成
EAPTKIPRC4EAPの認証情報で生成
CCMPAESEAPの認証情報で生成
WPA2PSKTKIPRC4パスフレーズを元に生成
CCMPAESパスフレーズを元に生成
EAPTKIPRC4EAPの認証情報で生成
CCMPAESEAPの認証情報で生成

なにやら用語がいっぱいあって分かりづらいと思いますが、一番右に安全度を入れました(ざっくりと自分の感覚ですが)。

✕になる組み合わせは脆弱性によりやろうと思えば第三者が通信内容を見ることができます。

△は技術的な裏付けまでは取れていませんが、通信内容を見ることができるかもしれない組み合わせです。

○は現時点では安全な組み合わせです。じゃあ○なら安全かというとそういうわけでもなく、×なら危険かというわけでもないのですが、それは後述します。

それでは、もう少し詳しい解説を加えます。

※無線LANのセキュリティにはSSIDステルスやMACアドレスフィルタリングもありますが、ここでは触れません。


セキュリティプロトコルの種類


区分をどのように名付ければ良いのかいろいろ調べたのですが、「アルゴリズム」だったり「プロトコル」だったりまちまちで、アルゴリズムと言ってしまうと「暗号アルゴリズム」と混同しそうなのでここでは「セキュリティプロトコル」としました。
無線LANのセキュリティプロトコルは以下の3種類があります。

WEP

IEEE802.11規格の一部として用意されたセキュリティプロトコルです。認証方式は全く行わない(→オープンシステム)か、事前に端末・アクセスポイントに設定された共通鍵によって行います。

暗号化方式にも「WEP」と記載していますが、WEP自体その辺があまり区別されていないというか、当時はその辺まで考えなくても十分だったという感じだと思います。

オープンシステムだと全く暗号化していないので、簡単に中身を見る事ができます。
共通鍵で暗号化されている場合も、暗号化方式に問題があり、ある程度パケットを集めると中身を解読できてしまう脆弱性が見つかっています。
従って、WEPを使っている場合は中身は見られているも同然です。

WPA

脆弱性が指摘されたWEPに代わる暗号規格として、IEEE802.11iという物が定められました。そのうち、当時のハードウェアでそのまま実装可能(ファームウェア更新など)なレベルでセキュリティを確保する物としてWPAが作られました。

暗号アルゴリズムはWEPと同じRC4を使いながら、暗号化方式を工夫したTKIP(Temporal Key Integrity Protocol)を使う事でセキュリティを高めました。
また、認証方式として以下の2つが定義されました。

WPA-PSK

PSKとはその名の通り「事前共有鍵」なのでWEPと同じじゃないか!と思われるかもしれませんが、設定したキー(WPAではパスフレーズという)をそのまま暗号化に使うのではなく、もうちょっと複雑なことをして接続の度に固有のキーを生成して暗号化に使います。また、一定時間毎に鍵を更新することもできるようになっています。

WPA-EAP

EAPはIEEE802.1Xで定められた認証方式によって安全な通信を確立した後に端末を認証し、固有の暗号キーを生成して使います。さらにEAPにもいろいろ種類があるのですが、そこまで行くと長くなってしまうのでここでは触れません(完全解説じゃないじゃん>すみません)。

(間違いやすいですが、IEEE802.1Xであり11Xではありません。IEEE802.1は有線無線含めたLAN/MAN全ての標準規格を決めるワーキンググループです。IEEE802.1Xは有線LANの認証にも使われます。Xを小文字で書くこともありますが、任意の1文字と誤認識されないように大文字で書くのが一般的のようです。)

WPA2

その後、IEEE802.11iの必須部分を実装したWPA2が定められました。暗号化方式にはCCMP、暗号アルゴリズムとしてAESを使用します。ただ、CCMPという言葉は無線LAN製品ではあまり出てきません(自分も調べて初めて知りました)。単にAESと書かれることが多いです。
WPA2にも認証方式はPSKとEAPがあります。

WPAとAES、WPA2とTKIPの組み合わせは?

