Google Authenticatorは2010年に初めてリリースされましたが、2要素認証(2FA)コードを保存・生成するこのアプリは、長年にわたりバックアップ機能とマルチデバイス対応がありませんでした。そのため、スマートフォンの移行が困難になり、2FAの代替手段を導入していないと、紛失・盗難にあったデバイスの対応は悪夢のような状況でした。追加のセキュリティレイヤーで保護されたアカウントにログインするために必要な情報が不足し、最終的にはロックアウトされてしまうこともありました。
月曜日、Google Authenticatorがクラウド同期バックアップのサポートを追加し、状況はついに変わりました。Android版はバージョン6.0、iOS版はバージョン4.0から、2FAシード(コード生成の元となる情報)をGoogleアカウントにバックアップできるようになりました。バックアップを選択すると、どのデバイスからでも2FAコードにアクセスし、管理できるようになります。
これはGoogle Authenticatorユーザーが長年要望してきた機能であり、当然のことです。アカウントのロックアウトは冗談ではありません。しかし、このような恐ろしいシナリオを念頭に置いても、2FAコードをクラウドに同期するのは控えた方が良いかもしれません。
現時点では、Google Authenticatorのバックアップはエンドツーエンド暗号化(E2EE)を使用していません。また、この問題を発見したセキュリティ研究者が指摘しているように、2FAシードは完全に秘密に保たれているわけではありません。Googleはそれを確認できるのです。
Mysk がツイートした警告の部分的なスクリーンショット。
PCワールド
Googleは転送時(ユーザーがGoogleのサーバーと情報を送受信する際)と保存時(データがGoogleのサーバー上に保存される際)に暗号化を使用していると説明しているのに、なぜそう言えるのでしょうか?これはデータの暗号化方法に関係しています。現在の方法では、Googleが暗号鍵を保有しており、ユーザーのデータを暗号化・復号する能力を持っているため、暗号化されていない情報を見ることができます。
一方、Google Authenticatorの2FAシードがE2EEで保護されている場合、暗号化はユーザーが制御できます。データはデバイスから送信され、複数のサーバー間を移動し、Googleのサーバーに保存される間も機密性が保たれます。具体的には、スマートフォン上の2FAシードをパスコードまたはパスワードでロックし、新しいデバイスにダウンロードするたびに同じ認証情報を使用してロックを解除することになります。
秘密にして、安全に保管してください。(これはGoogle Authenticatorに保存されている2FAアカウントの1つです。複数作成することも可能です。)
PCワールド
E2EE は、Google アカウント(あるいはより深刻な事態として Google のサーバー)が不正アクセスされた場合でも、より強固な保護を提供します。大切な家の鍵を貸金庫に預けるようなものです。理論上は、貸金庫の鍵を紛失せず、誰かがあなたの知らないうちに鍵を複製しない(つまり、誰かがあなたの Google アカウントのパスワードを発見したり推測したりしない)限り、鍵は安全です。また、銀行員が鍵にアクセスしないこと、そして貸金庫を保管する金庫が常に適切に管理されていることを信頼することも重要です。
しかし、誰かがあなたの貸金庫の鍵を盗む可能性もあるので(いわゆる「盗まれる」可能性。パスワードは使い回したり、脆弱なパスワードを使い回したりする人が多いため)、まず家の鍵を自分だけが解除できる方法で包んで封印することで、より強固な保護を実現できます(これはE2EEです)。銀行に行く途中で車を奪われたり、銀行員が不正行為をしたり、貸金庫の金庫室が爆破されたりしても、あなたの大切な鍵は安全に保たれます。
しかし、Googleによると、E2EEサポートの欠如は意図的なものだという。AuthenticatorアプリのグループプロダクトマネージャーであるChristiaan Brand氏は、短いツイートの中で、チームはセキュリティと使いやすさ、そして利便性のバランスをとったと説明した。また、オプションのエンドツーエンド暗号化が最終的にAuthenticatorに搭載されることも明らかにした。
PCワールド
それまでは、Google Authenticatorのバックアップは控えた方が良いでしょう。リスクに見合うメリットがないかもしれません。より優れた代替アプリに切り替えられるのであればなおさらです。クラウド同期型の2要素認証コードについては、Authyがクロスプラットフォーム(iOS、Android、Windows、Mac、Linux)に対応し、E2EEを採用しているほか、新規デバイスの追加を制限することもできます。
一方、2FAシードのバックアップのみが必要な場合は、Aegis(Android)やRaivo(iOS)などのアプリを使用できます。これらのアプリは、2FAシークレットのパスワード保護と暗号化をサポートしています。クラウドに保存する必要もありません。代わりに、シードの暗号化されたコピーをエクスポートし、オフラインの別の場所に保存することができます。
イージス / PCWorld
Google Authenticatorのクラウドバックアップを引き続き使用する場合は、 Googleアカウントで2段階認証が有効になっていることを確認してください。不正アクセスを持つ誰かがAuthenticatorをダウンロードし、Googleアカウントにリンクして、すべての2段階認証コードをすぐに閲覧してしまうような事態は避けたいものです。これは、Google以外のアカウントを乗っ取るための最後の手段となる可能性が高いからです。
現在、Googleのヘルプページには、Authenticatorを使用するには2FAが必須と記載されているため、クラウドバックアップを設定すれば大丈夫だと思うかもしれません。しかし、2FA保護のないGoogleアカウントでもGoogle Authenticatorをリンクさせることができました。これはヘルプページの記載内容と矛盾しています。(この矛盾についてGoogleに問い合わせましたが、コメントの要請に対する回答はすぐには得られませんでした。)ですから、必ず確認して、確実に利用してください。
全体的に見て、2要素認証コードを完全に安全に保つには、現時点ではGoogle Authenticatorから切り替えるのが最善だと言えるでしょう。(Googleのエクスポート用QRコード生成手順に従えば、非常に簡単に切り替えられます。)それ以外の場合は、少なくともGoogleアカウントで2要素認証が有効になっていることを確認し、誤ってロックアウトされないように複数の2要素認証方法を使用する必要があります。
