Appleはついにキーベースの2FAを採用しました。あなたもそうすべきでしょうか？

Googleは約3年前、高度な保護機能プログラム（APP）を導入しました。これは、アカウントへのアクセスにハードウェアキーを必要とする高リスクユーザー向けのセキュリティプランで、アカウント乗っ取りを阻止する業界で最も効果的な方法と言えるでしょう。しかし、これまでAPPには大きな欠陥がありました。iPhoneとiPad向けの機能は、ほとんどのユーザーにとってあまりにも制限が厳しかったのです。しかし、この状況は改善され（変更点については後ほど詳しく説明します）、私はより幅広いユーザーに向けてAPPを自信を持って推奨できるようになりました。

APPとは何ですか?

APPは、ユーザーが新しいデバイスでログインするたびにパスワードに加えて物理的なセキュリティキーの入力を求めることで、ロシアの工作員が2016年の大統領選挙で民主党高官からの機密メールを公開して混乱を招いたようなアカウント侵害を阻止できるように設計されています。

これらの攻撃では、Googleからのメールを装った、説得力のあるメールが標的に送られました。メールには、標的のアカウントのパスワードが外部の人物に取得されたため、直ちに変更する必要があるという虚偽の警告が書かれていました。ヒラリー・クリントンの大統領選選対委員長ジョン・ポデスタ氏をはじめとする民主党議員たちがこれに従った結果、事実上、パスワードがハッカーに引き渡されたのです。ハッカーがアカウントを侵害する方法は数多くありますが、フィッシングは容易さと成功率の高さから、依然として最もよく使われる手法の一つです。

APPは、このような攻撃をほぼ不可能にします。APPに必要な物理キーに保存された暗号鍵はフィッシング攻撃が不可能であり、理論上は、たとえ誰かがキーに物理的にアクセスしたり、キーが接続されたデバイスをハッキングしたりしたとしても、鍵を盗み出すことはできません。攻撃者がキーを盗まない限り（リモートでは不可能ですが）、たとえ標的のパスワードを入手したとしてもログインすることはできません。

APP は、強化された 2 要素認証 (2FA) または多要素認証 (MFA) と考えてください。

セキュリティ専門家はほぼ全員一致で、物理キーは認証アプリよりも安全なMFAの代替手段であると考えています。認証アプリは、ユーザーが第二要素として入力する、常に変化するパスワードを提供します。一時的なパスワードは、SMSテキストメッセージで送信される場合、SIMスワッピング攻撃や携帯電話ネットワークの侵害に対して脆弱であるため、さらに問題が深刻化します。ワンタイムパスワードも、フィッシング攻撃や場合によっては盗難される可能性があるため、問題があります。

2016年にGoogle従業員5万人を対象に2年間にわたって実施された調査では、セキュリティキーがセキュリティと信頼性の両面で他の2要素認証方式よりも優れていることが分かりました。APPは、物理キーのセキュリティとアカウントを厳格にロックダウンする手法を組み合わせています。APPを初めて設定する際、ユーザーはYubicoやTitan Security製のセキュリティキーを2つ登録する必要があります。キーが登録されると、アカウントにログインできるすべてのデバイスが自動的にログアウトされ、いずれかのキーを2要素認証として使用してのみ再ログインできるようになります。

ユーザーは、新しいデバイスから初めてログインするときにも、これらのキーを使用する必要があります (Google はこのプロセスをブートストラッピングと呼んでいます)。デバイスが一度認証されると、以降のログインでは、デフォルトで 2 つ目の認証要素は不要になります。ただし、その場合でも、Google の従業員が疑わしい IP からのログインや、アカウントが乗っ取られた、または乗っ取られそうな兆候を確認した場合、再度 2 つ目の認証要素を要求することがあります。APP は、すべての Google アプリと Nest シリーズのスマートホーム サービスで動作しますが、サードパーティ製アプリはごく一部を除いてすべてに制限されています。Google は、APP が追加の安全対策を提供すると述べていますが、それ以上の詳細は明らかにしていません。

