Vivaldi アカウントと Vivaldi コミュニティのサービスを全般的に向上すべく以前から取り組んできましたが、このブログで最近加えられた変更についてお伝えします。
Vivaldi アカウントに 2 要素認証が登場
まずはじめに、2 要素認証のサポートの実装です。これにより、Vivaldi アカウントのセキュリティレベルを向上させました。
2 要素認証とは?
オンラインアカウントなどにログインすると、なりすまし対策として本人を確認するための認証が求められることがあります。その認証方法には色々ありますが、ほとんどが以下の 3 つのカテゴリに当てはまります。
- パスワードや暗証番号など、本人が知り得るものによる認証
- 物理的なセキュリティキーやデバイスなど、本人が所有するものによる認証
- 顔や指紋認識など、本人による生体認証
多要素認証という認証方式では、アカウントのアクセスにファクター(要素)認証とも呼ばれる 1 つ以上の方法による認証が求められます。近頃では、オンラインアカウントへのアクセスに 2 つの異なる方法による認証が求められるのが一般的なため、多要素認証は 2 要素認証とも呼ばれます。
ログインは通常、簡単な確認方法で始まります。例えば、ユーザー名を入力した後にパスワードを入力します。パスワードが正しければ、追加の方法を使用した本人認証が求められます。その後、自分のスマートフォンの認証アプリを確認し、ログインページにワンタイムパスワード(TOTP)を入力するか、セキュリティキーを接続してログインしたい旨の意思表示を行えます。これらの認証において問題が無ければ、アクセスが許可されてサービスを使用することができます。
1 つ以上の認証方法が求められることによってアカウントのロックの解除が困難になり、アカウントの安全性がより高まります。例え、所有物やパスワードが危険にさらされても、2 番目の要素を破るのは基本的には不可能です。
Vivaldi での 2 要素認証の仕組み
Vivaldi では 2 要素認証はデフォルトで有効ではありません。また、同期に関してはまだ適用されていないため、機能が追加された時に改めてお知らせします。Vivaldi アカウントで 2 要素認証を有効にするには、Vivaldi.net のアカウントのプロフィールにアクセスして有効にする必要があります。オプションは 2 つ用意されています。
1 つ目は、アプリをベースとした認証方法です。スマートフォンにインストールできるアプリを Vivaldi アカウントにリンクし、アカウントにログインする度にアプリでワンタイムパスワード(TOTP)を確認します。Vivaldi では 1 つ以上の認証アプリを並行して使うことはできない点にご注意ください。
2 つ目は、セキュリティキーを利用する方法です。ログインを行う端末に接続する物理的なデバイスです。コンピューターの USB ポートに接続する小型の USB ドライブや、モバイルデバイスに搭載された NFC(近距離無線通信)のようなものです。時にはデバイス自身がセキュリティキーにもなり得ます。Windows 10 から搭載された「Windows Hello」機能がその一例です。Vivaldi アカウントには複数のセキュリティキーを設定でき、またログインには、その時に応じて最も便利なキーを使用できます。複数のセキュリティキーを所有している場合には、バックアップ用にもう 1 つ設定することをお勧めします。
バックアップに関しては、Vivaldi アカウントで 2 要素認証を有効にしている場合、1 つ以上の方法を設定してください。複数のセキュリティキーを使用したり、物理的なキーと認証アプリを一緒に使ったりすることができます。追加できる方法が 1 つしかない場合には、必ず復元用のコードを生成してください。これは、2 つ目の認証オプションが利用できない時に使う、ランダムな文字で構成された長いコードです。例えば、スマートフォンが修理できないほど壊れてしまったり、セキュリティキーを失くしてしまった場合などに使用できます。
ご利用のアカウントに対して 3 つの復元用コードを生成します。これらのコードは印刷して金庫などの安全なところに保管するなど、大切に扱ってください。各コードは一度だけ利用することができますが、1 つのコードのみを使ったとしても、アカウントのプロフィールにアクセスして 2 要素認証の設定を見直すことをお勧めします。設定した 2 番目の要素の 1 つを置き換えたり、一時的に機能を無効にする必要があるかもしれません。
アカウントで 2 要素認証を有効にしていて、設定したいずれの方法も使用できなかった場合、Vivaldi チームではアカウントへのアクセスを回復することができないため、残念ながらアカウントを恒久的に失うことになります。
ここまで Vivaldi アカウントのセキュリティをどのように強化したかについて解説しました。ここからは、Vivaldi ウェブメールを信頼できる拡張可能なサービスとして維持するために実装した重要な変更点についてご説明します。
Vivaldi ウェブメールがレピュテーション(評価)システムにリンク
Vivaldi コミュニティには現在、130 万を超えるアカウントが登録されており、その数は日々増えています。登録者のほとんどが善意のある人ですが、残念なことに、中にはそうでない人も少数存在し、想像を絶するほど Vivaldi やユーザーに問題をもたらしています。無視することはできないほど深刻な状況です。
Vivaldi ウェブメールとは?
