Twitterは米国時間11月21日、ユーザーがようやく電話番号なしで2要素認証(2FA)を有効にできるようになると発表した。モバイルのワンタイムパスワード(OTP)認証アプリやハードウェアのセキュリティキーなど別の方法のみを使えるようになるという。
これまでユーザーがTwitterアカウントで2FAを使いたい場合は、電話番号を登録してSMSベースの2FA設定を有効にする必要があった。
OTPのモバイル認証アプリやハードウェアのセキュリティキーを使いたいユーザーは、最初にSMSベースの2FAを有効にする必要があり、これを無効にすることはできなかった。
セキュリティキーを使うことにした場合も、SMSベースの2FA設定は有効で、アカウントはSIMスワップと呼ばれる攻撃のリスクにさらされていた。
ユーザーのパスワードを手に入れたハッカーは、SIMスワップによってユーザーの電話番号を一時的に奪い取り、SMSベースの2FAをすり抜けて、そのユーザーのアカウントを乗っ取ることが可能になっていた。
8月には、Twitterの最高経営責任者(CEO)であるJack Dorsey氏のアカウントがハッキングされるという事態も発生している。
Twitterは21日にこの機能について発表したが、1週間ほどテストが実施されていたようだ。ユーザーが週末に見つけていた。
Twitter now, finally, lets you enable multi-factor authentication without requiring that SMS codes be an option! #victories
If you feel even remotely at risk of account takeover, use an authenticator app and/or a security key, and disable SMS as an account option.
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「iPod touch」新モデルの細部を写真で見る--小型ながら性能向上 
パナソニック、デザインチームが考えた2030年のくらし--”4畳半の動く家”など青山で展示 
東京ゲームショウ2019を彩ったコンパニオンたち--170枚の写真で振り返る