【SSS】YubiKeyとは?使い方と対応サービスもよろしく!

YubiKeyの使い方教えてセキュリティソフト・アプリ
この記事は約13分で読めます。

当記事は商売のように紹介料を得るリンクを採用。記事の出来が悪ければ容赦なく避け、情報だけ頂くといい。

実はスマホに「アカウント情報」と「2段階認証アプリ」が揃っており、紛失時にスマホだけで侵入されるケースがある。

そこで、スマホを落としたとしてもYubiKey(ユビキー)という「業界No.1セキュリティキー」で解錠する設定をして、スマホ完結だったものが「ログインは手元にあるYubiKeyも必須」で何とかなるかもしれない。

スマホ完結とは?

お財布や鍵、個人情報などをスマホに寄せた「スマホで何でもできる」状態のこと。

誰におすすめ?
  • 落としたスマホから流出したアカウント情報をYubiKey必須にしたい
    • 効果:悪意ある者にキーとスマホ両方を現実世界で盗む工程を押し付ける
  • 仮想通貨取引所にログイン
  • できるだけスマホアプリの2段階認証をYubiKeyに切り替えたい
  • WindowsログインやGoogle、Twitterなどヘビーに使うサービスのログインを強化したい
  • 秘密鍵が膨大で管理したい(ここでは触れない)
  • KeePassやBitwardenなどのパスワード管理ソフトを極限までセキュアに
スポンサーリンク

YubiKeyとは?機能はいっぱいあるが……

適当に言うと「Yubico社の電源不要な鍵として使うスマホじゃない2段階認証(2要素認証)ツール」。

MADE IN US & SWEDEN

一般向けメリットは、落としたスマホから何かのアカウント情報が流出しても、対応サービスでYubikey(セキュリティキー)が物理的に要求され、オンライン不正アクセスに保護階層が働く。

そのおかげでパスワードの簡略化も可能。

※勘違い防止:パスワードレスという意味で言ったわけではなく、利便性向上は大体しない。

ぷっぷ
ぷっぷ

そもそもパスワードレスにしちゃうと、「パスワードがYubiKeyに置き換わっただけ」だから保護階層は増えていないという(´ε`;) 不正アクセスには強くなるけど、物体だから落としたらまずいしー

また、FIDOなど難しい認証方法の話は「見なくても使いこなせる」ため無視でいい。

参考仕様概要 – FIDO Alliance

「自分の使うサービス」を後述する対応サービス一覧で調べ、「対応しているサービスはYubiKeyを使う」で問題なく、大体YubiKey 5 NFCを選んでおけば使えないこともほぼない。

各機能がどのようにしてセキュリティ向上に貢献するかわからないが、YubiKeyを使っていれば悪いセキュリティとも思えないので、やはり無視していく。

難しすぎるYubiKeyの認証機能一覧

YubiKeyの機能
・FIDO U2F & FIDO2
・OATH-TOTP
・Smart Card、IC Card(PIV-Compatible)
・OpenPGP
・2つのスロットにそれぞれに設定できる機能
・Yubico OTP
・OATH-HOTP
・チャレンジレスポンス
・安全な静的パスワード
・Symantec VIP

引用:ワンタイムパスワードトークンYubiKey |(株)ソフト技研

最大6つの認証方法を同時に使えるらしいが、やりすぎセキュリティでは基本「挿して認証」のどれかしか使わない。

具体的には、対応サービスを見る限りチャレンジレスポンス・FIDO U2F & FIDO2・OTP(ワンタイムパスワード)をよく使う模様。

チャレンジレスポンスと公開鍵基盤(PKI)を組み合わせた最高技術で、ユーザー情報もしくは暗号鍵がサービス提供者間で共有されません。
Google、GitHub、DropBoxの二段階認証にFIDO U2Fが使用可能です。

引用:ワンタイムパスワードトークンYubiKey |(株)ソフト技研

他にも秘密鍵の管理、TwitterやGoogleなど依存率の高い海外サービスで使えるため、本当に守りたいパスワード管理ソフトや現実へ紐付けられると困るSNSアカウントで使うといいだろう。

使った感じ利便性向上はまずなく(パスワードレス以外)、あくまでセキュリティ向上ツール。

なお、耐クラッシュ性と防水の洗濯耐性、車で引きずっても問題ないほど頑丈であり、いつもながらバックアップ(リカバリー)コードが各サービスあるはずなので、最悪壊れても保険はある。

