【SSS】YubiKeyとは?使い方と対応サービスもよろしく!

YubiKeyの使い方教えて

当記事は商売のように広告料を得るリンクを採用。記事の出来が悪ければ容赦なく避け、情報だけ頂くといい。

実はスマホに「アカウント情報」と「2段階認証アプリ」が揃っており、紛失時にスマホだけで侵入されるケースがある。

そこで、スマホを落としたとしてもYubiKey(ユビキー)という「業界No.1セキュリティキー」で解錠する設定をして、スマホ完結だったものが「ログインは手元にあるYubiKeyも必須」で何とかなるかもしれない。

スマホ完結とは?

お財布や鍵、個人情報などをスマホに寄せた「スマホで何でもできる」状態のこと。

誰におすすめ?
  • 落としたスマホから流出したアカウント情報をYubiKey必須にしたい
    • 効果:悪意ある者にキーとスマホ両方を現実世界で盗む工程を押し付ける
  • 仮想通貨取引所にログイン
  • できるだけスマホアプリの2段階認証をYubiKeyに切り替えたい
  • WindowsログインやGoogle、Twitterなどヘビーに使うサービスのログインを強化したい
  • 秘密鍵が膨大で管理したい(ここでは触れない)
  • KeePassやBitwardenなどのパスワード管理ソフトを極限までセキュアに
スポンサーリンク

YubiKeyとは?機能はいっぱいあるが……

適当に言うと「Yubico社の電源不要な鍵として使うスマホじゃない2段階認証(2要素認証)ツール」。

MADE IN US & SWEDEN

一般向けメリットは、落としたスマホから何かのアカウント情報が流出しても、対応サービスでYubikey(セキュリティキー)が物理的に要求され、オンライン不正アクセスに保護階層が働く。

そのおかげでパスワードの簡略化も可能。

※勘違い防止:パスワードレスという意味で言ったわけではなく、利便性向上は大体しない。

ぷっぷ
ぷっぷ

そもそもパスワードレスにしちゃうと、「パスワードがYubiKeyに置き換わっただけ」だから保護階層は増えていないという(´ε`;) 不正アクセスには強くなるけど、物体だから落としたらまずいしー

また、FIDOなど難しい認証方法の話は「見なくても使いこなせる」ため無視でいい。

参考仕様概要 – FIDO Alliance

「自分の使うサービス」を後述する対応サービス一覧で調べ、「対応しているサービスはYubiKeyを使う」で問題なく、大体YubiKey 5 NFCを選んでおけば使えないこともほぼない。

各機能がどのようにしてセキュリティ向上に貢献するかわからないが、YubiKeyを使っていれば悪いセキュリティとも思えないので、やはり無視していく。

YubiKeyの機能
・FIDO U2F & FIDO2
・OATH-TOTP
・Smart Card、IC Card(PIV-Compatible)
・OpenPGP
・2つのスロットにそれぞれに設定できる機能
・Yubico OTP
・OATH-HOTP
・チャレンジレスポンス
・安全な静的パスワード
・Symantec VIP

引用:ワンタイムパスワードトークンYubiKey |(株)ソフト技研

最大6つの認証方法を同時に使えるらしいが、やりすぎセキュリティでは基本「挿して認証」のどれかしか使わない。

具体的には、対応サービスを見る限りチャレンジレスポンス・FIDO U2F & FIDO2・OTP(ワンタイムパスワード)をよく使う模様。

チャレンジレスポンスと公開鍵基盤(PKI)を組み合わせた最高技術で、ユーザー情報もしくは暗号鍵がサービス提供者間で共有されません。

引用:ワンタイムパスワードトークンYubiKey |(株)ソフト技研

他にも秘密鍵の管理、TwitterやGoogleなど依存率の高い海外サービスで使えるため、本当に守りたいパスワード管理ソフトや現実へ紐付けられると困るSNSアカウントで使うといいだろう。