これははっきりと分からないのですが、互換性のためにそれぞれ後になって用意されたようです。
例えば有名なところでは、携帯ゲーム機のPSPはWPA2には対応しておらず、WPAでしか接続できません。その場合でもWPA-PSK(AES)を使った方がセキュリティは高まります。


セキュリティプロトコルの安全度を比較すると

ざっくりですが、
EAP(AES)>PSK(AES)>>>EAP(TKIP)>PSK(TKIP)>>>>>>>>WEP
という感じです。
(EAPは接続するアクセスポイントの正当性を証明書で確認するという側面もあるので単純に比較できるわけでもないのですが・・・。)

TKIPにも脆弱性が指摘されています。
従って、暗号化方式にTKIPを使っているとセキュリティレベルは下がります。

また、PSKは利用者全員が同じパスフレーズを使うため、EAPに比べるとセキュリティレベルは下がります。公衆無線LANは「暗号化されている」と明示されていても単にPSKだったりするので、みんな同じパスフレーズを使っています。検証まではしていませんが、プロトコルの開始時点からパケットを収集していれば、内容を見ることも可能ではないかと・・・。

最近では、携帯各社もWPA2-EAP用アクセスポイント(SSID)と接続用アプリを用意しています。
  • docomo Wi-Fi:0001docomo(EAP-SIM認証にも対応)
  • au Wi-Fi SPOT:au_Wi-Fi2
  • ソフトバンクWi-Fiスポット:0002softbank
しかし、自動で接続されるため、電波状況によってはEAPではないSSIDへ接続してしまう場合もあります。


ではWPA2-EAP(AES)なら安全なのか?


「無線LAN区間だけはな!」
無線LANアクセスポイントから先は、話は全く別です。極端な話、アクセスポイントの間にPC挿して流れるデータを採取すれば傍受できます。
2014-08-27_16h49_52


公衆無線LANを使う時に注意すべき3つのポイント

話は単純です。
  • 公衆無線LANは基本的に「見られている」と心得る
  • 暗号化無しの無線LANだからといって危険というわけではないし、逆もしかり
  • 重要な内容は暗号化せずに送受信しない
3-kinds-of-ace
「この3つだ」(エースコンバットゼロ ©バンダイナムコゲームズ
ブラウザならSSL(TLS:SSLの後継)接続になっていれば(https://~)、通信内容は暗号化されています。これは無線LANよりも上のレイヤ(この辺はOSI参照モデルの話になるのですが割愛)なので、端末から相手のサーバーまでの間全てで暗号化されています。

メールソフトを使ってメールを送受信している方は、POP3s/SMTPs/IMAP4s(→over SSL)での接続になっているか確認しましょう。sの付いていない(SSL接続していない)場合は、公衆無線LANでメールソフトを使うべきではありません。
とはいえ、今や大抵のサービスはSSLに対応しているのでまず大丈夫なのではないかと思いますが、公衆無線LANを利用する場合は頭に入れておいた方が良いです。会社のメールを使う場合は、SSL接続に対応していないかどうかを確認してみてください。

これらを頭に入れておけば、例えばスターバックスの無料公衆無線LANサービスである「at_STARBUCKS_Wi2」は無線区間での暗号化はされていませんが、問題無く使えます。(要ユーザー登録で利用時はブラウザからログインする必要がありますが、その認証時はSSL接続になるため大丈夫です。)

2016/05/14追記

SSLのための証明書は悪意のある第三者でも取得できてしまいます。(ただしドメインは異なる)
URLがhttps~となっていて鍵マークが出ていても、ドメイン名が正しいかどうかは確認しましょう。記事最後にリンクしているEVSSL証明書かどうかも合わせて確認すればより安全です。

普段利用しているサービスでは、不意にユーザー名とパスワードを入力させる画面が出たらまず疑いましょう。偽サイトかもしれません。入力する前にURLをよく確認しましょう。



家庭ではどうすれば良いか

EAPに対応したアクセスポイントは基本的に法人向けで価格も高いです。また認証用のサーバーも立てないといけません。
しかし、家庭内無線LANではパスフレーズを公開する必要は無いわけで、WPA2-PSK(AES)を使っていれば大丈夫です。
とはいえ、あまり短いパスワードや辞書に載っているような単語を用いると、第三者に進入される可能性はあります。ここで「うちのLANに入られても何もないから大丈夫」と言う人がでてくると思いますが、侵入者がどこかのサーバーを攻撃した場合、警察はプロバイダーを通じて接続元を特定します。そうすると侵入された自分が犯人ということになってしまいます。

最近ではGPUパワーで総当たり攻撃でパスフレーズを突き止めるソフトも出現しています。家庭内無線LANとはいえ、きちんとしたパスフレーズを設定しておきましょう。
(よくパスフレーズを忘れて接続できない!という人が出てくるので、そういう人は忘れないようにアクセスポイントに貼っておいてください。外から見られなければ大丈夫です。)

