會原 
Twitter社は2023年2月18日未明、二段階認証のSMS認証を、Twitter Blue(有料プラン契約者)に限定する方針を打ち出しました。
SMS認証に代わる、TOTP認証を設定する方法について解説します。
Index
そもそも、なぜ移行する必要があるの?
2023年3月19日までに移行を
Twitterにアクセスできなくなることを防ぐため、非契約者のSMS認証は2023年3月19日までに削除することを求めています。
認証アプリやセキュリティキーといった従来方式の二段階認証は利用できるため、TOTP認証に移行しましょう
SMS認証よりTOTP認証の方が安全
そもそも、なぜそんなの移行しなきゃいけないの?と疑問に感じるユーザーも居ると思います。
TOTP(Time-base One Time Password)認証とは、30秒や1分程度で切り替わるアプリ上の数字(ワンタイムパスワード)を、サービス側に打ち込んで認証するもの。端末側アプリとサービス提供者側の間で、通信せず、しかし保持する計算式は両者で同一であるため、同一の数字が出ます。その計算結果を合言葉に、認証するわけですね。
サービス提供者側が数字を送るSMS認証と異なり、通信経路上の傍受で数字が漏れるということがない安全な認証と言えます。
さらにSMS認証の致命的なのは、携帯会社側の問題です。たとえばSIMハイジャックと呼ばれる、携帯の回線契約ごと乗っ取ってしまう手法です。海外では最近流行っています。
日本では本人確認義務があるためそれほど顕在化はしていませんでしたが、最近偽造免許証でSIMカードを紛失したと偽り、SIMカードを再発行して乗っ取る国内の事件も報道されています。
また楽天モバイルはeSIM発行手続きが簡便で利用者目線である一方、現時点では(パスワード使い回しなどを一切していなければよほど心配はしなくていいとはいえ)セキュリティ的に若干の不安もあります。
こうした背景を踏まえてもTOTP認証の方がより安全です。
コスト削減も背景か
また、サービス提供事業者側の目線では、安全性が向上するだけではありません。
1通数円かかるSMSを用いた認証よりも、TOTP認証へと一元化したほうがコスト削減になります。課金者のみSMS認証存置はそういうことでしょう。
TOTP認証に移行する方法
設定方法
Twitterの設定から開いて、TOTP認証を設定します。PCで設定を開いて、QRコードをスマホの認証アプリで読み取るのがおすすめ。
以下、Twitterの設定。
- 設定とサポート→設定とプライバシー→セキュリティとアカウントアクセス→セキュリティ→2要素認証→認証アプリのチェックを有効化
ここでQRコードが打ち出されるので、認証アプリから読み取って登録してください。
スマホ側の認証アプリは「Google Authenticator」「Microsoft Authenticator」「1password」や、iOS標準の「パスワードマネージャ」が利用できます。これらでQRコードを読み取るだけ。
Google認証システム→右下の追加ボタン→QRコードをスキャン
Microsoft Authenticator
1password利用者の場合は、TwitterのID/パスワードを登録している項目を「編集」時、「さらに追加」から「ワンタイムパスワード」を追加して、入力欄右側にあるQRアイコンを押してカメラ起動、さきほどのTwitterのQRコードを読み取ってください。
iOSの設定→パスワードからアクセスできるパスワードマネージャーでも、QRを読み取ってワンタイムパスワードを設定できます。
設定→パスワード→Twitter→アカウントオプション→確認コードを設定→QRコードを読み取り
利用方法
二段階認証は特に重要なアカウントの設定変更時や、新規デバイスでのログイン時に走ります。その時に入力を求められる認証コードは、アプリから表示できる数字。これがワンタイムパスワードとなり、ログインできます。
余談
複数デバイス運用
なお機種変更時には認証アプリの移行作業を忘れずに。適切に管理しましょう。
QRコードをGoogle認証アプリで読み取る際に、複数デバイスで読み取っておけば、複数端末での運用はできます。同期はできません。必ず新機種を購入したらエクスポートして移行してください。
Microsoft AuthenticatorはMicrosoftアカウントやiCloudでのクラウドバックアップが可能。
有料のパスワード管理ソフトである1passwordは同期が可能で楽ではあるのですが、TOTPのセキュアさをより意味あるものにするためにはパスワードとワンタイムパスワードの一元管理はせず、ワンタイムパスワードのみ別アプリで管理した方が、本来は良いだろうと思います。
説明が雑
Twitter側がアプリに突如表示した「SMSを使った2要素認証を削除してください」とデカデカ書いた説明がすごいです。ユーザーの心理を考えていません。実際いきなり「消せ、認証アプリかセキュリティキー使え」と言われて、まったく意味がわからなかった人も少なくないでしょう。
Twitter社がアプリに表示すべきだった文章はこうです。「このたびTwitterはセキュリティ強化のため、二段階認証をより安全性の高いTOTP認証へと移行します。多くのサービスが既に採用しているGoogleのアプリなどが利用でき、導入も簡単です。維持コストの高い従来のSMS方式は、課金ユーザーにのみ引き続きサポートします」と、このようにさらっと簡潔丁寧に言えば済む話です。
いくら放漫財政のTwitter社内の無用な人員の整理が不可避だったとはいえ、最低限ユーザーとのコミュニケーションを図るための人材は確保したほうが良いと思います。