使った感じ利便性向上はまずなく(パスワードレス以外)、あくまでセキュリティ向上ツール。

なお、耐クラッシュ性と防水の洗濯耐性、車で引きずっても問題ないほど頑丈であり、いつもながらバックアップ(リカバリー)コードが各サービスあるはずなので、最悪壊れても保険はある。

耐衝撃
・最大曲げ応力(max bending force)は、25Nです。(25N=2.5kgf)
・IP68に認定されています。(IPは、防水・防塵性能を示します)
・粉塵の侵入を完全に防ぎ、かつ長時間水没しても影響がありません。
・YubiKeyはABS樹脂でできています。
・YubiKey4は過電流対策を行っており、現在のところ、問題は報告されていません。
・洗濯機で熱・水・洗剤を加えて洗濯しても問題ありません。
・水深48mの塩水に2か月沈めても問題なく利用できます。
・車でYubiKeyを引きずっても問題ありません。
耐抜き差し回数
・10,000回までの自動差し込みテストを行い、機能や安全面での影響がないことを確認しています。
・また摩耗による重大な影響も発生していません。
・10,000回を超える電源ON/OFFのストレステストに合格しています。

引用:ワンタイムパスワードトークンYubiKey |(株)ソフト技研

取り扱いは鍵と同じでジャラジャラ。

スマホケースに鍵入れまで付いているミニマリスト大好きケースは、平和ボケの集大成なので今すぐ破棄。

どの種類がいいの?無印YubiKey・YubiKey 5 NFCの違い

番号のついたYubiKey 5シリーズが失敗しない選択で、番号のないもの・YubiKey呼びではない青いSecurity Keyは対応していないことが結構ある。

※そのため、青いSecurity Keyは後述する対応サービス一覧で使えるか確認必須。

例としてWindows(Webとは別)やMacの起動時ログインに青いSecurity Keyは使えない(タイプは差込口の形状)。

YubiKeyの種類(2020年12月時点)
  • 黒いYubiKey 5シリーズ
    • YubiKey 5 NFC(タイプA)
    • YubiKey 5C NFC(タイプC)
    • YubiKey 5Ci(タイプCとLightning)
      • iPhoneにNFCがあるため空気
    • YubiKey 5 Nano(タイプA 小さい)
    • Yubikey 5C(タイプC)
    • Yubikey 5C Nano(タイプC 小さい)
  • 青いSecurity Keyシリーズ
    • Security Key(タイプA)
    • Security Key NFC(タイプA)
  • YubiKey FIPSシリーズ
    • 政府機関向けなので無視
  • YubiHSM 2(PCが買える値段なのでそっ閉じ)
  • YubiKey Bio(まだ)
    • 指紋タッチのUSBタイプAかC

オススメの種類
  • YubiKey 5 NFC(タイプAかC)
    • 基本コレ
  • YubiKey Bio?(まだ)
    • 騒がれてから1年以上経過、近日公開らしいが肝心の対応サービス不明
      • 今でさえ対応サービス次第だったりするためかなり重要
https://amzn.to/34IGSij

※変換器を使いタイプAをCにしたところ、Windowsログインで認証できたため使える模様(CからAは後述するが規格違反らしいのでNG)。

番号のあるナンバリング系(現在の5と一つ前の4)はほぼ対応・同じ扱いで問題なさそうであり、番号のないものはヤバいと覚えておけば良い。

また、NFCがないとタッチ接触部分無しであったりするため(指紋とは別もの)、やはり「NFCは不要」だろうが「青いSecurity KeyではNG」の時点で5 NFCにしちゃって良い

