午前2時47分、スマホに通知が届いた。「あなたは$4,800を送金しました...」何も送っていない。誰かが私のPayPalに、私のネットワークに入り込み、素早く動いていた。家中のすべての接続を切断した。ルーター、モデム、すべてオフラインに。送金はフラグが立てられ、取り消された。運が良かった。
その後に続いたのは、人生で最も非生産的な週の一つだった。ネットワーク全体を解体し、すべてのハードウェアにOSを再インストールし、所有するすべてのアカウントを精査した。それを証明するセキュリティログがある。しかし、証拠があっても再発は防げない。あれがSMSを二要素認証として信頼した最後の日だった。
あれから約1年。振り返ると、彼らが狙っていたのはPayPalだけではなかったと思う。当時携わっていたプロジェクトを考えると、もっと価値のあるものを探していたのだろう。知的財産、コード、研究、数千ドルよりはるかに価値のあるシステムへのアクセス。銀行口座には貯蓄があるかもしれないが、仕事用デバイスにはアイデアがある。そしてアイデアは適切な買い手にとって莫大な価値を持つ。
おそらく自分でも気づいているだろう。Google、Apple、Microsoft、その他数十のサービスが、パスキーの設定やセキュリティキーの使用を提案し始めている。これはギミックではない。セキュリティの専門家が何年も前から知っていることを業界が認めているのだ。ハードウェア認証がゴールドスタンダードだと。大手テック企業が何かに誘導し始めるのは、通常、あなたがハッキングされた後の対処に疲れたからだ。今回は、彼らが正しい。イエスと言おう。
ハードウェアセキュリティキーとは?
ハードウェアセキュリティキーは、暗号化認証コードを生成する物理デバイスだ。差し込むか、スマホにかざすと、偽造も傍受もフィッシングもできない方法で本人であることを証明する。一般の人々が利用できる最も安全な二要素認証の形態だ。
背後にある技術はFIDO2(Fast Identity Online)と呼ばれる。サービスにセキュリティキーを登録すると、キーはそのサービスだけのためにユニークな暗号鍵ペアを生成する。公開鍵はサービスに渡り、秘密鍵はデバイスから離れることはない。ログイン時、サービスがチャレンジを送信し、キーが秘密鍵で署名し、その署名が物理キーを所持していることを証明する。コードを入力する必要なし。プッシュ通知を承認する必要なし。タップするだけで完了。
ハードウェアがソフトウェアに勝る理由
Google AuthenticatorやAuthyのような認証アプリは堅実だ。SMSよりはるかに優れている。しかし弱点がある。スマホがマルウェアに侵される可能性がある。認証バックアップコードが盗まれる可能性がある。高度な攻撃者は、ワンタイムコードが期限切れになる前にリレーするリアルタイムフィッシング攻撃を開発している。Googleの調査では、セキュリティキーが自動ボット攻撃の100%、大量フィッシング攻撃の100%、標的型攻撃の100%をブロックしたことが判明した。他の認証方法は近づくことすらできなかった。
「全85,000人以上の従業員にセキュリティキーを義務付けた後、Googleは業務関連アカウントでの成功したアカウント乗っ取りをゼロと報告した。ゼロだ。物理認証にはそれだけの力がある。」
どのキーを買うべきか?
市場リーダーはYubicoで、それには理由がある。YubiKeyシリーズは堅牢で、幅広くサポートされ、複数のフォームファクターで提供される。選び方はこうだ:
YubiKey 5シリーズ
ほとんどの人にこれを推奨する。YubiKey 5 NFCがベストバランスだ。USB-Aを備え、モバイルデバイス向けNFCをサポートし、遭遇するすべてのプロトコルに対応する。約50ドルで、あなたが所有するすべてを潜在的に保護する投資だ。コンピュータにUSB-Cポートしかない場合は、代わりにYubiKey 5C NFCを入手しよう。
購入先
YubiKey 5 NFC (USB-A) — Yubico.com | Amazon
YubiKey 5C NFC (USB-C) — Yubico.com | Amazon
真正性を保証するため、Yubicoから直接購入することを推奨する。Amazonリンクは利便性のために掲載。
少なくとも2本買おう
これは重要だ。セキュリティキーにはバックアップがない。唯一のキーを失えば、アクセスを失う。2本買い、両方をすべてのサービスに登録し、1本はキーチェーンに、もう1本は自宅の安全な場所に保管しよう。貸金庫に3本目を保管する人もいる。予備の家の鍵を持つようなものだと考えよう。
私のセットアップ
キーチェーンにYubiKey 5 NFCを付けている。自宅の金庫にバックアップ用のYubiKey 5C NFCがある。両方とも重要なすべてのサービスに登録済み。総投資額:約100ドル。安心感:プライスレス。
Macでのセキュリティキーのセットアップ
AppleはmacOSでのハードウェアキーのセットアップを簡単にした。始め方はこうだ:
Appleアカウント用
AppleはiOS 16.3とmacOS 13.2でセキュリティキーサポートを追加した。システム設定に行き、上部のApple IDをクリックし、サインインとセキュリティを選択し、セキュリティキーを見つける。追加をクリックし、指示に従う。キーを挿入し、求められたらタップする必要がある。Appleは少なくとも2本のキーの登録を要求しており、これはスマートな設計だ。
セットアップ完了後、新しいデバイスでのAppleアカウントへのサインインには物理キーの1本が必要になる。6桁のコードは不要。攻撃者が悪用できる「このデバイスを信頼」ポップアップも不要。
Macログイン用
YubiKeyをMac自体のログインに使用することもできる。これにはスマートカード認証の設定か、YubiKeyのPIV(Personal Identity Verification)機能の使用が必要だ。YubicoはYubiKey Managerというツールを提供しており、設定を支援する。プロセスはキー上で証明書を生成し、macOSがログイン時にそれを受け入れるよう設定することを含む。
Windowsでのセキュリティキーのセットアップ
Windowsはセキュリティキーの優れたサポートがあるが、購入前に知っておくべき重要な注意点がある。
Windows Pro vs. Windows Home
セキュリティキーをWindows自体のログインに使いたい場合(ウェブサイトだけでなく)、Windows 10 ProまたはWindows 11 Proが必要だ。Home版はブラウザ経由のウェブサイト認証用セキュリティキーをサポートするが、キーをWindowsログインに使用できるWindows Helloの完全統合にはProまたはEnterprise版が必要だ。これは基盤技術がAzure ADとドメイン参加機能に依存しており、MicrosoftがそれらをBusiness版に限定しているためだ。
Windows Homeを使用していてこの機能が欲しい場合、約100ドルでアップグレードできる。あるいは、Windowsログインには強力なパスワードとWindows Hello PINを使いながら、ウェブサービスにはセキュリティキーを使い続けることができる。理想的ではないが、SMSコードと比べれば大幅な改善だ。
Microsoftアカウント用
account.microsoft.comにアクセスしてサインイン。セキュリティに移動し、高度なセキュリティオプションで、本人確認の方法のセクションを見つけ、新しいサインイン方法の追加を選択。セキュリティキーを選び、キーのタイプに応じてUSBデバイスかNFCデバイスを選ぶ。キーを挿入し、求められたらPINを作成し、タップして登録を完了する。
法人Microsoft 365アカウントの場合、プロセスは組織のAzure AD設定に依存する。IT部門がセキュリティキー認証を有効にする必要があるかもしれない。あなたがIT部門なら、Azure ADのFIDO2セキュリティキーポリシー設定に関するMicrosoftのドキュメントを確認するとよい。
ハードウェアキーをサポートするサービス
ハードウェアセキュリティキーの素晴らしさは、どれほどユニバーサルになったかだ。以下は私が自分のキーで保護したサービスの一部だが、これは表面をかするに過ぎない:
Googleはハードウェアキーをサポートした最初の大手企業の一つだ。Googleアカウントのセキュリティ設定で、2段階認証を探し、セキュリティキーを追加する。Googleはハイリスクユーザー(ジャーナリスト、活動家、経営者)向けに高度な保護機能プログラムも提供しており、セキュリティキーを必須とし追加の保護を提供する。
GitHub
開発者にとって、GitHubはしばしば王国への鍵だ。コード、クレデンシャル、デプロイメントパイプライン。Settingsに行き、Password and authenticationで、Two-factor methodsの下にセキュリティキーを追加する。GitHubはセキュリティキーを単なる2番目の要素としてだけでなく、主要な認証方法として使用することをサポートしている。
Cloudflare
Cloudflareでウェブサイトを管理している場合、そのアカウントの保護は重要だ。Cloudflareアカウントが侵害されると、攻撃者はトラフィックをどこにでもリダイレクトできる。Cloudflareダッシュボードで、マイプロフィール、認証に行き、ハードウェアセキュリティキーを追加する。
Stripe
決済処理ダッシュボードは、最も機密性の高いアカウントの一つだ。Stripeはアカウント設定のセキュリティセクションでハードウェアキーをサポートしている。Stripeはお金を扱うので、最初に保護すべきサービスの一つであるべきだ。
Slack
ビジネスコミュニケーションには機密情報が含まれる。Slackは認証の下のWorkspace設定でセキュリティキーをサポートしている。ワークスペース管理者なら、すべてのメンバーにセキュリティキーを必須にできる。
Vercel
Vercelでウェブアプリケーションをデプロイしている場合、そのアカウントの保護はプロダクションインフラの保護につながる。Vercelはアカウントのセキュリティ設定でハードウェアキーをサポートしている。
対応リストは増え続けている
上記のサービス以外にも、ハードウェアキーは以下でサポートされている:Amazon AWS、Microsoft Azure、Dropbox、Facebook、Instagram、Twitter/X、LinkedIn、Coinbase、Kraken、Binance、Bitwarden、1Password、LastPass、Dashlane、Okta、Duo Security、DocuSign、Salesforce、Atlassian(Jira、Confluence)、GitLab、Bitbucket、DigitalOcean、Heroku、Netlify、Fastmail、ProtonMail、Tutanota、Reddit、Discord、Twitch、Nintendo、PlayStation Network、Epic Games、EA、その他数百。
完全なリストはYubicoの互換性カタログを確認してほしい。本当に印象的だ。
優先順位
以下の順序で始めよう:メインのメールアカウント(すべてのパスワードリセットを制御する)、パスワードマネージャー、金融アカウント、クラウドサービス。そこから外側に広げていく。追加するサービスごとに、デジタルライフを侵害するのが難しくなる。
モバイルデバイス:スマートフォンとタブレット
スマートフォンはデジタルライフのマスターキーであることが多い。ハードウェア認証でそれを保護することは可能だが、プラットフォームによって体験は異なる。
iPhoneとiPad
Appleアカウントがセキュリティキーで保護されていれば(上記の通り)、iOSデバイスはその保護を引き継ぐ。認証時にプロンプトが表示されたら、NFC対応のYubiKeyをiPhoneの上部にかざして使用することもできる。これはSafariのウェブサイトやWebAuthnをサポートするアプリで機能する。
Android
Androidはセキュリティキーの堅牢なサポートがある。多くのAndroidデバイスはUSB-Cキーを直接使用できる。NFCキーはスマホの背面にかざして機能する。GoogleのPixelスマホはGoogleアカウント保護とサードパーティサービス認証の両方でYubiKeyとシームレスに動作する。
メリットとデメリット
ハードウェアセキュリティキーへの切り替えの利点とトレードオフについて正直に話そう。
メリット
フィッシング耐性: キーは正規のサービスにのみ応答する。偽のログインページは、正しい暗号チャレンジを生成できないため機能しない。これだけでハードウェアキーの価値がある。
ネットワーク依存なし: SMSコードやプッシュ通知と違い、キーはオフラインで動作する。携帯電波がない?問題なし。認証アプリのサービス停止?影響なし。
速度: タップして完了。6桁のコードを入力する必要なし。テキストを待つ必要なし。認証は約1秒。
アカウント復旧: 多くのサービスでは、侵害された可能性のあるメールや電話番号をバイパスして、セキュリティキーでアカウントを復旧できる。
デメリット
物理的依存: キーを持ち歩く必要がある。家に忘れるとロックアウトされる可能性がある。だからキーチェーンに1本付けている。
紛失リスク: バックアップコードなしですべてのキーを失うと、困難なアカウント復旧プロセスに直面する可能性がある。一部のサービスは数日かかる本人確認を要求する。
初期設定時間: すべてのサービスにキーを追加するのに、最初は数時間かかる。一回限りの投資だが、実際の作業が必要だ。
コスト: 良質なセキュリティキーは1本50〜70ドル。2本買うと前払いで100〜140ドル。ほとんどの人にとって、重要な保護に対する小さな代償だが、無料ではない。
互換性ギャップ: まだすべてのサービスがハードウェアキーをサポートしているわけではない。銀行は特に採用が遅い(保護する対象を考えると皮肉だが)。一部のアカウントにはフォールバック認証方法が必要になるかもしれない。
「セキュリティキーを持ち歩く不便さは、アイデンティティを盗まれる不便さに比べれば何でもない。その後の状況を見てきた。回復には何ヶ月もかかる。完全に回復できるとしても。」
ユニバーサルアイデンティティにする
ここでハードウェアセキュリティキーが真に強力になる。あなたが行うすべてのことにおいて、単一の統一されたデジタルアイデンティティになれるのだ。
YubiKeyは単なる二番目の要素ではない。モダンな実装では、プライマリ認証として使用できる。GitHubのようなサービスは今やセキュリティキーによるパスワードレスログインをサポートしている。Microsoftはパスキーを推進しており、これは本質的にデバイスに組み込まれたセキュリティキー技術だが、専用のハードウェアキーにも存在できる。AppleのiCloudキーチェーンはパスキーを同期できるが、ハードウェアキーは特定のエコシステムの外に存在するものを提供する。
私のセキュリティキーは、重要なすべての場所に登録されるよう設定している。個人のAppleエコシステム、仕事用のMicrosoftアカウント、開発ツール(GitHub、Vercel、Cloudflare)、金融サービス(Stripe、対応している銀行)、コミュニケーション(Slack、メール)。1つの物理トークン、完全なコントロール。
今日から始めよう
セキュリティをアップグレードする準備はできた?アクションプランはこうだ:
ステップ1: YubiKey 5 NFCを2本購入する(USB-Cが必要なら5C NFC)。予算は合計約100ドル。
ステップ2: メインのメールアカウントから始める。これは他のすべてのパスワードリセットを制御するマスターキーだ。
ステップ3: 次にパスワードマネージャーを追加する。1Password、LastPass、Bitwarden、Dashlaneを使っているなら、すべてハードウェアキーをサポートしている。
ステップ4: 重要なアカウントを処理する。金融サービス、クラウドプラットフォーム、開発ツール、コミュニケーションサービス。
ステップ5: 両方のキーをすべてのサービスに登録する。1本は持ち歩き、もう1本はバックアップとして安全に保管する。
ステップ6: サービスが提供するバックアップコードを保存する。オフラインで保管し、理想的には印刷するか、キーとは別の安全な場所に保管する。
セットアップのサポートが必要?
Mobile, Alabama地域にお住まいなら、Greek-Fire Servicesを通じてテクノロジーコンサルティングを提供しています。セットアッププロセス全体をガイドし、デジタルライフの保護をお手伝いします。
結論
ハードウェアセキュリティキーは、デジタルアイデンティティを保護するための現在のゴールドスタンダードだ。完璧ではない。小さな初期投資とワークフローへの調整が必要だ。しかし、他の何も提供できないものを提供する。あなた、そしてあなただけがアカウントにアクセスしているという、物理的で検証可能な証明だ。
データ侵害が毎週のニュースになり、SIMスワッピング攻撃が増加し、金融的・職業的生活のすべてがクラウドに存在する世界で、キーチェーンに収まる50ドルのハードウェアは驚くほど優れた保険だ。
この教訓を午前2時47分に学んだ。誰かがリアルタイムで自分のアカウントを空にしようとするのを見ながら。あなたはそうする必要はない。これを困難な道を避ける機会と考えてほしい。