2016/05/15追記

大抵の無線LANアクセスポイントにはセキュリティ設定として「ステルスSSID」と「MACアドレスフィルタリング」がありますが、どちらも素人が勝手に入ってくるのを防ぐ効果はありますが、本格的に侵入しようとする人間には無意味です。
飛んでいる電波を受信してフレームを解析すればSSIDとMACアドレスは分かりますし、MACアドレスは無線LANアダプタの設定で変更できる物があります。


まとめ:常にセキュリティ意識を持つ

無線LANは常に電波を周りに放出しています。無線LAN区間の暗号化無し、SSLも無しで通信しているのは拡声器で叫んでるのと一緒です。

無線LAN区間が暗号化されているとしても、それは外国語で叫んでいるのと同じくらいだと認識しておいた方が良いです。分かる人なら分かってしまいます。

普通にニュース記事やブログを見たりする分には問題ありませんが、重要な情報、特にメールはうかつにメールソフトでやりとりしていると気づかないかもしれません。一度設定を確認してみてください。


有線だからと言って安全というわけではありません。最近では銀行やクレジットカード、オンラインゲームの偽サイトに誘導するフィッシングが多く報告されています。これらはまた別の話です。そこでEV-SSL証明書というのが重要になってくるのですが、SSLとEV-SSL証明書の話はまた別の記事に書きたいと思います。

→書きました!必ず知っておきたいスマホ時代のセキュリティ:SSLの仕組みとEV SSL証明書 | 羽根帽子の太公望

それではみなさまよきガジェットライフを(´∀`)ノ
2013年7月24日水曜日

本当に突破されたのなら、Googleアカウントの2段階認証を再設定するべき

key


猫と一緒にガジェットライフ♪ムチャ(@mutoj_rdm821)です。

ここ数日で、Gmailが乗っ取られたという報告を何件か目にしています。

【警報】ここ数日でGmailの乗っ取りが半端ない件。2段階認証も突破の恐怖!! | More Access! More Fun!

本当に2段階認証が突破されたのなら、そのままでは危険です。現在設定されている情報を削除し、再設定しましょう。以下にその方法を載せておきます。



2段階認証の情報はいくつあるか

その前に、2段階認証で利用できる情報がいくつあるか整理してみましょう。2段階認証の画面を出すと分かります。

  • 携帯電話のメールアドレス
  • バックアップ用の電話
  • モバイルアプリケーション
  • 印刷したバックアップコード
  • アプリケーション固有のパスワード
  • 信頼できるPC

これだけあります。きちんと全部把握できているでしょうか。

まだ詳しい情報が出ていないので、どこから漏れたのかは分かりません。であれば、一旦設定をリセットし、現時点で2段階認証可能な情報を全て削除して再設定する方がいいと思います。

 

 

2段階認証のリセット

Googleアカウント(左上のアイコン)のアカウント→セキュリティ→2段階認証プロセスを表示します。

手順は3つあります。まず、2段階認証の情報を削除します。

2013-07-24_12h47_41(クリックで拡大)

1.2段階認証の情報を削除

「詳細設定」の「携帯端末情報と印刷用コードを消去する」の右にある「設定を消去」をクリックします。

2013-07-24_13h39_02

これでOKを押せば、2段階認証が一旦解除されます。すぐに再設定しましょう。設定の方法は以前書いていますのでご参照ください。

 

2.他の信頼できるパソコンを削除

2段階認証でログインした後、信頼できるパソコンに設定することで、そのパソコンは2段階認証を不要にすることができます。この情報も削除しておきましょう。

「信頼できるパソコン」の右にある「次に他のパソコンからログインしたときに確認コードが必要になります。」をクリックします。

2013-07-24_13h47_23

ダイアログ上で「~除外する」を押すと、今使っているパソコン以外が信頼できるパソコンから全て除外されます。

 

3.アプリケーション固有のパスワードの再設定

2段階認証に対応していない、Android端末やWindowsLiveWriter等のアプリケーションで使用する固有パスワードも一旦無効化し、再設定しましょう。

「アプリケーション固有のパスワードの管理」を選択します。パスワード認証後に、管理画面へ移行します。

2013-07-24_12h50_59

画面の下に、これまで生成したパスワードがリストアップされているので、全て「無効にする」を選択して無効にします。

改めて、必要な分のパスワードを生成し、再設定しましょう。

 

 