NFCで残念なのは、搭載ノートパソコンがLenovoや日本社パソコンくらいしかないレアで(購入前に要調査)、デスクトップは当然ないので実質スマホ用機能。

一応「ICカードリーダーのNFC対応」があるので、電子マネーチャージやe-Taxで確定申告をする方は実験の価値あり。

https://amzn.to/2WOmA2n
こんなやつ
追記:2021年2月25日

各認証方法に上限がある模様。ほぼガチ勢にしか関係がないほど使い切れないので、ガチ勢のみ公式参照(テクニカルマニュアルなだけある)。

参考YubiKey 5 Series Technical Manual – Yubico

スポンサーリンク

対応サービス一覧

日本のサービス対応してなさすぎ

使えなければ意味がない。

現在のリンク先はYubico公式(英語)で、青いSecurity Keyが非対応なものは「青×」と記載しておく(黒いYubiKey 5シリーズはほぼ対応なので無視)。

セキュリティ関係
エンジニア関係
仮想通貨関係

今後やりすぎセキュリティでテストしたものは「記事化」する。

他は公式で探してね!

公式YubiKeyが使えるサービス一覧(英語)

非対応の理由

Windows起動時サインイン(ログイン)やKeePassなど、オフライン系に青いSecurity Keyは対応していない(そもそもFIDOのOはオンラインのO)。青×の殆どは青だけ使えないワンタイムパスワードかチャレンジレスポンス機能を使うせいである。

YubiKeyが使えるサービス一覧はプルダウンで選別できるため、うまく活用しよう。

  • Security Protocol:チャレンジレスポンスやFIDO2で絞れる
  • Category:カテゴリーで絞れる
  • YubiKey:対応YubiKeyで絞れる
  • Company:会社名検索欄
タイプ別に調べられる

該当サービスを選択すると「Get Setup Instructions(セットアップ手順を取得)」ボタンがあり、そこから該当サービス公式かYubicoブログ(英語)へ飛べる。

※Twitterなどは日本語があるのでページ上部か下部にある言語変更(Language)。

セットアップ手順を取得ボタン

対応YubiKey・OS・機能は「Get Setup Instructions(セットアップ手順を取得)」ページと同じ場所下段にアイコンや英語で表示されており、すごくわかりやすいので活用しよう。

アイコンを見れば対応がわかる

※互換性のある過去のレガシー系(主にYubiKey 4)はさらに下に文字で表記されている。

なお、日本のサービスは何らかの2段階認証すら対応しておらず(任天堂発見!)、数百年は期待できない。

購入方法:公式か正規代理店から買うこと

物理的な細工をされる可能性を避けるためにも、公式(ドル決済)か日本正規代理店で購入すること。

日本の正規代理店で1つから購入可能なのは、株式会社ソフト技研とPJ-T&C合同会社のAmazonしかない。

なので、購入の際は販売元(発売元)が「株式会社ソフト技研」か「PJ-T&C合同会社」になっているか要確認(Amazon販売元の場合もあるが、何が違うのかわからない)。

販売元の確認
https://amzn.to/37Q12ca
株式会社ソフト技研販売商品一覧

https://amzn.to/2JxVmKy
PJ-T&C合同会社販売商品一覧

上記に無いものは公式(ドル決済)しかなく、最新のものは公式で確実に置いている。

基本公式で良い

正式な代理店はYubico公式ページで調べられ、不審なことがあれば「japan」と検索をかけてみよう(2020年時点で再販業者5つ:ほぼ法人向け、楽天やYahooショッピングに正規代理店なし)。

また、Yubicoいわく2つ用意推奨であり(紛失時もう1つでログイン作戦)、バックアップ(リカバリー)コードの保管方法を考えるのが煩わしいのなら予算と相談するといい。

PC破壊!?USBタイプAからCへの変換は○、CからAは規格違反

万が一USBタイプA(差込口の形状)が使いづらくタイプCにしたい場合は、以下で認識を確認。

https://amzn.to/37SrPEL

逆にタイプCから古いAへ変換するものは規格違反と危ない情報が出ているのでやめておこう。万が一変な使い方をした時に、あなたの肩書はパソコンクラッシャー。

参考危険!USB-C→USB-A変換アダプターは“規格外”だぞ!!|8vivid

スマホは対応していても、ブラウザが未対応!?