ブートストラップの手間を軽減するために、ユーザーはAndroidデバイス（そして最近ではiOSデバイス）を追加の物理キーとして登録できます。このキーは、ブートストラッププロセス中に自動的に表示される画面で「はい」をクリックすることで有効化されます。このオプションの利点は、ユーザーがスマートフォンをポケットに入れていることが多いため、従来の物理キーよりも便利であることです。

iOS と Android の両方での表示は次のようになります。

電話ベースのキーは、最近導入されたWebAuthn規格（詳細は後述）に準拠しており、電話とブートストラップされるデバイスの両方でBluetoothが有効になっている場合にのみ機能します。さらに、キーは電話とブートストラップされるデバイスが互いに近接している場合にのみ機能します。この要件は、以前のプッシュベースの2FAにおけるセキュリティ上の脆弱性を修正するものです。この脆弱性では、ユーザーはアカウントのパスワードを正常に入力した後、電話のOKボタンをタップする必要がありました。

認証アプリやSMSからの一時パスワードと同様に、プッシュ認証による保護は、攻撃者が巧妙なタイミングでログインを試み、標的が攻撃者の偽サイトにログインしようとしている直後に実行すれば、回避される可能性があります。標的はログインしていると思っているため、「はい」ボタンを押さない理由はありません。Bluetooth接続が必要なことで、攻撃者は標的のアカウントのパスワードを入手し、完璧なタイミングでログインする必要があるだけでなく、標的のデバイスに物理的に近い場所にいる必要もあります。

Android には最適ですが、iOS ではどうでしょうか?

セキュリティの専門家であり、匿名の情報源と時折仕事をするジャーナリストとして、私は個人アカウントとG Suiteを使用している仕事用アカウントの両方でAPPに登録しました。（管理者にAPPの許可を依頼する必要がありましたが、簡単に有効化できました。）各アカウントの登録手続きは、キーを2つ購入する時間を除けば5分もかかりませんでした。それ以降、物理キーが2要素認証の唯一の手段となりました。

APPはセキュリティ侵害に対する特効薬ではありませんが、フィッシングや不正アクセスされたパスワードを悪用したその他の攻撃によるアカウント侵害を防ぐという点では、私が思いつく限りの他のどの対策よりも優れています。その安心感と使いやすさが気に入りました。NFC対応のPixel XLを使っていたので、APPの初期段階ではキーの選択肢がまだ限られていたにもかかわらず、所有するすべてのデバイスで物理キーを簡単に使うことができました。スマートフォンをセキュリティキーとして使えるようになってからは、さらに使いやすくなりました。

しかし、これまで私は、他のサイトでの2FAにアプリや物理キーを一般的に使用することを推奨してきませんでした。理由は、Appleが長年にわたりLightningポートへのアクセスを厳しく制限してきたこと、そして最近までiPhoneとiPadのNFCもアクセスを制限していたため、これらのデバイスでハードウェアベースのキーを使用することは非常に制限されていたからです。世界で最も人気があり影響力のあるプラットフォームの一つであるAppleのユーザーにとって、使いにくく不適切な認証方法を推奨する価値はほとんどありませんでした。

APPの存在期間の大半において、iPhoneやiPadで使える物理キーはBLE（Bluetooth Low Energy）を使ったドングルだけでした。これらのドングルは壊れやすく、扱いにくく、故障しやすく、ログインに3回以上試行しなければならないこともありました。これらのキーは、Appleのスローガン「とにかく使える」とは正反対のものでした。

さらに悪いことに、Bluetoothのセキュリティにも疑問を抱いています。Bluetoothの仕様とその実装の一部に多数の脆弱性があり、厳格なセキュリティ監査を受けていないのではないかという正当な懸念が生じています。昨年、Googleが、近くのハッカーがTitanのBluetoothペアリングプロセスを乗っ取ることを可能とする脆弱性を公開したことも、私の不安を一層募らせました。（この欠陥はその後修正されました。）

実用的なキーの選択肢が不足していたのは、Googleの手に負えない状況でした。Appleは、内側から外側へ開発を進めるという伝統と、未検証と見なす技術への嫌悪感から、ハードウェアベースのキーを製品に導入するのに時間がかかりました。その結果、iPhoneやiPadをNFCまたはLightningポート経由でほとんどのデバイスに接続できるようにするという要求にAppleは抵抗しました。

