Effective March 20, 2023, only Twitter Blue subscribers will be able to use text messages as their two-factor authentication method. Other accounts can use an authentication app or security key for 2FA. Learn more here:https://t.co/wnT9Vuwh5n
— Twitter Support (@TwitterSupport) February 18, 2023
ツイッターは2月15日(現地時間)、2要素認証(2FA)で使用する3つ(SMS、認証アプリ、セキュリティーキー)の方法のうち、SMSを利用した認証方法をTwitter Blueの登録者に限定、事実上有料化することを発表した。
すでにSMS認証による2要素認証を利用しているユーザーはTwitter Blueに登録するか、2要素認証をを無効化する必要がある。また、引き続き無料で2要素認証を使用したいユーザーには認証アプリによるTOTP認証が推奨されている。
ツイッターは有料化の理由として、SIMハイジャックと呼ばれる携帯の回線契約ごと乗っ取ってしまう手法により被害が多発したことをあげている。だが、セキュリティーの問題ならなぜTwitter Blueユーザーは引き続き使えるのかの説明はされていない。
無効化の方法
2要素要素を無効化するには、スマートフォンの場合はTwitterアプリの左上にあるアカウントアイコンをタップし、「設定とプライバシー」→「セキュリティとアカウントアクセス」→「セキュリティ」→「2要素認証」の順にタップする。
パソコンの場合はTwitter画面左側にある「もっと見る」をクリック、「設定とサポート」→「設定とプライバシー」→「セキュリティとアカウントアクセス」→「セキュリティ」→「2要素認証」の順にタップする。
2要素認証の設定画面が開いたら「テキストメッセージ」のチェックを外せばよい。
アカウント乗っ取り対策に設定は必須
SMS認証の代わりに推奨されている認証アプリによる認証は、TOTP(Time-base One Time Password)認証と呼ばれる仕組みで、1分程度で切り替わる数字(ワンタイムパスワード)をサービス側に打ち込んで認証するものだ。
サービス提供者側が数字を送るSMS認証と異なり、通信経路上の傍受で数字が漏れることが物理的に不可能なためより安全と言える。
設定方法は簡単、2要素認証の設定画面で「認証アプリ」にチェックを入れると上記のような画面が表示される。後は指示通り認証アプリを使って認証コード(ワンタイムパスワード)を受け取り、Twitterに入力すればよい。
認証アプリはいくつか存在しているが、iOSの場合標準の「パスワードマネージャ」、Androidの場合は「Google認証システム」を使用するのが手軽だろう。
他にもMicrosoft Authenticator、Authy、Duo Mobile、1Passwordなどのサードパーティー製アプリも利用できる。
なお、2要素認証を設定したとしても認証アプリによる認証が必要になるのは、アカウントの重要な設定を変更した時や、新規デバイスでのログイン時のみなのでそこまで手間ではない。アカウントを乗っ取られないためにもぜひ設定しておこう。
週刊アスキーの最新情報を購読しよう
