Xの2段階認証と「安全」な認証アプリ選びのジレンマ

by

「Xはプレミアムプランじゃないと2段階認証が使えないんじゃない?」という相談がありました。
しかし実際には、無料プランでも認証アプリを使った2段階認証は設定できます。

ただし、特にプライバシーを重視し、クラウドサービスがあまり信用できない場合には、どの認証アプリがよいのか、選ぶのは大変です。

Xの2段階認証の変更と対応策 2023年3月の変更点 SMS認証:プレミアム限定に 認証アプリ:QRコードで連動させる セキュリティキー:パスキーや物理キーを登録 認証アプリの選択肢 大手企業製 Google, Microsoft クラウド管理 オープンソース Ente, 2FASなど プライバシー重視 認証アプリ選びの注意点 アプリの将来性 Raivo OTPの事例 (2024年) ・開発者がアプリを別会社に売却 ・アップデート後、データ喪失の問題 ・無料機能の有料化 取るべき対策 認証データのバックアップを作成 リカバリーコードを安全に保管 複数の認証手段を準備

Xの2段階認証の方法(2023年3月〜)

Xでは2023年3月に重要な変更がありました。それまでSMS(ショートメール)による認証が一般的でしたが、この方式はプレミアム(有料)ユーザーのみに限定されました。

しかし無料ユーザーでも2段階認証自体は引き続き利用できます。
その方法として「認証アプリ」または「セキュリティキー」が選択肢として残されています。

実はこの変更は悪いことばかりではありません。SMS認証は乗っ取りの標的になりやすく、セキュリティ上のリスクがある一方、認証アプリによる認証はSMSよりも安全性が高いとされているからです。

Xの「セキュリティキー」とは、2要素認証に使う追加の認証手段全般(物理キーやパスキーなど)を指します。

  • パスキーはセキュリティキーの一種で、スマホやPCの生体認証を使い、パスワードレスで安全に認証できる方式です。
  • つまり、Xの2要素認証設定で「セキュリティキー」を選ぶと、パスキーも利用できます。

認証アプリ選びの難しさ(オープンソース)

認証アプリの種類分類 大手企業製 ✓ 使いやすく機能充実 ✓ 大手企業の信頼性 ⚠ クラウドにデータ保存 主要アプリ Google Authenticator Microsoft Authenticator こんな人におすすめ • 簡単に使いたい • 機能の豊富さを重視 • 大手企業を信頼 オープンソース ✓ プライバシー重視 ✓ ローカル保存可能 ✓ コード公開で透明性 主要アプリ Ente Authenticator 2FAS Authenticator Aegis Authenticator こんな人におすすめ • プライバシーを重視 • データの管理をしたい • 透明性を求める プライバシー重視なら →

認証アプリを選ぶとき、多くの人はGoogle AuthenticatorやMicrosoft Authenticatorなどの有名なアプリを選びます。これらのアプリは確かに使いやすく、大手企業が開発しているため機能も充実しています。

  • Google Authenticator(iOS/Android
  • Microsoft Authenticator(iOS/Android)

しかし、プライバシーを特に重視するユーザーにとっては、大手企業のクラウドにデータを預ける不安が残ります。大手企業を除外すると、オープンソースの認証アプリを選ぶことになります。

  • Ente Authenticatorは、iOS/Android両対応のオープンソース認証アプリで、エンドツーエンド暗号化によるバックアップと同期機能を備えています。
    しかしこれらの機能は任意で、クラウドサービスを使わず完全にローカルで使うこともできます。公式サイトで詳細なセキュリティ情報が確認できるのも安心ポイントで、App Storeのレビューでも「2FAアプリの中では一番おすすめ」という声があります。
  • 2FASも、iOS/Android両対応のオープンソース認証アプリです。
    データは端末内で暗号化されて保存され、グーグルドライブやiCloudへの暗号化バックアップに対応しています。フォルダ管理機能が充実しており、多数の認証を管理する場合に特に便利です。2025年1月のレビューによると、バックアップ・復元時のフォルダ管理引き継ぎ機能も改善されています。
  • Aegis Authenticatorは、Android用のオープンソース認証アプリです。
    クラウド同期を強制せず、ローカルバックアップが可能です。暗号化されたバックアップファイルを作れるため、データの安全性を保ちながら管理できます。パスワードや指紋認証でアプリをロックできるので、端末を他人に使われてもトークンを見られることはありません。