USBベースのキーは、Chrome、そして後にFirefoxなどのブラウザを搭載したMac（およびWindowsとLinuxデバイス）で使用できましたが、iPhoneやiPadにキーを接続する唯一の手段はBluetoothのままでした。結局、Bluetoothキーは普及しませんでした。例えば、キーメーカーのYubicoは、今でもBluetooth対応製品を提供していません。Googleサポートフォーラムに寄せられたこのようなコメントは、実用的な選択肢の少なさに対するユーザーの不満を如実に表しています。iOSとiPadOSがほとんどサポートされていないため、Googleと業界パートナーは代替手段を必死に探し出しました。

例えば、2019年6月、GoogleはAPPアカウント保有者がAndroidスマートフォンをセキュリティキーとしてiPhoneやiPadにログインできるようにしましたが、このオプションは、APPがiPhoneやiPadの一般ユーザー向けに準備が整っていると確信させるには至りませんでした。慣れてしまえば、このオプションは十分に機能しました。しかし、それでも、2台目のモバイルデバイス（しかもライバルOSを搭載）が必要だったため、iOSやiPadOSユーザーの大部分には魅力的ではないだろうと考えました。

2019年8月、YubicoはYubikey 5Ciをリリースしました。これは、AppleのLightningポートに接続する独自の技術を採用したキーで、Appleによるネイティブサポートの追加を待ち望んでいました。しかし、5Ciは新興ブラウザBraveのiOS版でしか利用できず、しかもごく少数のサービスでしか利用できなかったため、ほとんどの人は注目しませんでした。より主流のブラウザやウェブサイトは完全に除外されていました。macOS版Safariが物理キーのサポートを追加したのは、翌月の2019年9月になってからで、Safariは物理キーに対応した最後の主要ブラウザとなりました。

AppleがFIDO2と呼ばれる認証規格を通じてNFCやUSBキーをネイティブサポートしたのは、12月のiOSおよびiPadOS 13.3リリースになってからでした。これらの追加機能は大きな改善でしたが、それぞれに限界もありました。7か月後、認証キーを使用できるのはiOSおよびiPadOS版SafariとBraveのみとなりました。ハードウェアベースの2FAを提供する多くのサイトは、Braveではうまく動作しないか、全く動作しません。ブラウザはYubicoキーには対応していますが、Titanのキーは全くサポートされていません。

ブラウザメーカーやオンラインサービス事業者にとって残念なことに、Appleは、最近追加されたネイティブサポートを使用してサードパーティブラウザが実際にキーを読み取るために必要なプログラミングインターフェースをまだ公開していません。（Braveは独自のYubicoインターフェースのおかげで5Ciキーを読み取ることができます。Yubico NFCキーをサポートするために、BraveはYubicoインターフェースと、iOSおよびiPadOSアプリがNFC対応デバイスに直接アクセスできるようにする一連のApple APIを組み合わせて使用​​しています。）Appleの広報担当者は、同社がまだサポートを提供していないことを確認しましたが、将来的にサポートが提供されないという意味には解釈すべきではないと述べました。

こうしたユーザビリティの制限により、私は物理キーを広く推奨することができませんでした。これも、iOS と iPadOS 用と他のすべてのプラットフォーム用にそれぞれ異なる MFA 方式を推奨したくなかったためです。

そして地球は動いた

ついに2020年6月、世界は劇的な変化を経験し、iOSまたはiPadOSデバイス上のAPPアカウントにBLE以外のキーを使ってログインすることが初めて可能になりました。サポートは理想的とは言えませんが、十分に機能しています。Apple APIの恩恵を受けられないため、iOSおよびiPadOS向けのAPPは、ユーザーがChromeの外部（Gmailや他のGoogleアプリ経由、あるいはSafariから直接）でアカウントにログインした後にのみ機能します。

新しいサポートを徹底的にテストし、Titan NFC、Yubikey 5 NFC、Yubikey 5Ciの3つのキーを試しました。3つとも、iPhone SEをAPPで保護されたアカウントにシームレスにログインできました。iPhoneまたはiPadでブートストラップを行う方法はいくつかあります。最も簡単な方法は、「設定」>「パスワードとアカウント」>「アカウントを追加」>「Google」と進み、APPアカウントのユーザーIDとパスワードを入力し、「『設定』はログインにgoogle.comを使用しています」というプロンプトで「続行」をクリックすることです。