ブラウザ側が対応していないと使えないようだ。

参考Operating system and web browser support for FIDO2 – Yubico

FIDOはブラウザを使う機能であるため、このような制限がある。

最新情報は上記公式参照
  • iOS対応:Safari・BRAVE
    • 未対応:Chrome・Firefoxなど
  • Android対応:Chrome
    • 未対応:Firefox・BRAVEなど
PIN機能のことは知らないので公式を要確認

セキュリティに詳しいとマイナーなブラウザに手を出しがちなので、そこはどうにかしよう。

ブラウザ対応を調べてくれるサイトの方では、Operaも対応済みの模様。

参考Can I use… Support tables for HTML5, CSS3, etc(緑色が対応済み)

また、FirefoxのAndroid版に問題があり、パソコンでYubiKeyを使えても、AndroidのFirefoxでは使えないようだ(3年前の話)。

*The current version of Firefox no longer supports FIDO on Android. Firefox is working to resolve the issue.

引用:Operating system and web browser support for FIDO2 – Yubico(Android対応表の下)

*Firefoxの現在のバージョンでは、AndroidでFIDOをサポートしていません。Firefoxはこの問題の解決に取り組んでいる。

結構日にちが経っているなら、上記引用元を見て更新されているか確認するといい。

※情報提供者セキュリティ猫さん

Firefoxでウェブサービスへのログインで使う場合、WindowsではyubikeyでログインできますがAndroidだとログイン時の2段階認証にセキュリティキーを選択するとエラーになります。
AndroidならChrome、iOSなら(試していませんがおそらく)Safariは対応していると思いますが、それ以外のブラウザを使っている人はスマホでも使えるか確認が必要かもしれません。
またTwitterのように、2本以上セキュリティキーを登録できないというパターンもありました。

引用:セキュリティ猫さんのコメント
スポンサーリンク

ミスしたら詰む!紛失や壊れたときの準備

コードの取り扱いに注意

Yubicoいわく紛失時用に「2つ用意して2つとも設定推奨」だが、設定時にバックアップコードまたはリカバリーコードをYubicoではなくサービス毎に発行可能なはずであり、それを使えば緊急ログインは可能である。

「自動発行タイプ」と「手動発行タイプ」が存在するので、設定後に発行された覚えがないなら各ヘルプで「Recovery(リカバリー)」や「Backup(バックアップ)」とページ内検索(CtrlFCommandF)をかけて取得。

ただ、それらのコードをパスワード管理ソフト・アプリに入れてしまうと、「YubiKey紛失時そのパスワード管理ソフトにYubiKeyを設定していた」場合入れずに詰む

更に言うとYubiKey設定済みパソコンへログインする際にもコードが必要となり、予めコードを「YubiKeyが必要のないどこかに保存」していないと詰む

なので、「コードだけ盗まれようがそれだけでは何もできない状態」をうまく使い、セキュリティの落としどころを探る。

といっても、以下の中から2つやっておけばいい。

  • 家:紙に書いたコードを保管(鍵とは別の場所のお財布でもOK:同時紛失防止)
  • 家:USBメモリにコードを保管
  • コードをスマホで撮る(画像じゃなくてもOK)

※YubiKey2つ用意と家保管が実は同じ条件であることを活用。

保管するコードは最大でも「パソコンログイン用」と「パスワード管理ソフト用」2つのみでよく、その他はパソコンにログインでき、かつパスワード管理ソフトにアクセスできる限り何でもできるのでパスワード管理ソフトにぶっ込んで良い。

