米Appleが同社の「FaceTime」と「iMessage」の2つのサービスにおいて、Apple IDによる2段階認証でのログインに対応したと複数のメディアが12日(米国時間)に報じた。2段階認証はAppleが2013年3月に対応を始めたログイン方式で、通常のID/パスワード以外に4桁の認証コードを用いることでセキュリティ上の安全性を高める。ただし2段階認証に未対応のサービスやアプリではこの方式が利用できず、別途個別アプリ専用のパスワードを発行する必要があった。今後、FaceTimeとiMessageについてはこの手順が必要なくなる。
同件は最初に英Guardianが報じている。一般に、多くのオンラインサービスはID/パスワードによる認証方式を使用しており、本人以外の第3者であってもIDとパスワードさえわかれば誰でもサービスにアクセスできてしまうという問題を抱えていた。
仮にパスワードがわからなくても、IDさえ判明してしまえば力業でパスワードを解析することも可能であるため、「IDを知られないこと」「パスワードの定期変更や想像しづらい組み合わせへの変更」が重要となっていた。こうした背景もあり、特にハッキングが顕著となっていたGoogleでは2011年に2段階認証(Two-Step Verification)と呼ばれる仕組みを導入し、上記ID/パスワード以外に携帯電話番号(または別のメールアドレス)をアカウントに紐付けておくことで、Googleアカウントへのログイン時に6桁の数字の認証コードを登録した携帯電話番号にSMS送信し、本人確認を行うようになった。後にMicrosoftやFacebook、Twitterといったライバルらも自社のサービスに2段階認証を導入し、2012年以降に順次広まっていく形となった。
前述のようにAppleが2段階認証を導入したのは2013年3月だ。当初は米国など一部地域限定だったものが後に拡大し、現在では日本を含む多くの地域で利用できる。仕組み的には前述のGoogleなどの仕組みと同じで、My Apple IDにログインしてIDの管理から「パスワードとセキュリティ」項目に進み、「2ステップ確認」で4桁の認証コードを受信するデバイス(電話番号)を登録することで利用を開始できる。
利用のメリットは前述のように安全性が高まるほか、ログイン後にパスワード設定を変更する場合などに求められる「秘密の質問」を回避できる特徴がある。ただし、これで2段階認証を導入してもiCloudやiTunesサービスにログインするためのアプリが2段階認証に対応していないと、エラーで弾かれてしまう。そこで「App用パスワードを作成」するという仕組みが用意されている。これはサードパーティアプリなどがiCloudの機能へアクセスする場合など、前述の2段階認証に対応していないとアクセスが拒否されるという問題に対応したもの。個々のアプリに固有の(難解な)パスワードを用意し、2段階認証を迂回させることを可能にする。
今回明らかになった「FaceTime」と「iMessage」の2つのアプリの場合、ユーザーがApple IDに2段階認証を設定していると前述のApp用パスワードが必要だったが、今後は通常の2段階認証でログインが可能になる。MacRumorsによれば、Guardianが報じた当初はユーザーや地域によって挙動に差があったようだが、現在では多くのエリアやユーザーに開放されつつあるという。