Posted inセキュリティ

二段階認証(2FA):サーバーとアプリのセキュリティ強化のための必須ガイド

Security tutorial - IT technology blog
Security tutorial - IT technology blog

背景と2FAが不可欠な理由

デジタル化が進む現代において、二段階認証(2FA)は不可欠な防御層となっています。パスワードは必要不可欠ですが、貴重なデータやシステムを保護するにはそれだけでは不十分です。考えてみてください。たった一つのパスワードが侵害されるだけで、攻撃者はあなたのアカウント、サーバー、機密情報に完全にアクセスできてしまう可能性があります。

私自身、このことを痛感した経験があります。真夜中にSSHブルートフォース攻撃を受けて以来、私は初期設定から常にセキュリティを最優先しています。それは、どんなに強力なパスワードであっても、それだけに頼ることがいかに脆弱であるかを痛感させる出来事でした。そのため、私はすぐに2FAを導入し、皆さんのプロジェクトでも同じようにセキュリティを強化する方法を共有したいと考えています。

では、2FAとは一体何でしょうか?その核心は、本人確認のために2つの異なる認証方法を要求するセキュリティメカニズムです。「知っているもの」(パスワード)だけでなく、2FAは「持っているもの」(スマートフォンなど)や「あなた自身であるもの」(指紋など)を追加します。たとえ攻撃者が何らかの方法であなたのパスワードを入手したとしても、侵入するにはさらにその第二の要素が必要となります。

一般的に遭遇する2FAにはいくつかの種類があります:

  • 時間ベースワンタイムパスワード(TOTP): スマートフォン上の認証アプリ(Google Authenticator、Authyなど)によって生成される、常に変化する6桁のコードです。おそらく最も一般的で汎用性があります。
  • SMSベース: 登録された電話番号にテキストメッセージで送信されるコードです。便利ですが、SIMスワッピングのリスクがあるため、TOTPよりもセキュリティが低いと一般的に考えられています。
  • プッシュ通知: ログイン試行を承認するために、スマートフォンに簡単なタップを要求するプロンプトです。
  • ハードウェアトークン: コードを生成したり、暗号化キーを使用したりする物理的なデバイス(YubiKeyなど)です。これらは非常に高いレベルのセキュリティを提供します。

このガイドでは、サーバーアクセス(特にSSH)とウェブアプリケーションの両方に対して、堅牢なセキュリティと実用性のバランスを提供するTOTPの実装に焦点を当てます。これは、セキュリティを真剣に強化したいと考えている方にとって素晴らしい出発点となるでしょう。

インストール

2FAを実装するには、システムに必要なソフトウェアやライブラリを設定する必要があります。ここでは、SSHアクセスとウェブアプリケーションへの2FA追加という2つの一般的なシナリオを見ていきます。

SSH向けGoogle Authenticatorのインストール

SSHアクセスを保護するために、Google Authenticator PAM(Pluggable Authentication Modules)モジュールを使用します。これにより、LinuxサーバーがログインにTOTPコードを使用できるようになります。

まず、サーバーにgoogle-authenticatorパッケージをインストールする必要があります。コマンドはLinuxディストリビューションによって若干異なります。

Debian/Ubuntuベースのシステムの場合:

sudo apt update
sudo apt install libpam-google-authenticator

CentOS/RHELベースのシステムの場合:

sudo yum install epel-release # 未インストールの場合
sudo yum install google-authenticator

インストールが完了したら、SSHにこのPAMモジュールを使用するように指示する必要があります。通常/etc/pam.d/sshdにあるSSHデーモンのPAM設定ファイルを開きます。

sudo nano /etc/pam.d/sshd

ファイルの先頭、@include common-auth行の前に、次の行を追加します。

auth required pam_google_authenticator.so

ファイルを保存して閉じます。

次に、SSHデーモン自体がPAM認証とチャレンジレスポンス認証を許可するように設定する必要があります。通常/etc/ssh/sshd_configにあるSSH設定ファイルを開きます。

sudo nano /etc/ssh/sshd_config

以下の行が存在し、コメントアウトされていない(またはyesに設定されている)ことを確認してください。

ChallengeResponseAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive # 鍵認証が2FAと連携して機能するようにする