手元のコードと一緒にパスワードも保管すると侵入されるため、どれもコード専用として取り扱い、緊急時ログインはデジタルだろうが手動入力なので覚悟すること。

各保管方法の弱点
  • 紙:インクや紙次第で劣化して消える(長期間用のものはあるらしい)
    • Windowsログインのリカバリーコードが48桁の英数字と、地獄を書く必要がある
    • ヒント:自宅印刷・コンビニ印刷
  • USBメモリ:せいぜい5年、定期的に通電しないと飛ぶ恐れもあるし、長期保存に実は向かない
    • パソコンに入れない場合、USBメモリを読み取れる端末が緊急時に必要(最悪コンビニや百均でも変換器は売っている?)
    • 長期保存が予想されるため、2つ用意か他の方法と併用推奨
    • コードとセットにしても問題ないものかつ、よく利用するものと一緒に保管して通電はあり
    • コードのみVeraCryptの暗号化仮想コンテナへ突っ込み、よく利用するものと一緒に使うのは合理的
  • スマホ:スマホと鍵(YubiKey付き)をバッグやポーチ、同じポケットに入れてはいけない
    • スマホと鍵の同時紛失は詰み
    • どう考えてもいつかやりかねないヒューマンエラーのリスク高
    • これ1つだけは恐ろしいため、他の保管方法のスペアとして使う
    • 撮影がうまくできなければテキストファイルやスクリーンショットで対応

効率的なのはPDFを印刷 → そのPDFをスマホに保存など。

小ネタとして、紙や画像に「Googleアカウント」と記述しておけば、万が一紛失したときに拾った側はGoogleアカウントと勘違いするためお得。

ぷっぷ
ぷっぷ

どうするべきかをコメント欄で聞いてもらえれば、頭が痛いけど私も考えます∩(・∀・∩

諦めて2つ用意する

パスワード管理ソフト・アプリを導入していない人は蚊帳の外で申し訳ないが、時代に取り残されたくなければいい加減やること。

コメント

  1. きゅうさん より:

    ぷっぷさん
    コメントありがとうございます。
    耐久性と手軽さには魅力を感じるので一本買って試してみます。。

    • ぷっぷ より:

      詳細を調べる気ないですけど、YubiKeyの指紋認証が正式に販売されたようです∩(・∀・∩

  2. きゅうさん より:

    情報整理いただきありがとうございます。勉強になります。
    いまいち理解できておらず、また現物が手元にないのでテストもできず、イメージできていませんので質問させてください
    利用用途
    ・共有PCのWindowsLogonへ利用
    ・共有PCは5人から7人くらいが使います。
    ・人ごとにローカルアカウントを作成しています。
    ・Yubikeyを接続しただけで
     Yubikey所有者のLogonuserの自動選択はできますか?
    ・Yubikeyを抜くときは、何もせずズバット抜いていいのでしょうか?(取り外し操作は必要?)
    ・Webサイトへのログインにyubikeyを使う場合、ほかのパスワード管理ソフトは必要でしょうか
     例えば1Passwordなど。。(記事内にそのような記載が。。。)
    素人の質問で申し訳ありませんがよろしくお願いします

    • ぷっぷ より:

      個人でしか使ったことがないので、共有だとめっきり知識がないです(´ε`;)
      なので、ある程度わかっている部分と、推測するといけそうなものだけ回答します。

      Yubikeyを接続しただけで
       Yubikey所有者のLogonuserの自動選択はできますか?

      多分できないです。
      例えば、きゅうさんのログイン画面で他の方のYubikeyを入れても、「きゅうさんのYubikeyじゃないよ判定」になっちゃうと思います。

      Yubikeyを抜くときは、何もせずズバット抜いていいのでしょうか?(取り外し操作は必要?)

      ズバっ!でOKです。
      以前USBメモリをズバっと抜くとデータ消えかねない的なのがありましたが、もう最新のWindowsではそのようにはならず、これもズバっ!でOK。

      Webサイトへのログインにyubikeyを使う場合、ほかのパスワード管理ソフトは必要でしょうか
       例えば1Passwordなど。。(記事内にそのような記載が。。。)

      YubiKeyは追加の保護階層でして、アカウント情報などは登録できないのです。
      そのため、パスワード管理ソフトは別途必須です。1Passwordをご存知でしたら、Bitwardenを使うと幸せになれます。