「続行」をクリックすると、セキュリティキーをデバイスの背面にかざすか、Lightningポートに接続するかを選択する画面が表示されます。「パスワードとアカウント」方式では、どちらのキーも正常に動作しました。他の多くのUSBキーと同様に、5Ciもキーを挿入した後、金属製のボタンまたはストリップに触れる必要があります。NFCキーをデバイスの上部または近くに持ってくるだけで、キーが認識されます。キーが認識されると、スマートフォンが振動します。以下の画像は、その流れを捉えたものです。

デバイス設定を使用する代わりに、Safari、Gmail、その他のGoogleアプリ内からiPhoneまたはiPadをブートストラップすることもできます。これらの方法のフローは、上記で説明したものとほぼ同じです。

iPhoneをブートストラップすると、iOSメールとGmailアプリの両方を使ってGmailアカウントにアクセスでき、Googleアプリを使って自分のアカウントの他のGoogleサービスにもアクセスできるようになりました。また、SafariとChromeの両方を使ってAPPアカウントにアクセスできるようになりました。ネイティブサポートではほとんどのサードパーティ製ブラウザがまだサポートされていませんが、このネイティブサポートによって、iPhoneとiPadはAPP使用時に他のデバイスと同等の性能を発揮できるようになりました。

AppleがiOSとiPadOSでFIDO2標準をネイティブサポートしたため、これまで必須だったGoogle Smart Lockのインストールは不要になりました。（このアプリを使うと、ブートストラップされたデバイス自体が物理キーとしても機能するため、私は引き続きこのアプリの使用をお勧めします。Bluetoothドングルを使用する場合もSmart Lockが必要です。）

ただし、OSを問わず、APPの導入を検討している方には注意が必要です。APPを有効にすると、パスワードやキーを紛失した場合のアカウント復旧プロセスは通常よりもはるかに厳格になり、数日間の「クーリングオフ」期間が設けられ、ユーザーはアカウントにアクセスできなくなります。また、リカバリコードはフィッシングの恐れがあるため、APPでは利用できません。また、APPではThunderbirdとiOSおよびmacOS版メールアプリからのみGmailにアクセスできるため、すべてのユーザーに適しているわけではありません。

すべてのキーが紛失または破壊される可能性に備えて、ユーザーは必要な数のキーを登録することができ、一部のキーは弁護士の金庫や信頼できる友人など、オフサイトに保管することができます。

セキュリティキーを使って他のサイトにログインした時の経験は、複雑なものでした。一番の不満は、Appleがプログラミングインターフェースを公開しないという決定をしたため、Safari以外のブラウザでは新しく追加されたネイティブサポートを利用できないことです。5CiとYubikey 5 NFCの組み合わせでは、GitHub、Twitter、その他ほとんどのサイトでキーベースの2FAは問題なく動作しましたが、Braveを使ったDropboxでは毎回失敗しました。

出発点

この記事で Apple モバイル デバイス用の APP に焦点を当てたのには 2 つの理由があります。まず、APP は、オンライン アカウントのほとんど、あるいはすべてのハードウェア ベースの 2FA のパラダイムになるべきだと私は考えています。つまり、APP ではセキュリティ キーが必須であり、認証アプリからの一時パスワードは受け入れません。一時パスワードはフィッシング可能であり、場合によってはコンピューターやクラウド サービスから盗まれる可能性があるため、APP ではワンタイム パスワードもオプションではありません。代替手段として、私が使用したハードウェア ベースのキーを許可する他のすべてのサイトでは、認証アプリまたは SMS メッセージからの 2FA を有効にするか、ワンタイム パスコードを受け入れることを要求しています。これらの弱い方法を必須にすることで、サイトやサービスはセキュリティ キーによる追加のセキュリティ上の利点を無効にします。なぜなら、攻撃者は前述の弱点を悪用できるからです。

リスト画像: スティーブン・クライン