【重要】RubyGems.orgに多要素認証(MFA)を設定してください(RubyKaigi 2019)

こんにちは、hachi8833です。RubyKaigi 2019で重要なお知らせが2回行われましたので、TechRacho記事でも手順を含めて改めて周知いたします。

重要なお知らせ: rubygems.orgアカウントに必ず多要素認証を設定してください


RubyKaigi 2019スライドより

  • RubyGems.orgのアカウントに対して、脆弱なパスワードリストを用いた攻撃が行われています
  • 攻撃防止のため、必ず多要素認証(MFA: Multi-Factor Authentication)を設定してください
    • 対象:
      • RubyGems.orgアカウントをお持ちの方
      • RubyGems.orgで今後アカウントを作成する方
  • 実際にbootstrap-sass gemへの攻撃が行われました(詳しくは以下の記事↓で報じています)

セキュリティ: 3月26日のbootstrap-sass gem 3.2.0.3に危険なコードが含まれていた(影響を受けるサイトは少ない可能性)

補足: APIやCDと多要素認証

APIキー認証やCD(Continuous Deployment: 継続的デプロイメント)などの都合で多要素認証を設定できない場合は、次善の策として、他で使いまわしていない強力なパスワードに変更してください。

参考: 多要素認証 - Wikipedia — 2要素認証や2段階認証も多要素認証の一種です

多要素認証の設定方法

多要素認証を設定するにはパソコンの他に以下が必要です。

  • スマートフォン
  • スマホにAuthenticator用のアプリをインストール・設定しておくこと
  • 私はGoogleのAuthenticatorを使いましたが、他のアプリも使えるはずです
  • アプリの名前はAuthenticatorとは限りません

参考: 2段階認証アプリGoogle AuthenticatorとAuthyの使い方と違いを比較 - Coin7 仮想通貨ニュースメディア
参考: Microsoft Authenticator アプリの使い方
参考: 2段階認証アプリ IIJ SmartKey のインストール設定&Webでの認証例 | ムービットのブログ

1. rubygems.orgにアクセスしてログインし、右上メニューで自分のユーザー名をクリックし、「Edit Profile」をクリックする

2. プロファイル画面を下にスクロールし、「Register a new device」をクリック

3. 表示されたQRコードをスマホのカメラで撮影し、スマホのAuthenticatorにRubyGems.orgを登録する

QRコードがスマホ側で認識されれば、登録は自動で行われます。

スマホに登録されたら、Authenticatorのワンタイムパスワード(OTP: 6桁の数値)を上の「OTP Code」に入力することで有効化されます。

参考: ワンタイムパスワード - Wikipedia

5. 表示されたリカバリーコードを安全な場所に保存する

私はパスワード管理ツールに保存しました。

6. RubyGems.orgからログアウトして再度ログインし、多要素認証が正常に動作することを確認

以上で多要素認証の設定は完了です。

関連記事

Railsアプリで実際にあった5つのセキュリティ問題と修正方法(翻訳)

デザインも頼めるシステム開発会社をお探しならBPS株式会社までどうぞ 開発エンジニア積極採用中です! Ruby on Rails の開発なら実績豊富なBPS

この記事の著者

hachi8833

Twitter: @hachi8833、GitHub: @hachi8833 コボラー、ITコンサル、ローカライズ業界、Rails開発を経てTechRachoの編集・記事作成を担当。 これまでにRuby on Rails チュートリアル第2版の監修および半分程度を翻訳、Railsガイドの初期翻訳ではほぼすべてを翻訳。その後も折に触れて更新翻訳中。 かと思うと、正規表現の粋を尽くした日本語エラーチェックサービス enno.jpを運営。 実は最近Go言語が好き。 仕事に関係ないすっとこブログ「あけてくれ」は2000年頃から多少の中断をはさんで継続、現在はnote.muに移転。

hachi8833の書いた記事

週刊Railsウォッチ

インフラ

ActiveSupport探訪シリーズ

BPSアドベントカレンダー