耐久性の詳細

耐衝撃
・最大曲げ応力(max bending force)は、25Nです。(25N=2.5kgf)
・IP68に認定されています。(IPは、防水・防塵性能を示します)
・粉塵の侵入を完全に防ぎ、かつ長時間水没しても影響がありません。
・YubiKeyはABS樹脂でできています。
・YubiKey4は過電流対策を行っており、現在のところ、問題は報告されていません。
・洗濯機で熱・水・洗剤を加えて洗濯しても問題ありません。
・水深48mの塩水に2か月沈めても問題なく利用できます。
・車でYubiKeyを引きずっても問題ありません。
耐抜き差し回数
・10,000回までの自動差し込みテストを行い、機能や安全面での影響がないことを確認しています。
・また摩耗による重大な影響も発生していません。
・10,000回を超える電源ON/OFFのストレステストに合格しています。

引用:ワンタイムパスワードトークンYubiKey |(株)ソフト技研

取り扱いは鍵と同じでジャラジャラ。

スマホケースに鍵入れまで付いているミニマリスト大好きケースは、平和ボケの集大成なので今すぐ破棄。

どの種類がいいの?無印YubiKey・YubiKey 5 NFCの違い

番号のついたYubiKey 5シリーズが失敗しない選択で、番号のないもの・YubiKey呼びではない青いSecurity Keyは対応していないことが結構ある。

※そのため、青いSecurity Keyは後述する対応サービス一覧で使えるか確認必須。

例としてWindows(Webとは別)やMacの起動時ログインに青いSecurity Keyは使えない(タイプは差込口の形状)。

YubiKeyの種類(2020年12月時点)
  • 黒いYubiKey 5シリーズ
    • YubiKey 5 NFC(タイプA)
    • YubiKey 5C NFC(タイプC)
    • YubiKey 5Ci(タイプCとLightning)
      • iPhoneにNFCがあるため空気
    • YubiKey 5 Nano(タイプA 小さい)
    • Yubikey 5C(タイプC)
    • Yubikey 5C Nano(タイプC 小さい)
  • 青いSecurity Keyシリーズ
    • Security Key(タイプA)
    • Security Key NFC(タイプA)
  • YubiKey FIPSシリーズ
    • 政府機関向けなので無視
  • YubiHSM 2(PCが買える値段なのでそっ閉じ)
  • YubiKey Bio(まだ)
    • 指紋タッチのUSBタイプAかC

※変換器を使いタイプAをCにしたところ、Windowsログインで認証できたため使える模様(CからAは後述するが規格違反らしいのでNG)。

番号のあるナンバリング系(現在の5と一つ前の4)はほぼ対応・同じ扱いで問題なさそうであり、番号のないものはヤバいと覚えておけば良い。

また、NFCがないとタッチ接触部分無しであったりするため(指紋とは別もの)、やはり「NFCは不要」だろうが「青いSecurity KeyではNG」の時点で5 NFCにしちゃって良い

NFCで残念なのは、搭載ノートパソコンがLenovoや日本社パソコンくらいしかないレアで(購入前に要調査)、デスクトップは当然ないので実質スマホ用機能。

一応「ICカードリーダーのNFC対応」があるので、電子マネーチャージやe-Taxで確定申告をする方は実験の価値あり。

Amazon | I-O DATA NFCリーダライタ ぴタッチ マイナンバーカード Windows mac対応 非接触型 USB-NFC3 | アイ・オー・データ | 外付メモリカードリーダー 通販
I-O DATA NFCリーダライタ ぴタッチ マイナンバーカード Windows mac対応 非接触型 USB-NFC3が外付メモリカードリーダーストアでいつでもお買い得。当日お急ぎ便対象商品は、当日お届け可能です。アマゾン配送商品は、通常配送無料(一部除く)。
こんなやつ
スポンサーリンク

対応サービス一覧

日本のサービス対応してなさすぎ

使えなければ意味がない。

現在のリンク先はYubico公式(英語)で、青いSecurity Keyが非対応なものは「青×」と記載しておく(黒いYubiKey 5シリーズはほぼ対応なので無視)。

セキュリティ関係
エンジニア関係
仮想通貨関係

今後やりすぎセキュリティでテストしたものは「記事化」する。

他は公式で探してね!

