TikTokの乗っ取りは、一時期、「ただDMを開いただけで乗っ取られる」という不具合(脆弱性)を利用した乗っ取りが多発して、大きな話題になりました。
この不具合はすでに修正されましたが、それでも、絶え間なくどこかで誰かがTikTokを乗っ取られた、という報告があとをたちません。
すでに「2段階認証は絶対にかけておくべき」は「常識」とみなしている方がほとんどだと思います。しかし、「やり方が分からない」「面倒だ」と感じて、まだ2段階認証もかけていない方も、多いのではないでしょうか。
この記事では、次のような内容を解説していきます。
- TikTokの独特な2段階認証の設定方法…「4つのうち2つ以上を選択」をどう選択するのが良いか
- パスキーの設定方法、パスキーで本当に安全になるのか
- 最強のセキュリティをめざすなら「パスワード削除」
本記事の動画版を公開しています
本記事は、YouTubeで公開したこちらの動画をもとにした記事です。てっとりばやく知りたい方は、ぜひ動画版をご覧ください。
TikTokの「独特な」2段階認証の設定方法
まず、2段階認証の設定方法を解説します。TikTokの2段階認証は、XやInstagramと「ちょっと違う」「独特な仕組み」なので、戸惑う方も多いと思います。
「4つのカギのうち、2つ以上を選んでかける」という方式になっています。
その4つのカギとはこちら。
- パスワード
- SMS(電話番号)
- メールアドレス
- 認証アプリ
「2段階認証」は、「2要素認証」と呼ぶこともあります。ログインする時、ひとつの鍵ではなくて、ふたつの鍵をあけないと入れない、という方式です。
例えばパスワードしか鍵がなければ、それを盗めば乗っ取られます。しかし、もうひとつダブルロックをかけておけば、もう片方はあきませんので、乗っ取りを阻止できます。
そこで、4種類の鍵のなかから、できるだけ盗まれにくい鍵を2本以上選ぶことで、より強固なセキュリティが得られる、というわけなのです。
では、どの鍵が盗まれにくく、どの鍵が盗まれやすいのでしょうか?
「パスワード」が一番盗まれやすい!
実は、この「4つの鍵」の中で、一番盗まれやすいのは「パスワード」です。
大切に保管しているようでも、
- 偽サイトにだまされて、入力してしまう
- 他のサイトと同じにしていて(使いまわし)どこかから漏れる
- 誕生日などにしていて、当てられてしまう
など、盗む手段が無数に存在しているのが、パスワードです。
なので、パスワードを使わない「パスワードレス」という考え方が広がってきています。
「自分がなくさない」ことも、とても大切。無理なくパスワードレスに移行しよう
とはいえ、いきなり「パスワードなし」は不安に感じる方も多いと思います。
ログインに使う鍵は、盗まれにくい、だけでなく、「自分自身もなくしにくい」ことがとても大切です。
メモしておけば間違いなく手元に保管できるため、パスワードがあった方が安心だと感じるかもしれません。
もし、この記事または動画を見終わったところで、「パスワードレスにしてみよう」と素直に思えたら、ぜひパスワードなし、の設定もおためしください。
「電話番号(SMS)」を選択から外すべき理由とは
パスワードにつづく「2番目の鍵」として、多くの方が「電話番号認証(SMS)」を使っていると思います。
しかし実は、「電話番号は認証に使わない」という考え方が、広まりつつあるのです。
なぜなら、電話番号を盗んでしまう「SIMスワップ」などの怖い手口があるからです。
悪い人が、身分証を偽造するなどして携帯ショップをだまし、あなたの電話番号のSIMカードを勝手に再発行してしまう…という事件が実際に起きています。
もしこれが起きると、あなたのスマホは急に圏外になり、TikTokから届く「認証コード」は犯人の手元のスマホに届いてしまいます。
自分自身の努力では防ぐ方法がない、という点がポイント
「電話番号が盗まれたなんて、聞いたことないよ」という方の方が多いと思います。でも、実際に起きたことです。
そして、重要なことは、もしこの手口のターゲットにされた場合、防ぐ方法がない、ということです。携帯ショップがだまされてSIMカードを発行してしまったら終わりなのです。
まもなく、日本では、携帯電話の契約手続きにICチップ付き身分証の提示が原則義務化されます。そうすると、かなり防げるとは思うのですが、とにかく、自分自身でできる対策が何もありません。
ですから、最初から電話番号はカギとして使わない、という方法が、唯一、自分自身の設定でこの攻撃を防ぐ方法になるのです。
「認証アプリ」を使った2段階認証の設定方法
SMSの代わりに使うべきなのが「認証アプリ」です。
30秒ごとに使い捨ての数字(ワンタイムパスワード)を作ってくれる共通規格(「TOTP」)に対応したアプリに、設定キーを登録すればOKです。