連携アプリ・サービスの確認

2段階認証ともう一つ、確認すべき点があります。Googleアカウント(左上のアイコン)のアカウント→セキュリティ→接続済みのアプリケーションとサイトの「権限を確認」を選択します。

2013-07-24_12h53_34

パスワード認証後に、接続済みのサイト、アプリケーション、サービスの一覧が出てきます。

例えば、ifttt、Flipboard、feedlyといったサービスがあるでしょう。

この中に、知らないサービス名やアプリケーションがあった場合は、「アクセスを取り消す」を押して接続を解除しましょう。

既に利用していないサービスも解除しておいた方が安心です。

 

 

まとめ

以上で終わりです。

今回の乗っ取りが、Googleの2段階認証自体に問題があるとしたらリセットしても無駄ですが、まだ分からないのでやっておいて損はないと思います。

可能ならば、パスワードも他のサービスで使用していないものに変更しておきましょう。

また、時々「最近のアクティビティ」を見て、不審なアクセスがないかを確認しましょう。(Gmailの右下にもリンクがあります。)

利用しているスマートフォン、サービスも注意が必要です。怪しいアプリを入れていないか、サービス側のパスワードが簡単なものになっていないか、もう一度確認しておいた方がいいと思います。

この記事がお役に立てば幸いです。

2013年5月22日水曜日

一人暮しの女性必見!設置も簡単なパナソニック「ドアモニ」

r-DSC04125


猫と一緒にガジェットライフ♪ムチャ(@mutoj_rdm821)です。

今住んでいる部屋の玄関のドアにはのぞき窓がありません。訳あって来客には慎重になっているのですが、解決する製品を見つけました。後付できるドアモニター、パナソニックの「ドアモニ」です。



開封の儀

r-DSC04126

箱の中身はこのような感じ。ドアに取り付けるカメラ部と、手元に置いておくモニター部。購入したのは一番安いモデルなので、モニターから電源コードが直接出ています。

カメラ部は単3電池4本で動きます。カメラ部とモニター部はワイヤレスです。

 

取り付け

r-DSC04127

取り付けられるドアには条件がいろいろあります。詳しくは以下ページに載っているのですが、店頭に行くとチェック用の厚紙が配布されていて、ドアの厚さやスキマを測ることができるので、一度店頭でもらってくるとよいです。

取り付け可能なドアについて | 技術情報 | ワイヤレスドアモニター お客様サポート|お客様サポート | Panasonic

基本的には、

  • 鉄製である
  • 外開きである
  • ドアクローザーが付いている
  • ドアの室内面が平面である
  • ドアの天面が平面である
  • ドアの厚みが30mm~43mmである
  • ドア枠とドアの間に3mm以上の隙間がある
  • ドア枠の出っ張りが3mm以内である

これらを満たしていることとなっているのですが、ウチのドアは写真のように天面が平面ではありません。しかし問題無く設置できました。天面については、平面じゃ無くても凹型なら問題無いと思います。(片側が盛り上がってると不安定で難しい)

r-DSC04128

取り付けたところ。バッテリー部(写真左側)には磁石が付いているので、それだけでほぼ固定されます。

 

モニターしてみる

r-DSC04129

外の様子を表示したところ。フレームレートは1秒1コマですが、誰が着たかを確認するには十分です。広角になっていて、ドアの正面だけではなくかなり広い範囲が写ります。ズームすることもできます。

r-DSC04130

設定はモニターから行います。そんなに設定項目は無く、コントラストやカメラ電池セーブ(セーブすると表示までの時間が若干遅くなる)くらいです。

r-DSC04131

電池残量も確認できます。6ヶ月ほど持つようです。カメラまで4mほど離れてますが、電波状況は良好です。

 

ラインアップ

2013-05-22_11h15_25

自分の買ったのは一番安いVL-SDM100というモデルで、映像を見ることしかできません。値段はビックカメラで交渉して9500円ほどでした。

上位機種になると、通話ができたりモニター部が充電式で持ち運べるようになっています。

録画機能もありますが、留守中の来訪者を録画できるわけではありません。

 

まとめ

後付で簡単、ワイヤレスでどこでもモニターできるこの製品、値段も思ったほど高くないので、のぞき窓の無い部屋に住んでいる方は導入を検討してみてはいかがでしょうか。

再度書きますが、購入の前に店頭へ行って確認用の厚紙をもらって設置可否を確認しましょう。

▼こちらの記事もどうぞ

▼ブログを気に入っていただけたらRSS登録をお願いします!
▼ブログランキング参加中!応援よろしくお願いします。

スポンサーリンク