こんにちは、テルルです!ゴールデンウィーク、皆さんはどんなふうに過ごしましたか?リフレッシュできたでしょうか😊
さて今回は、新年度になり「テルルの質問箱」にもいくつか質問をいただきましたので、お答えします!
Q.多要素認証について教えてください。
A. Kさん、質問ありがとうございます。多要素認証は一言でいうと、「種類の異なる2つ以上の証拠を使って、本人であることを確認する仕組み」のことです。本学でも多要素認証が必須になっていますので、詳しく説明しますね。
ときどき、「アカウントが乗っ取られた!」という話をニュースなどで聞くことがあります。 大学のアカウントに入るときのパスワード選び、皆さん慎重に選んでいると思いますが、、パスワードは私たちが思っている以上に巧妙な手口で盗まれる可能性があります。
もし、大学のアカウントが乗っ取られてしまったら……
せっかく作成したファイルが勝手に消される
個人情報がのぞかれる
こんなことが起きたら、、大変困りますね。そこで登場するのが「多要素認証」です!
これまでのインターネットでは、IDとパスワードさえ分かれば誰でもログインできるのが当たり前でした。しかし、今の時代、パスワードはリスト攻撃(不正にログインを試みる方法)やフィッシング詐欺(偽のメール等を送り、リンクをクリックさせて誘導し重要な情報を盗む)などで盗まれてしまうリスクがあります。そこで、「パスワード」という1つの鍵だけでなく、もう1つ別の種類の鍵をかけるのが多要素認証の考え方です。
具体的には、以下の3つの要素から2つ以上を組み合わせます。
知識要素: 本人だけが「知っている」こと(パスワード、PINコードなど)
所有要素: 本人だけが「持っている」もの(スマホ、認証アプリ、ICカードなど)
生体要素: 本人「自身」の特徴(指紋、顔認証、虹彩など)
例えば、大学のシステムにログインする際、パスワードを入力した後に「スマホのアプリに表示された数字を入力する」のは、「知識」と「所有」を組み合わせた多要素認証です(なお、「パスワード」と「秘密の質問」の組み合わせは、両方とも「知識要素」なので、厳密には「多要素」ではなく「二段階認証」と呼びます)。
もし多要素認証を行っていたら、万が一パスワードが他人に知られてしまっても、犯人はあなたのスマホを持っていないため、中に入ることはできません。少し手間に感じるかもしれませんが、この「ひと手間」が、あなたの成績や個人情報、そして大切なSNSアカウントを守る最強のバリアになります。大学のアカウントに入るとき、多要素認証は必須になっていますので、まだの方は必ず行ってくださいね。
Q. Gmailで送信元が「~ via (私のアカウント)」と表示されたメールを受信しました。送信元のメールアドレスが知りたくて、AIに聞いたら「メールの生データのヘッダーを表示させてみて」と言われたのですが、ヘッダーの表示のさせ方がわからなかったので、「原文のまま表示する」タブを押したところ、原文の下の方に「X-Original-Sender」の欄があり、それらしいメールアドレスが表示されました。このメールアドレスは送信元として信頼できるのでしょうか。
A. おーちゃんさん、2回目の質問をありがとうございます!Gmailなどで受信したメールに「~ via (自分のアドレス)」というのは不思議な表示に思えますよね。「何故自分のアドレスを経由している?」と不安になるかもしれませんが、実はこれはメールの転送設定や特定のシステムを経由したときに時々起こる現象です。本当の送り主が誰なのか、そしてそのメールが信頼できるものなのかを知るために、おーちゃんさんが行った操作方法「原文のまま表示する」は正しい方法ですよ。やり方を知らない学生さんのためにも、以下に説明しますね。
1. 「原文」から真実の送り主を探し出す
操作方法: Gmailなら、返信ボタン横の「その他(︙)」から「原文を表示」を選択。
チェック項目: ズラリと並ぶ英語のデータの中から、下の方にある X-Original-Sender という項目を探す。
ここには、システムが記録した「元々の送信元アドレス」が表示されています。もし「スマホから送ったはずのメールが、こちらのアドレス経由で届いて誰のアドレスか分からない」といった状況になっても、この項目を見れば本来のアドレスを特定できる可能性が高いです。
2. 本物かをチェックする方法(SPF / DKIM / DMARC の確認)
送り主のアドレスが分かっても、それが「なりすまし(偽物)」ではないかどうか見極める方法があります。メールの「デジタル証明書」を確認しましょう。「原文のまま表示する」の画面の中に、以下の3つの判定結果が表示されています。
SPF:正しいサーバーから送られているか?
DKIM:途中で内容が改ざんされていないか?
DMARC:上記の認証を総合して「本物」と判断できるか?
これらすべてが「PASS」と表示されていれば、そのメールの信頼性は高いと言えます(数学的な仕組みによって、そのアドレスの持ち主が正当に送ったものであることが証明されています)。何かおかしいなと感じたら、メールの「原文のまま表示」を覗いて、情報の裏側を確認してみてくださいね。
「テルルの質問箱」では質問を24時間いつでも受け付けていますので、皆さんお気軽に質問してくださいね😊(質問はこちらから)