この数字は、あなたのスマホの中で計算して作られるので、電波に乗って飛んでくるSMSと違って、他人に送られたり、途中で盗み見られる心配がありません。
また、iPhoneの場合は、そのためにアプリをインストールする必要もありません。iOS標準のパスワードマネージャーが、この機能に対応しています。
iPhoneユーザーは、標準機能だけで「認証アプリ」として利用できる
iPhone(iOS15以降)なら、標準のパスワードマネージャで対応できます。
iOS 18からは、「パスワード」アプリ(鍵のアイコン)という形で、より使いやすくなりました。動画では、この「パスワードアプリ」を使った設定方法を解説しています。
(下の画像をタップするとその部分が再生できます)
【設定手順】
- TikTokの「設定とプライバシー」→「セキュリティ」→「2段階認証」を開く。
- 「認証アプリ」を含む2つ以上にチェックを入れる。(「電話」は外すのがおすすめ)
- 表示された「キー」をコピーする。
- iPhoneのホーム画面に戻り、「パスワード」アプリを開く。
- 保存済みのTikTokのログイン情報を選択、または、保存されてなければ「+」ボタンで新規作成
- 「確認コードを設定」を選び、さっきコピーしたキーを貼り付ける。
これで、iPhoneが30秒ごとに新しいコードを作ってくれるようになります。保存済みのログイン情報に追加設定した場合は、生成されたコードが自動入力されるようになります。
Androidユーザーは「Google認証システム」アプリをインストール
Androidの方は、Googleが作っている「Google Authenticator(Google認証システム)」というアプリを使うのが一番確実です。
(下の画像をタップするとその部分が再生できます)
【設定手順】
- App Store/Playストアから「Google Authenticator」をインストール。
リンクはこちらです
Android版 Google Authenticator
iOS版 Google Authenticator - TikTokで「認証アプリ」を選び、キーをコピーする。
- Google Authenticatorを開き、右下の「+」→「セットアップキーを入力」を選ぶ。
- アカウント名に「TikTok」、キーにコピーした文字を貼り付け。
これで設定完了です。
次世代の常識「パスキー」を設定する
ここからが本番です。さらにセキュリティレベルを上げて、しかもログインを簡単にする魔法の機能、それが「パスキー」です。
パスキーとは、簡単に言うと「指紋や顔認証でログインできる仕組み」のこと。 難しい暗号技術が裏側で動いているのですが、私たちユーザーがやることは「スマホに顔や指をかざす」だけ。
【パスキーのすごいところ】
- 見えない: パスワードのような文字列がないので、覗き見されません。
- 盗まれない: 情報はあなたのスマホの中にしかないので、サーバーが攻撃されても流出しません。
- 入力不要: 偽サイト(フィッシング詐欺)に引っかかることがなくなります。
パスキーについて詳しくは、別記事で解説しています。
【設定手順】 TikTokの「設定とプライバシー」→「アカウント」→「パスキー」を選んで、設定ボタンを押すだけ。一瞬で終わります。
パスキーを設定した「だけ」では、セキュリティは向上しないので注意
ただご注意いただきたいのは、ただパスキーを設定する「だけ」ではだめだということです。
「盗まれない鍵」=パスキーを設定したとしても、「盗まれやすい鍵」=パスワードも使える状態では、犯人は盗みやすい方を盗んでいくらでも侵入してしまいます。
ですから、パスキーを設定すると同時に、2段階認証もかけ、そして「パスワードの削除」をおこなってはじめて、「最強のセキュリティ」が手に入るのです。
こうした点と、パスキーの設定方法を続けて動画で解説しています。
(下の画像をタップするとその部分が再生できます)
究極の安全策「パスワードを削除する」
パスキーを設定したら、最後におすすめする方法があります。 それは、「パスワードをオフにする(削除する)」ことです。
さいしょのほうでご説明した通り、パスワードは一番盗まれやすい鍵です。
ですから、パスワードを削除して「パスワードレス」にすることにより、盗まれるものがない状態が作れる、ということなのです。
仮に偽サイトにだまされたとしても、パスワードが無いので入力することさえできません。一方、本物のTikTokであれば使えるはずのパスキーは、偽サイトではどうやっても使えない仕組みになっています。
パスワードレスが可能なTikTokは、セキュリティ上「有利」!
まだまだ、パスワード削除にまで対応していないサービスは多いですが、少しずつ、増えてきています。有名どころでは、Microsoftアカウント、Yahoo! JAPAN IDが、パスワードレスに対応しました。
そしてTikTokも、この先進的な「パスワードレス」に対応しています。これはセキュリティ上、有利なことですので、パスキーを設定した方は、可能な限り「パスワードの削除」を行うことをお勧めします。
【削除の手順】
- 「設定とプライバシー」→「アカウント」→「パスワード」を開く。
- 「パスワードをオフにする」を選択。
- メールや認証アプリで本人確認をして完了。
(下の画像をタップするとその部分が再生できます)
パスワードを削除することの「リスク」とは
パスワードを削除することにより、「メール」「認証アプリ」の両方、または、「パスキー」を失うことが、「ログインできなくなるリスク」になります。
これらは、いずれもAppleアカウント/Googleアカウントで同期されます。ですので、スマホを紛失して、代替機を調達するのが間に合わない、などのケースで、これらのアカウントにログインできなくなると、どちらの組み合わせも使えなくなる可能性があります。
ですので、
- すぐに携帯ショップに行けないような状況でもログインする必要がある
- Apple/Googleのアカウントのログインに不安がある場合
などは、パスワードは削除しない方がよいと思います。
その場合は、決してパスワードを使い回さず、15文字以上で設定する、というルールでパスワードを設定することをおすすめします。
TikTokアカウントを守るために、設定を見なおそう
長くなりましたが、本記事で紹介した「最強セキュリティ」でTikTokを守る方法を最後にまとめます。
- 2段階認証から「SMS(電話番号)」を外す
- 「パスキー」を登録する
- 「認証アプリ」と「メール」で2段階認証を設定し、パスワードはオフにする
この設定にしておけば、現在考えられる攻撃のほとんどを防ぐことができます。
最初は「いろいろ設定多くて面倒だな…」と思うかもしれませんが、一度やってしまえば、毎回のログインは顔認証・指紋認証で一瞬ですし、何より「乗っ取られるかも」という不安から解放されます。
ただし、「不正アクセスを防ぐ」ことと同時に、「自分自身がログインできなくならない」ということも、とても重要なことです。
自分にとって「ちょうどいい」セキュリティ設定を、ぜひこの記事を見ながら、検討してみてください!
最後に: それでも破られてしまう? 「友達による復元」の危険性
最後に、別記事で解説しているやっかいな問題について、問題提起をしておきたいと思います。
TikTokには「友達による復元」という機能があります。
相互フォローした「友達」2人の協力により、ログインできなくなったTikTokアカウントを復元できる、という機能です。
この機能を悪用すると、例えば次のようなシナリオでの乗っ取りがありうる、と想定せざるを得ません。
- 犯人側が2つのアカウントを用意する
- 2つのアカウントが、ともに、自分と相互フォローの状態になる
- 犯人側が、勝手に「友達による回復」プロセスを開始する
- 犯人自身のてもとで、「友達2人の協力」を完成させ、アカウントを乗っ取る
実際には、TikTokはほかにさまざまな不正アクセス防止の対策をとっており、不審な動きをしたアカウントはかなり厳格に凍結されているようです。
実際に、このリスクを実証しようとした当方の手元で、いくつもアカウントが凍結しました。ですので、実際に「乗っ取り可能である」ということを確認できていないのも事実です。
しかし、TikTokのライブを見ていて、どこから来たのかわからないアカウントが、さかんに「友達、友達」とコメントしているのを見たことはないでしょうか?
あの情景は、やはり、このような乗っ取り手口が存在するという可能性を、いやがおうでも感じさせるものでした。
ですので、フォロワーの多いライバー様は、特に、相互フォローには慎重な確認を実施していただくことを、強くお勧めしたいと思います。
コメント