前回、Amzon Fire TV Stick の新モデルが半年遅れでようやく日本でも発売されることを書きました。

Amazon、新 Fire TV Stick ようやく国内発表&予約開始

最近の Amazon といえば、もう一つ大きなこと、さらに重要なことがありました。

Amazon がやっと二段階認証導入


であります\(^o^)/

今まで

「Google も Apple も Microsoft もみんな、とっくに導入してるのに、なんで肝心の Amazon が導入できてないの?」
「これだけ大きなショッピングサイトなのに何故今まで導入してこなかった?」

という思いは誰しもあったでしょうが、ようやくです :D

AmzonTwoStepAuth11


既に Google や Apple (iCloud) などで二段階認証を設定している人も多いと思いますが、「二段階認証って、なんぞや?」という方へ簡単に説明すると、

ログインする時にメールアドレスとパスワードだけだと、何かの際にパスワードが漏れたら一発アウトで使われてしまうのを防ぐため、パスワードログインが成功した後に携帯・スマホへ送られる暗証番号を入力する「二段階認証」を設定することで、パスワード漏れによる成りすましを防ぐ


というものです。(二段階目の認証に必要となる暗証番号/コードは携帯・スマホへ SMS でメッセージを送る以外に取得する方法もあります。敷居は高いですが、その方が推奨されます。詳しくは後述)

二段階認証を設定しておけば、万が一、パスワードが漏れた場合でも盗人がログインしようとした場合にメールアドレスとパスワードだけではログインできず、自分の携帯・スマホへ送られたコード(暗証番号)が必要となるので、盗人の成りすましログインによる被害を防ぐことができます

特に Amazon の場合、

成りすましでログインされたら登録クレジットカードで
勝手に買い物されてしまう危険


がありますから、Amazon を利用する人、特にクレジットカードを登録して買い物している人は二段階認証の設定は必須と言っても良いでしょう。

「パスワードが漏れなきゃ別に良いじゃん」という人もいるでしょうが、同じメールアドレスと同じパスワードを他でも使っているなら、別のところで漏れた場合には盗人が Amazon などへ試してくるのは常です。

「毎回、ログイン時にそんな手間かけてられないわ、面倒〜」という人もいるでしょうが、自分専用のパソコンやスマホなどでは、1回目の二段階認証の際に「この端末ではコードの入力は不要です」へチェックしておけば、次からはその端末では二段階認証は不要になりますから、ぶっちゃけ手間なのは最初だけです。

その “ちょっとした手間” で大きな安心(絶対ではない)を得られるのですから、ショッピングサイトではやっておきたいことだと言えます。

もっとも、若干手間はかかるのは事実ですし、どんなものか判らない人もいると思いますので、以下に Amazon の二段階認証を設定する手順の概略を示しておきます。



  1. Amazon の「アカウントサービス」ページにログインして、「アカウント設定」の中の「アカウント設定を変更」を選択します。

    AmzonTwoStepAuth1

  2. 「アカウント設定を変更」ページの最後にある「高度なセキュリティ設定」の「編集」を選択します。

    AmzonTwoStepAuth2

  3. 「高度なセキュリティ設定」を選ぶと、二段階認証に関する説明が表示されます。初めての人は目を通してから「設定を開始」ボタンを選びます。

    AmzonTwoStepAuth3

  4. 二段階認証で必要となるコード(暗証番号)を受け取る方法を設定します。初めてなら携帯・スマホへ SMS テキストメッセージを送る方法で設定するのが判りやすいので、まずはそれでやってみるのが良いと思います。(注意を後述)

    二段階認証で SMS テキストメッセージを受け取りたい携帯電話・スマホの電話番号を入力し、「コードを送信」をクリック・タップします。

    AmzonTwoStepAuth4


    電話番号入力欄右の人型のアイコンをクリックすることで Amazon に登録済みの電話番号を選択入力することもできます。(固定電話の番号を選んでも SMS は送れませんが)

    また、複数の携帯電話・スマホを登録することもできますし、携帯電話・スマホを紛失、故障した時のためにできるだけ複数の携帯電話・スマホを登録しておいた方が安心です。

  5. 認証アプリ(※)を使う場合は、そちらを選択すると QR コードが表示されますので、認証アプリで QR コードを読み込ませれば Amazon の二段階認証用設定が完了し、リアルタイムに生成されたコード(暗証番号)が表示されるので、それを入力します。

    AmzonTwoStepAuth5

  6. 携帯電話・スマホでの SMS メッセージ受信設定か認証アプリの設定のどちらか、または両方を設定し終えたら、いよいよ二段階認証の設定に移りますので、以下の画面で「設定を開始」を選択します。

    AmzonTwoStepAuth6

  7. 二段階認証の設定を始める時には、上記で設定した二段階認証のコードを改めて求められるので(これが今後ログイン後に二段階認証を行う時の動作)、携帯電話・スマホの SMS テキストメッセージを受け取る設定にした人はそちらを選んで「コードを送信」ボタンを押します。