注:AuthenticationMethodsは非常に重要です。パスワード認証のみを使用する場合は、password,keyboard-interactiveを使用するかもしれません。keyboard-interactiveメソッドは、Google AuthenticatorのようなPAMモジュールがTOTPコードを要求する方法です。

これらの変更を行った後、SSHサービスを再起動して適用します。

Debian/Ubuntuベースのシステムの場合:

sudo systemctl restart sshd

CentOS/RHELベースのシステムの場合:

sudo systemctl restart sshd

Pythonウェブアプリケーションへの2FA統合(Flaskの例)

ウェブアプリケーションに2FAを追加するには、TOTPコードを生成および検証できるライブラリを使用します。Pythonの場合、PyOTPは優れた選択肢です。この例では、シンプルなFlaskアプリケーションをベースとして使用します。

まず、プロジェクトの仮想環境にPyOTPをインストールします。

pip install pyotp Flask

次に、Flaskアプリケーション内の基本的な構造を見てみましょう。ユーザーごとに秘密鍵を生成し、安全に保存し、提供されたコードを検証する必要があります。

以下は、新しいユーザーの2FA秘密鍵とQRコードの生成を設定し、送信されたTOTPコードを検証する方法を示すスニペットです。

import pyotp
import qrcode
from flask import Flask, render_template_string, request, redirect, url_for, session

app = Flask(__name__)
app.secret_key = 'your_super_secret_key_here' # 実際のアプリケーションでは、環境変数に基づく強力な秘密鍵を使用してください

# ユーザー情報をシミュレートする辞書(実際のアプリケーションではデータベースになります)
users = {
    "testuser": {
        "password": "testpassword",
        "2fa_secret": None,
        "is_2fa_enabled": False
    }
}

@app.route('/')
def index():
    if 'username' in session and session['username'] in users and users[session['username']]['is_2fa_enabled']:
        return f"ようこそ、{session['username']}様!2FAでログインしています。"
    elif 'username' in session and session['username'] in users:
        return f"ようこそ、{session['username']}様!2FAは有効になっていません。<a href='/enable_2fa'>2FAを有効にする</a>"
    return "ログインしてください<a href='/login'>。</a>"

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'POST':
        username = request.form['username']
        password = request.form['password']
        if username in users and users[username]['password'] == password:
            session['username'] = username
            if users[username]['is_2fa_enabled']:
                return redirect(url_for('verify_2fa'))
            return redirect(url_for('index'))
        return "認証情報が無効です。"
    return '''
        <form method="post">
            <p><input name="username"></p>
            <p><input type="password" name="password"></p>
            <p><input type="submit" value="Login"></p>
        </form>
    '''

@app.route('/enable_2fa', methods=['GET', 'POST'])
def enable_2fa():
    if 'username' not in session:
        return redirect(url_for('login'))

    username = session['username']
    user = users[username]

    if not user["is_2fa_enabled"]:
        # 秘密鍵が存在しない場合は新たに生成する
        if not user["2fa_secret"]:
            user["2fa_secret"] = pyotp.random_base32()

        # TOTPオブジェクトを作成する
        totp = pyotp.TOTP(user["2fa_secret"])
        # QRコード用のプロビジョニングURIを生成する
        provisioning_uri = totp.provisioning_uri(name=username, issuer_name="ITFromZeroApp")

