SMS認証コードの危険性と代替手段--ブルームバーグらが実態調査(ZDNET Japan)

SMS認証コードの危険性と代替手段--ブルームバーグらが実態調査(ZDNET Japan)

 アカウントにサインインする際に、テキストメッセージで確認コードを受け取ったことがある人は多いだろう。これらのコードは、本人確認のための二要素認証として機能し、パスワードだけでは詐欺師がアカウントにアクセスできないようにする。しかし、これらのSMSコードを実際に扱っているのは誰で、その人々を信頼できるのだろうか。 【フォトレポート】Ziddyちゃんの「私を社食に連れてって」  BloombergとLighthouse Reportsの新たな報告書では、テキストベースのコードがどのように、そしてなぜ人々を危険にさらす可能性があるのかについて明らかにしている。両組織は報告書において、電話業界の情報筋から少なくとも100万のデータパケットを入手したことを明らかにした。このパケットには、個々のユーザーが受信した二要素認証コードを含むSMSメッセージが含まれていた。  このようなメッセージは、アカウントを管理する企業やウェブサイトが直接扱っていると考えるかもしれない。しかし、BloombergとLighthouseによる分析によれば、必ずしもそうではない。このケースでは、Bloombergが“物議を醸している”と表現するスイスの企業、Fink Telecom Servicesを経由していた。  Bloombergは、「同社とその創設者は、政府のスパイ機関や監視業界の請負業者と協力して、携帯電話を監視し、ユーザーの位置を追跡してきた」と報じている。さらに、「サイバーセキュリティ研究者や調査ジャーナリストは、Finkが個人のオンラインアカウントへの侵入に複数回関与していると主張する報告書を公表している」とも述べている。  BloombergとLighthouseは、データを分析した結果、送信元にはGoogle、Meta、Amazonといった大手テクノロジー企業が含まれていることを発見した。その他にも、欧州の銀行、TinderやSnapshotといったアプリ、仮想通貨交換業者のBinance、SignalやWhatsAppのような暗号化チャットアプリも含まれていた。  企業が二要素認証コードを外部プロバイダーに委託する理由は、主に利便性とコストの問題である。外部の請負業者は、より安価で簡単にこれらのテキストメッセージを処理できることが多い。特に、企業が世界中の顧客に対応しなければならない場合、このプロセスは複雑で費用がかかるため、外部プロバイダーの利用が有利となる。  企業がFink Telecomのようなプロバイダーに頼っている理由の1つは、「グローバルタイトル」へのアクセスがある。グローバルタイトルとは、通信事業者が異なる国を越えて通信することを可能にするネットワークアドレスである。これにより、企業はあたかも顧客と同じ国に拠点を置いているかのように見える。Lighthouseは、その分析において、Finkがナミビア、チェチェン、英国、そして自国であるスイスでグローバルタイトルを使用していたことを発見したと述べている。  このようなメッセージのアウトソーシングは便宜的な慣行ではあるが、リスクを伴う。英国情報通信庁(Ofcom)は4月、携帯電話ユーザーへの脅威を理由に、英国の通信事業者に対するグローバルタイトルのリースを禁止した。  ここでの重要な疑問は、BloombergとLighthouseが調査した記録のデータが危険にさらされたことがあったのか、という点だ。Bloombergとのやりとりの中で、Fink Telecomの最高経営責任者(CEO)であるAndreas Fink氏は、「当社は、シグナリングおよびルーティング機能を含むインフラストラクチャーと技術サービスを提供している。当社は、クライアントまたはその下流パートナーによって送信されるトラフィックを分析したり、干渉したりすることはない」と述べた。  アウトソーシングを行っている企業について、Google、Meta、Signal、Binanceは、Fink Telecomと直接取引をしていないとBloombergに語った。Googleは、アカウント認証の方法としてSMSから移行していると付け加えた一方、Signalは、SMSの脆弱(ぜいじゃく)性を防ぐ方法を提供していると述べた。Metaの広報担当者はBloombergに対し、パートナー企業にFink Telecomと取引しないよう警告した、と語っている。  問題のデータが露出したかどうかにかかわらず、問題は同じである。SMSには適切な暗号化が施されていないため、認証コードやその他の個人情報を交換する安全な方法では決してなかった。そのため、全ての企業はSMSの使用をやめ、より強力な方法に切り替えるべきである。もちろん、言うは易く行うは難しい。それでも、この問題を避けるためにできる対策は存在する。  アカウントの二要素認証を設定する際には、SMSオプションを選択してはならない。その代わりに、物理的なセキュリティキー、またはより簡単に「Microsoft Authenticator」や「Google Authenticator」などの認証アプリを使用すべきである。このようなアプリは、ログインを確認するためにウェブサイトやアプリに入力する必要があるコードを表示する。コードは一定時間ごとに変化し、デバイス上で生成されるため、この方法はSMSよりもはるかに強力であり、窃盗に対する耐性も高い。 この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan
*******
****************************************************************************
*******
****************************************************************************
  • シェア:

関連記事: