【Twitter】電話番号の登録が不要で「2要素認証」が可能に！

現地時間の11月21日、Twitterにて電話番号の登録が不要の「2要素認証」が利用可能になったことが発表されました。

これまでは、Twitterアカウントにログインする場合には、SMSを使ったコード認証だけでなく、別の認証方法を選択している場合でも事前に電話番号を登録する必要があり、アカウントに電話番号を紐付け認証を行っていました。

今回の発表により、今後はアカウントに電話番号を紐付けをせずに、「2要素認証」を行うことができるようになります。 

Twitterアカウントにログインする際の「2要素認証」についてご説明しておきましょう。

「2要素認証」とは、アカウントにログインを行う場合に、第3者からの不正ログインやハッキングを予防するための機能となっており、ログインパスワードに上乗せし、更に一段階のログイン方法を追加設定を行うことでセキュリティ強化を図る機能です。
 
Twitterでは、第3者からの不正ログインやハッキングを予防するため、3種類の「2要素認証」が利用することができるようになっていました。

これまで利用可能となっていたのは、「ショートメールによるコード認証」・「サードパーティーの認証アプリ」・「物理セキュリティキー」のという3種類の「2要素認証」となります。

これまでは、Twitterアカウントにログインを行う際には、SMSを使ったコード認証だけでなく、別の認証方法を選択している場合でも事前に電話番号を登録する必要があったため、アカウントに電話番号を紐付けを行った上での認証を行っていました。

Twitterでは、「サードパーティーの認証アプリ」や「物理セキュリティキー」を利用した認証を選択したユーザーについても、初めに電話番号を登録の上、アカウントに電話番号を紐付けを行っており、設定を無効にすることができませんでした。

このように、SMSによるコード認証が有効設定になっている場合には、悪意ある第三者が不正入手した電話番号を使用し、Twitterアカウントに不正ログインやハッキングすることが可能となってしまうのです。

これまでの状況としては、悪意あるハッカーが、何らかの方法を利用してパスワードを入手し、ユーザーの電話番号を一時的に乗っ取ることが可能となっていました。

これにより「ショートメールによるコード認証」を利用した「2要素認証」を切り抜けアカウントに不正ログインやハッキングすることが可能となっていました。

具体的事例として有名なのが、今年8月に発生したTwitterの創業者であるジャック・ドーシーCEOのアカウントが第３者にハッキングをされた事件です。

Twitterの創業者であるジャック・ドーシーCEOのアカウントが第３者にハッキングをされた事件の原因は電話番号の悪用であるとみられています。
 

Twitterでは、ジャック・ドーシーCEOのアカウントが第３者にハッキングをされた原因について、電話番号が不正入手され、SMSを通してツイートを送信することができる仕様を悪用したためとされています。

またTwitterでは、今年10月に「2要素認証」にて設定された電話番号が誤ってターゲット広告を送付する際に使われていたことが判明しています。

「2要素認証」を利用するメリットについて確認しておきましょう。

メリットとしては、ログインの際にパスワードに加えて、コードの入力や、セキュリティキーを使用した「2要素認証」を利用することで、Twitterアカウントのセキュリティを強化することが可能となります。

Twitterアカウントへログインする際に一段階追加することにより、確実に本人確認を行うことができるようになり不正ログインやハッキングのリスクを予防することができるのです。

「2要素認証」ログインを認証する方法については、Twitterアプリを起動し、トップメニューのプロフィールアイコンをタップから、[設定とプライバシー] をタップしましょう。

次に、[アカウント]項目ヘ進み、 [セキュリティ]をタップし、[2要素認証] を選択します。「2要素認証」設定画面となりますので、「ショートメール」または 「認証アプリ」のどちらかを選択し設定を行います。