公式YubiKeyが使えるサービス一覧(英語)

非対応の理由

Windows起動時ログインやKeePassなど、オフライン系に青いSecurity Keyは対応していない(そもそもFIDOのOはオンラインのO)。青×の殆どは青だけ使えないワンタイムパスワードかチャレンジレスポンス機能を使うせいである。

YubiKeyが使えるサービス一覧はプルダウンで選別できるため、うまく活用しよう。

  • Security Protocol:チャレンジレスポンスやFIDO2で絞れる
  • Category:カテゴリーで絞れる
  • YubiKey:対応YubiKeyで絞れる
  • Company:会社名検索欄
タイプ別に調べられる

該当サービスを選択すると「Get Setup Instructions(セットアップ手順を取得)」ボタンがあり、そこから該当サービス公式かYubicoブログ(英語)へ飛べる。

※Twitterなどは日本語があるのでページ上部か下部にある言語変更(Language)。

セットアップ手順を取得ボタン

対応YubiKey・OS・機能は「Get Setup Instructions(セットアップ手順を取得)」ページと同じ場所下段にアイコンや英語で表示されており、すごくわかりやすいので活用しよう。

アイコンを見れば対応がわかる

※互換性のある過去のレガシー系(主にYubiKey 4)はさらに下に文字で表記されている。

なお、日本のサービスは何らかの2段階認証すら対応しておらず(任天堂発見!)、数百年は期待できない。

ぷっぷ
ぷっぷ

ユーザー数がすごい多いと思われるサービスはコメント欄で教えてくれれば記事化するかも(*゚▽゚)

購入方法:公式か正規代理店から買うこと

物理的な細工をされる可能性を避けるためにも、公式(ドル決済)か日本正規代理店で購入すること。

日本の正規代理店で1つから購入可能なのは、株式会社ソフト技研とPJ-T&C合同会社のAmazonしかない。

なので、購入の際は販売元(発売元)が「株式会社ソフト技研」か「PJ-T&C合同会社」になっているか要確認(Amazon販売元の場合もあるが、何が違うのかわからない)。

販売元の確認
Amazon.co.jp
株式会社ソフト技研販売商品一覧

Amazon.co.jp
PJ-T&C合同会社販売商品一覧

上記に無いものは公式(ドル決済)しかなく、最新のものは公式で確実に置いている。

基本公式で良い

正式な代理店はYubico公式ページで調べられ、不審なことがあれば「japan」と検索をかけてみよう(2020年時点で再販業者5つ:ほぼ法人向け、楽天やYahooショッピングに正規代理店なし)。

また、Yubicoいわく2つ用意推奨であり(紛失時もう1つでログイン作戦)、バックアップ(リカバリー)コードの保管方法を考えるのが煩わしいのなら予算と相談するといい。

PC破壊!?USBタイプAからCへの変換は○、CからAは規格違反

万が一USBタイプA(差込口の形状)が使いづらくタイプCにしたい場合は、以下で認識を確認。

Amazon | Rampow USB Type C to USB 変換アダプタ【二個セット/保証付き】OTG対応 MacBook, iPad Pro, Sony Xperia XZ/XZ2, Samsung USB C to USB 3.0 5Gbps高速データ転送 | RAMPOW | USBアダプタ 通販
Rampow USB Type C to USB 変換アダプタ【二個セット/保証付き】OTG対応 MacBook, iPad Pro, Sony Xperia XZ/XZ2, Samsung USB C to USB 3.0 5Gbps高速データ転送がUSBアダプタストアでいつでもお買い得。当日お急ぎ便対象商品は、当日...

逆にタイプCから古いAへ変換するものは規格違反と危ない情報が出ているのでやめておこう。万が一変な使い方をした時に、あなたの肩書はパソコンクラッシャー。

参考危険!USB-C→USB-A変換アダプターは“規格外”だぞ!!|8vivid

スポンサーリンク

ミスしたら詰む!紛失や壊れたときの準備

コードの取り扱いに注意

Yubicoいわく紛失時用に「2つ用意して2つとも設定推奨」だが、設定時にバックアップコードまたはリカバリーコードをYubicoではなくサービス毎に発行可能なはずであり、それを使えば緊急ログインは可能である。

