「ショートメッセージで認証コード」はもう安全ではない。100万件以上の二要素認証が閲覧された可能性（ライフハッカー・ジャパン）

銀行アプリからメールアカウントまで、今やあらゆるサービスで使われている二要素認証（2FA）。 その中でも、SMSで送られてくる一度きりのコード、ワンタイムパスワードは、もっともポピュラーな確認手段の1つではないでしょうか。 しかし以前から指摘してきたとおり、SMSはフィッシング詐欺にも比較的弱く、二要素認証の中ではもっとも安全性が低い方法の1つでもあります。 そして今回、事態はさらに深刻であることが明らかになりました。これらのコードが、サービスの提供者と私たちユーザー以外にも、まったく別の第三者から丸見えになっている可能性が浮上したのです。 これは、悪意のある何者かによって、自分のアカウントが乗っ取られるリスクが高まっていることを意味します。 Bloomberg Businessweekの報道によると、ある第三者通信サービスが、そのネットワークを通過した少なくとも100万件もの二要素認証コードにアクセスできる状態にあったというのです。

BloombergとLighthouse Reportsが主導した調査は、業界の内部告発者から得た情報をもとに、驚くべき事実を明らかにしました。 2023年6月の1カ月間だけで、スイスのFink Telecom Servicesという会社が、100万件を超える二要素認証コードを含むテキストメッセージを閲覧できる状態にあったというのです。 この会社は、認証コードを発行する企業と、ログインしようとするユーザーとの間に立つ「中継役」のような存在。メッセージを取り扱い、その内容にアクセスできる立場にありました。 筒抜けだった情報の内訳 この問題の根深さは、その規模にあります。漏洩したメッセージは、以下のような名だたるサービスから送信されたものでした。 Google Meta (Facebook, Instagram) Amazon Tinder Snapchat Binance（大手暗号資産取引所） Signal WhatsApp その他、ヨーロッパの複数の銀行 そして、そのメッセージの宛先は、100カ国以上のユーザーに及んでいたのです。 そもそもSMSは暗号化されておらず、比較的簡単に傍受できてしまうという弱点があります。それに加え、今回のFink社の件が特に憂慮されるのは、この会社が監視業界に関与し、ユーザーアカウントへの不正侵入に関わった疑いが持たれている点です。