半径300メートルのIT：「二段階認証を入れたから、オレのデータは安全」と思っているユーザーに伝えたいこと (2/3)

認証コードの通知メール、どこかに転送していませんか？

　二段階認証で送られてくる認証コードは、どのような形で届く設定になっているでしょうか？　もし、専用のアプリからプッシュ通知を受け取っていれば、前回お伝えした「スマートフォンは肌身離さず」「通知は他人に見せない」という対応で安全を守れます（金融機関が提供するアプリなどで多いパターンです）。

　しかし中には、認証コードを「登録されたメールアドレス」、もしくはSMSで通知するサービスもあります（上記のNTTドコモもこの方式ですね）。この場合、もう少し気を付ける部分が増えます。

　スマートフォン端末は、間違いなく「あなたしか持っていないもの（SYH：Something You Have）」です。しかしメールの場合、「あなたしか見られない情報」という証明ができません。複数の端末からメールを見られる状態になっている場合やメールを転送する設定にしていた場合、SYHの原則から外れてしまいます。

　そのため、まずはあなたのメールアドレスを守る、つまり「メールボックスへのログインに関しては必ず安全な認証方法を設定する」必要があるのです。具体的には、やはり二段階認証ですね。

そのスマートフォンに入った「あなたのSIM」は安全ですか？

SIMのPINは、iPhoneの場合、「設定→モバイル通信→SIM PIN」から設定が可能です

　そしてもう1つ注意事項があります。実は前回の記事に対していただいたコメントにもあったのですが、あなたのスマートフォンに格納されている、電話番号などの情報が入った「SIM」――実は、これこそあなたが大事に守るべきものです。

　SIMというと、ほとんどの人は「機種変更の時だけしか見ることはないもの」と思っているのではないでしょうか。実は、このSIMこそが、あなたの電話番号を格納しているもの。これを別の端末に差し替えれば、それがあなたのスマートフォンになるわけです。

　二段階認証を使う多くの人は、スマートフォンは大事にしていても、SIMの重要性に気付いているとは限らないでしょう。しかし、厳密には守るべきはスマートフォンというよりも、「SIM」そのものと考えるべきかもしれません。

　例えば、あなたがスマートフォンをカフェの席をとるために“放置”していたとします。そこに誰かがやってきて、スマートフォン本体ではなくSIMだけを抜き取って別のものとすり替えたら、何が起こるでしょうか。この場合、あなたがスマートフォンの“本体がそこにあること”で安心している間に、SIMの盗難に気付くタイミングが遅れるかもしれません。さらに、もしもあなたが使っている二段階認証の認証コードがSMSで送られてくる方式ならば、見事認証を突破できることになります。