    携帯電話・スマホを複数登録している場合は、プルダウンメニューでコードを送信したい端末の電話番号を選びます。

    AmzonTwoStepAuth7


    その後、端末で受け取ったメッセージに書かれている暗証番号コードを入力して「コードを確認して続行」を選択します。

    認証アプリを使う場合は、アプリを起動して Amazon の項目を選んでリアルタイムに生成されている暗証番号コードを入力して「コードを確認して続行」を選択します。

    AmzonTwoStepAuth8

  8. 二段階認証の最終確認として、注意書きの画面になります。ここに書かれてる内容は、

    端末によっては二段階認証ができない時もあるけど、その場合はパスワードエラーが出た時にパスワードの後ろに二段階認証の暗証番号コードを追加して、それでログインしなおしてみろ


    とのことです。今のところ、そういった状況には遭っていませんが、「ログインできない!二段階認証もできない!」という時には慌てず、この画面を思い出しましょう。

    AmzonTwoStepAuth9


    最後に「同意して2段階認証を設定にする」という妙な日本語のボタンを押すと、二段階認証の設定は完了です。

    ちなみに、「この端末ではコードの入力は不要です」にチェックしておくと、今後そのブラウザでは二段階認証は不要になります。

    AmzonTwoStepAuth10
    (二段階認証先を複数登録している時は優先端末を選べる)


以上、面倒臭そうですが、やってみると「手間なのは最初だけ」なのが判ると思います。これでパスワードが漏れるような事態になっても少しは安心できることを思えば、やる価値は大いにあるはずです。

ただ、二段階認証の注意点として

携帯電話・スマホで SMS が受信できない場合がある


ので、その場合は携帯電話・スマホの SMS テキストメッセージによる二段階認証はできません。

携帯電話会社の設定で海外からの SMS 受信を拒否する設定にしている場合は、それを解除すれば SMS が受信できるようになるはずです。ただ、一部の格安 SIM を使っていると海外からの SMS が受信できない場合もあるので、その時は認証アプリを使うしかありません。

認証アプリを使う方法は、いちいちアプリを別途インストールする必要はあるものの、実は設定も楽ですし、SMS をいちいち受信しなくても良いので、私は認証アプリを優先的に使っています。

認証アプリは Google Authenticator など、標準規格 TOTP(RFC 6238)のトークンアプリが利用できます。

Google Authenticator (iPhone / iPad)
Google 認証システム (Android)

TOTP 規格のトークンアプリは「Google Authenticator」が一番有名ですが、私自身は IIJ のトークンアプリ「IIJ SmartKey」を利用しています。

IIJ SmartKey (iPhone / iPad)
IIJ SmartKey (Android)

「Google Authenticator」ではなく「IIJ SmartKey」を使っている(乗り換えた)理由は
  • Touch ID によるロックができるので安心!
  • 端末移行時の設定引き継ぎ機能がある
    (多くの二段階認証を登録してると全部やり直すのは超面倒だけど、これなら一発)
  • Google Authenticator より安定している

という点で、はっきり言って Google Authenticator を使う理由はないくらいです :D

AmzonTwoStepAuth13


また、二段階認証で携帯電話・スマホへ SMS テキストメッセージを送るやり方は非常に一般的ですが(それしかサポートしていないサイトも多い)、実は米国では今後その方法は(セキュリティ的に)非推奨という流れになっていきそうだと、少し前から言われています。

SMSを使った二要素認証を非推奨〜禁止へ、米国立技術規格研究所NISTの新ガイダンス案 | TechCrunch Japan

ですので、認証アプリを使うことに越したことはないのですが(Google アカウントの二段階認証なら Google アプリの認証が簡単安心)、二段階認証が初めての人は、認証アプリを入れてどうのこうのというのは敷居が高いと思うので、携帯電話・スマホへ SMS テキストメッセージを送る方法で設定するのが良いと思います。

敷居の高いやり方に抵抗してやらないよりは、携帯電話・スマホへ SMS テキストメッセージを送るでも二段階認証を設定しておいたほうが遥かに安全ですからね :D

また、先ほど少し触れましたが、

二段階認証を設定した端末が故障、紛失すると大変なので
できるだけ複数の端末を登録しておいた方が良い


というのはあります。二段階認証を設定した端末の一つが万が一故障・紛失しても、もう一つ設定してあれば、そちらを使えますからね。

私の場合、端末A に認証アプリを入れておき、SMS メッセージによる認証は別の端末Bで行うようにして、万が一でも対応できるようにしています。(これは Amazon 以外でもそうしてます)

AmzonTwoStepAuth14
(複数端末を設定していると、コードが届きませんか?をクリックすれば…)

AmzonTwoStepAuth15
(別の端末、方法を選択して二段階認証を進められる)


あと、もう一つ注意点として、

一度設定した携帯電話・スマホの電話番号を削除すると
その電話番号は二度と二段階認証には使えなくなる


ようですので、電話番号を設定から削除する場合には十分気をつけてください。

AmzonTwoStepAuth12


という感じでありますが、面倒くさいといえば面倒くさいですけれど、確実に安心度は大きく高まるものですので、Amazon に限らず

面倒臭がらずに二段階認証しましょう


というのは言っておきたいと思います。Google も30日毎に二段階認証させられるのは鬱陶しいですけど、安全性と楽さはどこかで相反しますからね、仕方ありません(^_^;)