        # QRコードをSVGとして生成する
        qr_svg = qrcode.make(provisioning_uri).to_string(encoding='utf-8').decode('utf-8')

        if request.method == 'POST':
            otp_code = request.form['otp_code']
            if totp.verify(otp_code):
                user["is_2fa_enabled"] = True
                return redirect(url_for('index'))
            return "2FAコードが無効です。もう一度お試しください。"
        
        return render_template_string('''
            <h2>二段階認証を有効にする</h2>
            <p>このQRコードを認証アプリ(例: Google Authenticator, Authy)でスキャンしてください。</p>
            <div>{{ qr_svg | safe }}</div>
            <p>次に、アプリに表示された6桁のコードを入力してください:</p>
            <form method="post">
                <p><input name="otp_code"></p>
                <p><input type="submit" value="検証して有効にする"></p>
            </form>
        ''', qr_svg=qr_svg)
    
    return "2FAはすでにアカウントで有効になっています。"

@app.route('/verify_2fa', methods=['GET', 'POST'])
def verify_2fa():
    if 'username' not in session:
        return redirect(url_for('login'))
    
    username = session['username']
    user = users[username]

    if not user['is_2fa_enabled'] or not user['2fa_secret']:
        return redirect(url_for('index')) # 2FAは不要、または設定されていません

    totp = pyotp.TOTP(user['2fa_secret'])

    if request.method == 'POST':
        otp_code = request.form['otp_code']
        if totp.verify(otp_code):
            session['2fa_verified'] = True # このセッションで2FAが検証済みであることをマークする
            return redirect(url_for('index'))
        return "2FAコードが無効です。もう一度お試しください。"
    
    return '''
        <h2>二段階認証が必要です</h2>
        <p>認証アプリに表示された6桁のコードを入力してください:</p>
        <form method="post">
            <p><input name="otp_code"></p>
            <p><input type="submit" value="検証"></p>
        </form>
    '''

@app.route('/logout')
def logout():
    session.pop('username', None)
    session.pop('2fa_verified', None)
    return redirect(url_for('index'))

if __name__ == '__main__':
    app.run(debug=True)

この初期アプリケーション設定は、2FAを有効にして検証するためのルートとロジックを提供します。実際のプロダクションアプリケーションでは、ユーザーデータ(2FA秘密鍵を含む)を安全なデータベースで管理することになります。

設定

必要なコンポーネントがインストールされたら、次のステップはそれらを正しく設定することです。これには、秘密鍵の生成、QRコードのスキャン、バックアップコードの管理方法の理解が含まれます。

SSH向けGoogle Authenticatorの設定

libpam-google_authenticatorがインストールされ、SSHデーモンがPAMを使用するように設定されたら、SSHログインに2FAを有効にしたい各ユーザーはgoogle-authenticatorコマンドを実行する必要があります。

2FAを有効にしたいユーザーとしてサーバーにログインします。そして、次を実行します。

google-authenticator

このコマンドは、いくつかの質問を通してあなたをガイドします。

  1. 「認証トークンを時間ベースにするか? (y/n)」
    • yを入力してください。これにより、認証アプリが使用するTOTP(時間ベースワンタイムパスワード)が有効になります。

    この後、ツールはターミナルに大きなQRコードと「秘密鍵」、そして「緊急スクラッチコード」を表示します。

  2. QRコードをスキャンする
    • スマートフォンで選択した認証アプリ(例: Google Authenticator、Authy、Microsoft Authenticator)を開きます。
    • 新しいアカウントを追加するオプション(通常は+アイコン)を選択します。
    • 「QRコードをスキャンする」を選択し、スマートフォンのカメラをターミナルに表示されたQRコードに向けます。
    • あるいは、スキャンできない場合は「秘密鍵」を手動で入力することもできます。

