古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

「このサイト、あなたのスマホで閲覧できません」 最近増えている“セキュリティの荒技”

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/09/12 11:50
「このサイト、あなたのスマホで閲覧できません」 最近増えている“セキュリティの荒技”: Apple IDの2ファクタ認証を設定すると、デバイスでサインインを行ったときにiPhoneへ確認コードが送られる © ITmedia エンタープライズ 提供 Apple IDの2ファクタ認証を設定すると、デバイスでサインインを行ったときにiPhoneへ確認コードが送られる

 先日、スターバックスが発表した、ある「強権発動」に注目が集まりました。それは同社のWebサイトへのアクセスにおいて、Internet Explorer 10.0以前、iOS 4以前、Android 4.4以前のWebブラウザが利用できなくなるという内容です。

 その理由についてスターバックスは、「お客様の情報保護を第一に考え、通信の安全性を確保するために、弊社ホームページにおけるTLS1.0/1.1を無効化することにした」と説明しています。つまり、この“端末環境の切り捨て”は、利用者の情報保護が優先事項だったということ。これはやむを得ない「強権発動」といえるでしょう。ただ、現在使われているほとんどのWebブラウザはTLS 1.2以降に対応済みなので、さほど大きな影響はないとみられています。

 実は、こうした“セキュリティ視点による端末環境の切り捨て”は、スターバックスだけでなく、他の多くのWebサイトでも行われています。わが家には3年前の2014年に購入したAndroid端末がありますが、もはやAndroid 4.4以降のアップデートが提供されていません。安全性を考えたら、この端末はそろそろ引退させるしかないようです。

●iOSが強制した「2ファクタ認証」

 最近では、このような“セキュリティを確保するための強制措置”を目にすることが増えてきました。一時的に混乱を招くことは間違いありませんが、長い目で見れば、「その手法は正しかった」と受け取られる可能性が高いと考えています。

 最近、印象に残った“強制措置”は、iOS 10.3にアップグレードしたときに半ば強制的に設定された、Apple IDに対する「2ファクタ認証」です。アップルの2ファクタ認証は、いわゆる「2要素認証」「2段階認証」と呼ばれるものと同じ、「パスワード以外にもう1つの要素を使う」認証方法のこと。これをオンにすると、Apple IDのログイン時に手元のiPhoneに確認コードが表示され、利用者は“パスワードとともに確認コードを入力”することで、なりすましによる第三者のログインを防ぐことができます。

 この設定を促す通知は、OSのアップデート時にかなり頻繁に表示された記憶があります。「2要素認証」の重要性は、これまでも何度も本コラムでお伝えしてきた通りですが、その設定に至るまでは心理的なハードルがあるようで、なかなか浸透しないのが現状です。

 しかし、その間にも大規模なID/パスワードの漏えい事件は起きており、かつ「パスワードの使い回し問題」も相まって、不正ログインによる事故が後を絶ちません。もし、2要素認証を設定していれば、万が一、パスワードが漏れたとしても“完落ち”とまではいかないわけですから、OS/デバイス/サービスをトータルで提供するアップルが、ある意味“強権発動的”にユーザーに2要素認証を設定させたのは画期的だったと思います。

●Webブラウザで“強権発動”は当たり前――IoTやOSも

 強権発動による安全策の実施は、何も特別なことではありません。実は、皆さんがこの記事を見ているWebブラウザでは当たり前のように起こっています。

 特にWebブラウザは、ありとあらゆるマルウェアの入り口になってしまうアプリケーションですから、強制的にアップデートされるのはむしろありがたいことのはず。もし、その強制アップデートの仕組みに、あなたが気が付いていないのならばなおさらですね。こういった強権発動こそが、“セキュリティの手間を感じさせずに安全を得る最良の方法”なのかもしれません。

 いまや、“デバイスはインターネットにつながってこそ価値がある”時代ですから、全てのOS、アプリケーション、デバイスは、既知の脆弱(ぜいじゃく)性が存在しない「最新版」であるべきです。さらに、大事なアカウントには2要素認証が設定されているべきでしょう。多くの人がそれに無頓着ならば、サービス提供者やOS/スマホベンダーが、ある程度「強制的に安全にする」ことも許容されるべきです。

 特に、多種多様なデバイスが登場するであろう「IoT分野」では、作る側がこの点をしっかり考えた上で市場に送り出す必要があると考えています。

 間もなくiPhoneの新機種が登場します。iOSは比較的古い機種でも最新のOSが入れられることが特長でしたが、Androidも徐々に「早期に最新のOSを乗せる」ことの重要性が浸透しつつあります。できれば強権発動される前に、これらの「安全」を手に入れられるように、ほんのちょっとだけ努力してみてください。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon