銀行アプリからメールアカウントまで、今やあらゆるサービスで使われている二要素認証(2FA)。
その中でも、SMSで送られてくる一度きりのコード、ワンタイムパスワードは、もっともポピュラーな確認手段の1つではないでしょうか。
しかし以前から指摘してきたとおり、SMSはフィッシング詐欺にも比較的弱く、二要素認証の中ではもっとも安全性が低い方法の1つでもあります。
そして今回、事態はさらに深刻であることが明らかになりました。これらのコードが、サービスの提供者と私たちユーザー以外にも、まったく別の第三者から丸見えになっている可能性が浮上したのです。
これは、悪意のある何者かによって、自分のアカウントが乗っ取られるリスクが高まっていることを意味します。
Bloomberg Businessweekの報道によると、ある第三者通信サービスが、そのネットワークを通過した少なくとも100万件もの二要素認証コードにアクセスできる状態にあったというのです。
頼れるAnker!/PR
身軽な外出をかなえるツール3選
100万件以上のSMSコードが閲覧可能だった
BloombergとLighthouse Reportsが主導した調査は、業界の内部告発者から得た情報をもとに、驚くべき事実を明らかにしました。
2023年6月の1カ月間だけで、スイスのFink Telecom Servicesという会社が、100万件を超える二要素認証コードを含むテキストメッセージを閲覧できる状態にあったというのです。
この会社は、認証コードを発行する企業と、ログインしようとするユーザーとの間に立つ「中継役」のような存在。メッセージを取り扱い、その内容にアクセスできる立場にありました。
筒抜けだった情報の内訳
この問題の根深さは、その規模にあります。漏洩したメッセージは、以下のような名だたるサービスから送信されたものでした。
- Meta (Facebook, Instagram)
- Amazon
- Tinder
- Snapchat
- Binance(大手暗号資産取引所)
- Signal
- その他、ヨーロッパの複数の銀行
そして、そのメッセージの宛先は、100カ国以上のユーザーに及んでいたのです。
そもそもSMSは暗号化されておらず、比較的簡単に傍受できてしまうという弱点があります。それに加え、今回のFink社の件が特に憂慮されるのは、この会社が監視業界に関与し、ユーザーアカウントへの不正侵入に関わった疑いが持たれている点です。
なぜ第三者が介在するのか
多くの企業が、テキストメッセージをより安価に送信するために、こうした中継業者を利用しています。
中継業者は、複数の通信キャリアと大規模な契約を結んだり、「グローバルタイトル」と呼ばれる国をまたいだ通信を可能にするネットワークアドレスを所有・リースしたりすることで、低コストを実現しているのです。
さらに問題を複雑にしているのは、Fink社のような会社が、サービスを提供する大企業から直接雇われているわけではなく、下請け業者として関わっているケースが多いという事実。これでは、プライバシーやセキュリティ基準を維持するのは一層難しくなります。
結論として、もしあなたが認証方法としてSMSを使い続けているなら、そのコードを誰も見ていないという保証も、そのコードがあなたのアカウントをハッキングするために使われないという保証も、もはやないのです。
より安全な二要素認証は?
残念ながら、多くの企業が未だに二要素認証にSMSを使い続けています。しかし、可能であれば、ほかの多要素認証(MFA)方式を選択すべきです。
現在、もっとも安全だと考えられている選択肢は、WebAuthnという技術に基づいた認証方法です。
- 生体認証やパスキー: あなたのデバイスや物理的なセキュリティキーに保存される認証情報です。これらの方法は、暗号化されないまま第三者を通過することがなく、フィッシング攻撃に対して非常に高い耐性を持っています。
- 認証アプリ: Google Authenticatorのように、あなたのデバイス上でコードを生成し、30秒ごとに更新されるタイプのアプリも、SMSよりはるかに強力です。
一般的に、ログインに必要とされる認証要素が多ければ多いほど、セキュリティは高まります。
ただし、それぞれの認証要素は独立しており、すべてが同じデバイス上で完結してしまわないようにすることが重要です。
Source: Bloomberg Businessweek
