Android版IIJ SmartKeyで、パスコード入力を回避できる不具合を発見しました。最新バージョンでは修正されているため、2.1.0を使用されている方は今すぐアップデートすることをおすすめします。
パスコードを回避できてしまう
IIJ SmartKeyは株式会社インターネットイニシアティブが提供している、2段階認証用のワンタイムパスワードを生成できるアプリです。
Internet Initiative Japan Inc.特徴でも一番に「パスコードによるロック機能で不正操作を防止」と書かれていますが、このパスコードによるロック機能を回避できてしまうことが分かりました。
アプリドロワーなどから起動すると通常は上の画像のようにパスコード入力画面が出ますが、Nova Launcherなどでアクティビティを選んで起動することでパスコード入力画面が表示せずに、2段階認証のコードが表示されるメイン画面を開けてしまいます。
同様の不具合はLastPass Authenticatorでも報告されており、LastPass Authenticatorでも修正されています。
この不具合により、スマートフォン自体のロックをしていない場合や、Smart Lockでロックがかかっていない場合、または悪意あるアプリをインストールした場合にワンタイムパスワードを第三者に取得されてしまう恐れがあります。
この問題はインターネットイニシアティブに報告済みで、2.1.1では修正済みです。
ただ、ヘルプによると「本アプリは無保証、無償にて提供」「(不具合報告等について) 個別のご返答はいたしかねます」とのことで、「プライベートから、ビジネスまで」と言う割には全くサポートが無いという微妙なスタンスなので、この機会にAuthyなど最低限サポートをしてくれるアプリに乗り換えることをおすすめします。
Authyは見た目もモダンで、二段階認証をクラウドにバックアップすることもでき、アプリ自体のロックに指紋認証やパスコードを利用できます。
Authy