上に述べた問題について話す前に、まず、基本的なことをお話ししましょう。Vivaldi ウェブメールとは何か、そして、Vivaldi メールとの違いについて説明します。 Vivaldi ウェブメールは、Vivaldi のコミュニティメンバーの個人的なメールのニーズをカバーできるように提供している、無料でプライベートなメールサービスです。ウェブインターフェイスを通してアクセスしたり、好きなメールクライアントやアプリにアカウントを追加したりして利用できます。当然ながら、メールクライアントには、Vivaldi ブラウザに内蔵された、Vivaldi メールをお勧めしています。
Vivaldi メールとの違いは何かという答えがここにあります。Vivaldi ウェブメールはメールアドレスを提供してメッセージを送信するためのメールサービスです。一方、Vivaldi メールは、利用している全てのメールアカウントのメッセージを表示して管理できるプログラムです。
無料のウェブメールサービスの提供が大変な理由
Vivaldi のウェブメールは、悪意のあるスパム送信者やネット詐欺師、フィッシング詐欺師などにより常に試されています。これらは通常、検出され、比較的すぐにブロックされますが、それでも、許容できる範囲を超えて存在しています。
残念ながらスパム送信者は非常に狡猾で、スパム対策の制限をすり抜ける方法を次々と見付け出してくるため、常にいたちごっこで終わりがありません。おまけに、こちらがサービスレベルの維持のために、より効率的に管理しようとすればするほど、スパム送信者にとって、より魅力的になるというわけです。詳しくはシステム管理者の Thomas によるブログ記事をお読みください。
過去に行った対策
2019 年後半に、Vivaldi ウェブメールを使ったり、Vivaldi.net でブログをホストしたりするユーザー向けに、スマートフォンを通した本人確認を導入しました。これにより、一部の迷惑メールがすり抜けたものの、何年かは迷惑メールの量を大幅に減らすことができ、全体的に管理はしやすくなりました。しかし、最近の動向から、新しい対策を導入する時期だと判断しました。
今回導入するのは?
多くのユーザーにとって朗報なのは、SMS 認証を卒業(また、すべての番号をデータベースから削除)する点です。Vivaldi.net でブログをホストするユーザーにとっては、ブログを作成する前のひと手間が省けるようになりました。一部、Vivaldi.net で迷惑投稿が見られますが、E メールとは異なり、迷惑投稿は通報システムが実装されたプラットフォームに取り込まれるため、モデレーションによる管理はしやすいと言えます。
2023 年 5 月 4 日から、スマートフォンに送信されるコードによる認証方法はレピュテーション(評価)システムに変わります。Vivaldi ウェブメールへのアクセスは、このシステムによりコミュニティにアクティブに参加するユーザーのみに許可されます。このため、新規ユーザーはアカウントを作成した後すぐに Vivaldi ウェブメールを使うことができません。フォーラムのディスカッションへの参加や、Vivaldi Social での他のユーザーとの交流、ブラウザテーマの共有、ブログへの投稿、ブラウザデータの同期などを行って「ポイント」を集める必要があります。
この新機能の効果を正しく得られるよう、どんなアクティビティによりレピュテーション(評価)が確立されるのか、どんなアクションでどれだけのポイントが得られるのかという情報を共有することはできません。Vivaldi ウェブメールへのアクセスが許可されるまでの期間も一定ではありません。このため、アクティブな Vivaldi コミュニティメンバーとして認識されて Vivaldi ウェブメールに参加できるようになるまで、コミュニティのメンバーとして可能なことを楽しんでいただければと思います。
Vivaldi ウェブメールを利用できるかどうかを確認する方法は 2 つあります。一つは、Vivaldi.net のアカウントにログインし、ホームページ上部のセクションや自分のプロフィールからウェブメールへのリンクがあるかを確認する方法です。もう一つは、webmail.vivaldi.net へのログインを試みる方法です。メールボックスにログインする代わりに「message text」と表示された場合は、もう少しお待ちいただく必要があります。
今回のアップデートの前に作成されたアカウントについては?
2021 年 5 月 4 日以前に Vivaldi ウェブメールにアクセスしていたアカウントに関しては、そのままアクセスし続けることができます。古いアカウントをお持ちで電話番号による認証を行っていなかった場合には、ブログを作成することはできますが、Vivaldi ウェブメールの利用には他の新規ユーザーと同じくレピュテーションを確立する必要があります。
アカウントに関する問題や何らかの質問がありましたら、こちらのヘルプページの末尾にある問い合わせフォームからサポートチームにお問い合わせください(「メッセージを送信」をクリックしてください)。
最後に・・・
今までフォーラムや Vivaldi Social で不適切なコンテンツがあった場合、コミュニティメンバーはフラグを設定することができました。今後、Vivaldi.net でコミュニティの基準に沿っていないブログ記事を見つけた場合には、Vivaldi に報告することも可能となりました。
ブログ記事を報告するには、記事の下にある「共有」ボタン横の「報告」ボタンをクリックしてください。Vivaldi.net に不適切だと思う理由を選択してコメントを入力し、送信してください。Vivaldi チームが報告をレビューし、適切なアクションを取って対処します。
以上のような変更により、活気ある Vivaldi コミュニティがより発展し、全体的に、より優れた体験を提供できればと考えています。Vivaldi は皆さんからのフィードバックを元に改善を行い、向上しています。是非、フォーラムでご意見を共有していただけたら嬉しいです。
原文 – Two-Factor Authentication for Vivaldi accounts and a new reputation system for Vivaldi Webmail.
訳 – Mayumi
Team Vivaldi
Vivaldi Social | Twitter | Facebook | Instagram | note