認証アプリが売却されるリスク(2023年のRaivoの事例)

ただし、プライバシーを重視してオープンソースのアプリを選択した場合、重要なポイントが「アプリの将来性」です。この点で近年、衝撃的な事例がありました。

かつては高く評価されていたiOS向け認証アプリに「Raivo OTP」があります。元々はオープンソースの優れたアプリでしたが、2023年、開発者がアプリを別会社に売却しました。

そして2024年5月のアップデートで多くのユーザーに大きな問題が発生しました。アプリの更新後、多くのユーザーが認証データに完全にアクセスできなくなったのです。iCloudを使っていた一部のユーザーはデータを復元できたようですが、特にローカルにのみデータを保存していたプライバシー重視のユーザーは、すべての2段階認証キーが消失するという深刻な事態に陥りました。さらに、それまで無料だったキーのインポート・エクスポート機能が有料化されるなど、ビジネスモデルも変更されました。

オープンソースコミュニティでは大きな批判が起こり、一部の修正が行われましたが、信頼は大きく損なわれています。一度信頼して利用していたアプリが、開発元の変更により突然使えなくなり、大切なセキュリティデータが消失するという最悪の事態が現実のものとなったのです。

認証アプリ使用時の安全対策

Raivoの事例を見ると、どんなに信頼できるアプリでも将来的には変化する可能性があります。そのため以下の対策が必要です。

  1. リカバリーコードを保管する
    • 各サービスが発行するリカバリーコードを印刷して保管しておきましょう
    • 紙に印刷して金庫などに保管するのが理想的です
    • 紙の劣化に備えて、定期的に確認し必要に応じて再印刷しましょう
  2. バックアップを取る
    • 暗号化されたバックアップを定期的に作成し、安全な場所に保存しましょう
    • 複数の場所(オフラインとオンライン)に保管するとより安全です
    • バックアップの方法と復元手順をメモしておくことも重要です
  3. 複数の認証手段を準備する
    • 特に重要なアカウントは、可能であれば別の認証方法も設定しておきましょう
    • セキュリティキーなどの物理的な認証デバイスは、アプリの問題に影響されない手段として優れています
    • データ消失リスクを分散するため、重要アカウントを異なるアプリに分けることも検討しましょう
  4. アップデートを手動で管理する
    • 認証アプリの自動アップデートは無効にし、更新内容を確認してから更新することをお勧めします
    • アプリのレビューやセキュリティコミュニティの情報をチェックし、問題があれば更新を控えましょう
    • 開発元の変更、買収、突然の有料化などがあれば、早めに別のアプリへの移行を検討しましょう

認証アプリは移行することもできる

認証アプリを変更する際は、以下の手順で安全に移行できます。

  1. 新しい認証アプリをインストールする
  2. 各サービスの設定画面で2段階認証の再設定を行う
    • 一度2段階認証を無効にし、新しいアプリで再設定するのが確実です
    • この際、リカバリーコードが必要になることがあります
  3. すべてのアカウントを移行できたことを確認する
  4. 古いアプリのデータを安全に消去する

移行作業は時間がかかりますが、一度に全てを移行する必要はありません。重要なアカウントから順に移行していくとよいでしょう。

まとめ

Xは無料プランでも認証アプリを使った2段階認証が設定できます。プライバシーを重視するユーザーには、nte Authenticator、2FASなどのオープンソースの認証アプリが選択肢となります。

ただし、一度信頼されていたアプリでも買収や開発元の変更により突然問題が発生する可能性があります。どのアプリを選ぶにしても、バックアップの作成、リカバリーコードの保管、複数の認証手段の準備といった対策を取ることが重要です。

プライバシーとセキュリティのバランスを取りながら、万一の事態に備えることで、大切なアカウントを守ることができます。開発元やユーザーレビューを定期的にチェックし、問題の兆候があれば早めに対応することをお勧めします。