Googleが全社員に導入し、フィッシング被害が0件になったというセキュリティキー。Google自身からも発売するとの発表がありましたが、そのGoogle印のセキュリティキーと同じものであろう、飛天ジャパンのBluetooth対応「MultiPass FIDOセキュリティキー」を購入してみました。 関連記事： Google、社員へのセキュリティキー導入でフィッシング被害が0件に Google印のセキュリティキー、Titan Security Key発表。普及のきっかけになるか？ そもそもセキュリティキーとは？ まずセキュリティキーとは何なのかを簡単に説明すると、GoogleやFacebook、DropboxなどのWebサービスにログインする際の2段階認証で使用するデバイスです。FIDOアライアンスのU2F (Universal 2nd Factor)プロトコルに対応したものが広く使われています。 一般的な2段階認証では、SMSで届いたり、専用アプリに表示される認証コードをログイン画面で打ち込んだりします。2段階認証を使わない場合に比べると、はるかに安全にはなるのですが、なんらかの改ざんの影響を受け、認証コードのSMSが別の電話番号に送られてしまったり、本物そっくりに作られたフィッシングサイトでパスワードと認証コードがリアルタイムに盗まれ、裏で他の誰かがログインしていたりといった危険性もあります。 また、GoogleやFacebookが採用しているスマートフォンに「ログインしましたか？」といったメッセージが表示され、「はい」を押すと認証されるものは特に注意が必要です。ログイン場所などをよく確認しておかないと、いつもの調子で「はい」を押したら、実は第3者によるログインだったということもありえます。 ▲Facebookのログイン認証メッセージ これに対し、セキュリティキーを使う場合では、物理的なデバイスが必要となるため、コードを盗まれるといった心配はありません。 フィッシング対策以外でも、いちいちSMSや認証アプリに届くコードを打ち込む必要がない利便性も魅力です。 通常のUSBに差し込んで使うセキュリティキーの使い方については、下記の記事が詳しいので参考にしてください。 関連記事：Facebookを「USBの鍵」でより安全に、二段階認証方法にUSBセキュリティキーが追加 なお、セキュリティキーを利用できるサービスでは、紛失した場合などに備え、SMS認証などが併用できるようになっています。ただし、これを使ってしまうと、セキュリティ対策のメリットが薄れるので、本当に紛失した場合などを除き、セキュリティキー以外の認証手段は使わないようにしたいところです。 BluetoothとNFCに対応したMultiPass FIDOセキュリティキー 飛天ジャパンのMultiPass FIDOセキュリティキーは、USBのほか、BluetoothとNFCによる認証にも対応しています。USBが挿せないスマートフォンなどモバイル機器向けのセキュリティキーです。 ▲中央のボタンが電源。これを押すと20秒程度で電源が入りその間に認証が行われます ▲背面にはBluetoothペアリング用のパスコードが記載。底面にmicroUSBポートがあります 実際の使い方ですが、まず最初に、利用するサービス側でPCのブラウザからセキュリティキーを登録する必要があります。これはUSBセキュリティキーと同じです。サービスがセキュリティキーに対応している場合には、2段階認証の設定の中に項目があるはずです。 ▲Googleのセキュリティキー設定 最初の追加の際には、BluetoothではなくUSBケーブルで接続します。 次に、Bluetooth認証を利用するスマートフォンとペアリングをしておきます。セキュリティキーの中央ボタンを5秒以上長押しするとペアリングモードになるので、あとは普通のBelutoothデバイスと同様にスマートフォンで登録します。その際、パスコードが求められるので、背面に記載されている数字を入力しましょう。 これで準備が完了したわけですが、ここで重要な注意点があります。セキュリティキーを使った2段階認証は、Googleのほか、Facebook、Twitter、Dropbox、GitHubなどが対応していますが、いずれの場合もモバイルアプリからは利用できません。セキュリティキーが使えるのはChromeもしくはOperaを使ってWebサイトにアクセスした場合のみとなります。 ブラウザからログインする際、最初にペアリング済みであれば、ボタンを押すだけでBluetoothでの認証が完了します。BluetoothではなくNFCを使う場合は、デバイス背面のNFC付近に接触させると認証が行われます。 ▲Facebookのモバイルサイトで、Bluetooth認証（左）とNFC認証（右）を試したところ モバイルアプリで使えないのはかなり残念。Android端末のGoogleアカウント設定の場合はBluetooth、NFCともに利用できましたが、それ以外の用途では、現状モバイルで利用する機会はほとんどなさそうです。 今後、対応アプリやサービスが増えてくると、BluetoothやNFC対応のセキュリティキーも意味が出てくるのでしょうが、それが普及するよりも前にUAFやWebAuthnなど、パスワードや2段階認証が不要な仕組みが広まるかもしれません。 関連記事： 指紋や顔認証がWebサイトで使える。W3Cが新しい認証仕様WebAuthnを勧告候補に