    これで、認証アプリはこのサーバー用の6桁のコードを生成し始めます。

  3. 「.google_authenticatorファイルを更新するか? (y/n)」
    • yを入力してください。これにより、新しい2FA設定がホームディレクトリに保存されます。
  4. 「同じ認証トークンの複数使用を許可しないか? (y/n)」
    • yを入力してください。これにより、攻撃者が30秒以内にキャプチャしたワンタイムコードを使用しようとするリプレイ攻撃を防ぎます。
  5. 「デフォルトでは、新しいトークンは30秒ごとに生成されます。クライアントとサーバー間の時間ずれを補償するために、現在時刻の前後に追加のトークンを許可します。これにより、任意の時点で合計3つの有効なタイムスタンプが利用可能になります。認証で問題が発生した場合は、現在有効なトークンのウィンドウを増やすことを検討してください。そうしますか? (y/n)」
    • セキュリティを強化するためにはnを入力してください。ウィンドウを増やすと、コードを予測できる攻撃者や、大きな時間ずれがある場合に攻撃がわずかに容易になりますが、ほとんどの設定ではnで十分なセキュリティが確保されます。サーバーの時刻が同期されていること(例: ntpdatechronyを使用)を確認してください。
  6. 「ログインしているコンピュータがブルートフォース攻撃に対して強化されていない場合、認証モジュールのレート制限を有効にすることをお勧めします。デフォルトでは、これにより攻撃者は30秒ごとに3回のログイン試行に制限されます。レート制限を有効にしますか? (y/n)」
    • yを入力してください。これにより、2FAコードに対するブルートフォース攻撃に対して重要な保護層が追加されます。

重要:緊急スクラッチコードを保存してください!
google-authenticatorコマンドは、5つの「緊急スクラッチコード」も提供します。これらは非常に重要です。スマートフォンを紛失したり、認証アプリが削除されたり、スマートフォンのバッテリーが切れたりした場合、これらのコードがSSH経由でサーバーに2FAを使用してログインする唯一の方法となります。

これらは非常に機密性の高いパスワードのように扱ってください。印刷して、安全な物理的な場所(金庫など)に保管し、暗号化されていないデバイスや強力な暗号化のないクラウドサービスにデジタルで保存しないでください。各コードは一度しか使用できません。

Pythonウェブアプリケーションでの2FA設定

私たちのFlaskアプリケーションの例では、ユーザーの「設定」は「2FAを有効にする」フロー中に発生します。ユーザーがアカウントの2FAを有効にすることを選択した場合:

  1. 一意の秘密鍵を生成する:アプリケーションは、その特定のユーザーのための一意のランダムな秘密鍵を生成します。この秘密鍵が、TOTPコードの基盤となります。 
    user["2fa_secret"] = pyotp.random_base32()
  2. 秘密鍵を安全に保存する:この秘密鍵は、ユーザーアカウントに関連付けて、データベースに安全に保存する必要があります。公開してはいけません。データベースに保存する秘密鍵を暗号化することがベストプラクティスであり、さらなる保護層を追加します。
  3. QRコードを生成して表示する:アプリケーションは、生成された秘密鍵を使用して「プロビジョニングURI」を作成します。このURIは、ユーザーが認証アプリでスキャンするQRコードに変換されます。QRコードには、アプリがコードの生成を開始するために必要なすべての情報(秘密鍵、発行者名、ユーザーアカウント名)が含まれています。 
    provisioning_uri = totp.provisioning_uri(name=username, issuer_name="ITFromZeroApp")
qr_svg = qrcode.make(provisioning_uri).to_string(encoding='utf-8').decode('utf-8')
  4. ユーザー検証ステップ:スキャン後、ユーザーはアプリからコードをアプリケーションに入力します。その後、アプリケーションは保存された秘密鍵と照合してこのコードを検証し、ユーザーが認証アプリを正常にリンクしたことを確認します。 
    if totp.verify(otp_code):

このプロセスは、ユーザーにとって2FAをアプリケーション内で効果的に「設定」します。ユーザーの視点からは、通常、設定ファイルの手動編集は必要なく、よりスムーズな体験が可能です。ユーザーモデルのis_2fa_enabledフラグ(または同様のもの)は、そのアカウントで2FAがアクティブかどうかを示します。

検証と監視

2FAを設定することは戦いの半分に過ぎません。それが正しく機能していることを検証し、その活動を継続的に監視することは、システムを安全に保つために不可欠なステップです。