「自動発行タイプ」と「手動発行タイプ」が存在するので、設定後に発行された覚えがないなら各ヘルプで「Recovery(リカバリー)」や「Backup(バックアップ)」とページ内検索(CtrlFCommandF)をかけて取得。

ただ、それらのコードをパスワード管理ソフト・アプリに入れてしまうと、「YubiKey紛失時そのパスワード管理ソフトにYubiKeyを設定していた」場合入れずに詰む

更に言うとYubiKey設定済みパソコンへログインする際にもコードが必要となり、予めコードを「YubiKeyが必要のないどこかに保存」していないと詰む

なので、「コードだけ盗まれようがそれだけでは何もできない状態」をうまく使い、セキュリティの落としどころを探る。

といっても、以下の中から2つやっておけばいい。

  • 家:紙に書いたコードを保管(鍵とは別の場所のお財布でもOK:同時紛失防止)
  • 家:USBメモリにコードを保管
  • コードをスマホで撮る(画像じゃなくてもOK)

※YubiKey2つ用意と家保管が実は同じ条件であることを活用。

保管するコードは最大でも「パソコンログイン用」と「パスワード管理ソフト用」2つのみでよく、その他はパソコンにログインでき、かつパスワード管理ソフトにアクセスできる限り何でもできるのでパスワード管理ソフトにぶっ込んで良い。

手元のコードと一緒にパスワードも保管すると侵入されるため、どれもコード専用として取り扱い、緊急時ログインはデジタルだろうが手動入力なので覚悟すること。

各保管方法の弱点
  • 紙:インクや紙次第で劣化して消える(長期間用のものはあるらしい)
    • Windowsログインのリカバリーコードが48桁の英数字と、地獄を書く必要がある
    • ヒント:自宅印刷・コンビニ印刷
  • USBメモリ:せいぜい5年、定期的に通電しないと飛ぶ恐れもあるし、長期保存に実は向かない
    • パソコンに入れない場合、USBメモリを読み取れる端末が緊急時に必要(最悪コンビニや百均でも変換器は売っている?)
    • 長期保存が予想されるため、2つ用意か他の方法と併用推奨
    • コードとセットにしても問題ないものかつ、よく利用するものと一緒に保管して通電はあり
    • コードのみVeraCryptの暗号化仮想コンテナへ突っ込み、よく利用するものと一緒に使うのは合理的
  • スマホ:スマホと鍵(YubiKey付き)をバッグやポーチ、同じポケットに入れてはいけない
    • スマホと鍵の同時紛失は詰み
    • どう考えてもいつかやりかねないヒューマンエラーのリスク高
    • これ1つだけは恐ろしいため、他の保管方法のスペアとして使う
    • 撮影がうまくできなければテキストファイルやスクリーンショットで対応

効率的なのはPDFを印刷 → そのPDFをスマホに保存など。

小ネタとして、紙や画像に「Googleアカウント」と記述しておけば、万が一紛失したときに拾った側はGoogleアカウントと勘違いするためお得。

ぷっぷ
ぷっぷ

どうするべきかをコメント欄で聞いてもらえれば、頭が痛いけど私も考えます∩(・∀・∩

諦めて2つ用意する

パスワード管理ソフト・アプリを導入していない人は蚊帳の外で申し訳ないが、時代に取り残されたくなければいい加減やること。

コメント

  1. 匿名 より:

    パソコンしか使えない化石人間です(スマホを持っていません)(パスワード管理にはKeePass使用)。
    二段階認証にYubiKeyが良いのではと探していて、ぷっぷ様のブログにたどり着きました。
    公式サイトはドル決済なので私にはハードルが高く、日本のAmazonで購入しようと思っています。
    ここで質問です。
    Amazonでは、1)販売・発送ともPJ-T&C合同会社のものと、2)販売は株式会社ソフト技研で発送はAmazonとありますが、
    どちらが良いと思われますか?
    バカバカしい質問かもしれませんが、なにとぞご教示お願いいたします。

    • ぷっぷぷっぷ より:

      「誰かの手に渡った判定の数」的にはPJ-T&C合同会社の方が有利ですね∩(・∀・∩
      ※私は正規代理店を落としどころとしているため、あとはその時の価格次第。
      ちなみに、PJ-T&C合同会社が販売開始したのは最近の2020年10月頃だったと思うので、それまではソフト技研しかありませんでした。

  2. 匿名 より:

    本当にありがとうございました!!

タイトルとURLをコピーしました