SSHの2FAを検証する

サーバーでユーザーアカウントの2FAを有効にした後、すぐにテストすることが重要です。

  1. 新しいターミナルセッションを開く:2FAを設定したサーバーへの現在のSSHセッションは閉じないでください。何か問題が発生した場合、ロックアウトされてしまいます。完全に新しいターミナルウィンドウまたはタブを開いてください。
  2. サーバーへのSSH接続を試みる
    ssh your_username@your_server_ip
  3. パスワードを入力する:通常通り、まずユーザーパスワードを求められます。
  4. 認証コードを入力する:パスワードを正常に入力した後、「Verification code」または「Authenticator code」を要求するプロンプトが表示されるはずです。
    • スマートフォンの認証アプリを開き、サーバーの現在の6桁のコードをターミナルに入力します。

ログインに成功した場合、おめでとうございます!SSHアクセスは2FAで保護されました。問題が発生した場合は、/var/log/auth.log(Debian/Ubuntu)または/var/log/secure(CentOS/RHEL)でエラーを確認してください。開いているSSHセッションは、トラブルシューティングの命綱となります。

ウェブアプリケーションの2FAを検証する

Flaskアプリケーション(または2FAを搭載した任意のウェブアプリ)の場合、検証は簡単です。

  1. ユーザーとして登録/ログインする:テストユーザーアカウントを使用します。
  2. 2FAを有効にする:「2FAを有効にする」フローを実行し、認証アプリでQRコードをスキャンして初期コードを検証します。
  3. ログアウトする:アプリケーションからログアウトします。
  4. 再度ログインを試みる
    • ユーザー名とパスワードを入力します。
    • 2FAコードを要求するページにリダイレクトされるはずです。
    • 認証アプリの現在の6桁のコードを入力します。

ログインに成功した場合、アプリケーションの2FA実装は機能しています。不正なコードでテストして、検証ロジックがそれらを正しく拒否することを確認してください。

2FAアクティビティの監視とベストプラクティス

2FAの実装は重要なセキュリティアップグレードですが、継続的な警戒が鍵となります。

  1. 認証ログを監視する
    • SSHの場合:サーバーの認証ログ(/var/log/auth.logまたは/var/log/secure)を定期的に確認します。特に2FAコードを使用しようとする失敗したログイン試行を探します。Fail2Banのようなツールは、認証に繰り返し失敗するIPを自動的にブロックし、もう一つの防御層を追加します。 
      tail -f /var/log/auth.log | grep "sshd"
    • アプリケーションの場合:アプリケーションが、パスワードと2FAの検証失敗の両方を含むすべての認証試行をログに記録することを確認します。これらのログは、潜在的な攻撃や異常を検出するために非常に貴重です。
  2. バックアップコード:これらの緊急スクラッチコード(SSHの場合)またはアプリケーションの同様のリカバリコードの重要性を再認識してください。リカバリオプションなしで認証デバイスへのアクセスを失うことは、ロックアウトされることを意味します。アプリケーションの2FAを生成する際には、ユーザーに使い捨てのバックアップコードのセットを提供し、それらを安全に保管するよう指示します。
  3. デバイス管理:アカウントにリンクされているデバイスまたは認証アプリを定期的に確認します。古いスマートフォンが使用されていた場合は、その2FA設定が取り消されているか、移行されていることを確認します。サーバー環境の場合、.google_authenticatorファイルの不正な変更がないか監査することを検討してください。
  4. 時刻同期:TOTPの場合、認証デバイスとサーバー/アプリケーション間の正確な時刻同期が非常に重要です。サーバーがNTP(Network Time Protocol)を使用して時刻を正確に保つことを確認してください。ほとんどの最新スマートフォンは時刻を自動的に同期します。
  5. ユーザー教育:アプリケーションの場合、ユーザーが2FAの仕組み、有効化方法、デバイスを紛失した場合の対処法、バックアップコードを保護することの重要性を理解していることを確認します。

2FA設定を常に検証し、認証試行を積極的に監視することで、強力なセキュリティ体制を維持し、不正アクセスのリスクを大幅に削減できます。

Share:
Tags: