連載
特集
カテゴリー
タグ
メディア

SMS認証はダメ。セキュリティ対策の注意点を徹底解説

author 訳:伊藤貴之
  • カテゴリー:
  • TOOL
SMS認証はダメ。セキュリティ対策の注意点を徹底解説

先日、Viceに他人のSMS(ショートメッセージサービス)を簡単に盗む方法があるという衝撃的な内容の記事が掲載されました。

攻撃者はターゲットのスマホにアクセスする必要も、SIMカードを手に入れる必要もありません。

ただ、VoIPサービス卸売業者にわずかなお金を払って、自分たちが再販業者であると思い込ませ、書類を偽造し、ターゲットのSMSを別の番号に転送するように仕向けるだけでいいのです。

セキュリティの甘かったSMSサービス

Lucky225さんはMediumで次のように説明しています。

2021年3月11日(木)のある時点まで、NetNumberは、あらゆる携帯電話番号のNNIDの再割り当てや乗っ取りを、認証も検証を行なわずに許可していました。

おそらく、この筆者やほかのジャーナリストから説明を求められたNetNumberは、内部調査を行ない、それが事実であることがわかると、一時的に携帯電話番号の乗っ取りをできなくして、最初から何の問題もなかったかのように偽装しようとしたのだと思われます。

(中略)

携帯電話番号の代わりにVoIP番号を使ってさまざまなサービスを利用している人たちが、今回の攻撃では脅威にさらされることになりました。

一方で、プライバシーを気にせずに本当の携帯電話番号でサービスを利用している人たちのほうがむしろ安全だったのです。

SMSを別の電話番号に転送するやり方をここで詳しく説明するつもりはありませんが、それがとても簡単で、かつ、被害者には転送の承認を求める連絡も通知すらも届かないようになっていたのは呆れるばかりです。

もちろん、ビジネス向けSMSサービスの多くは、もっとセキュリティを強化しているとは思います。

ですが、攻撃者はただ、電話番号の本当の所有者に確認をとらずに転送を許可するサービスを見つけ出すだけでいいわけです。

SMS認証や2段階認証だけでは不十分

この問題は、新しいデバイスからアカウントにログインするときに行なうSMSを使った本人確認にも波及します

私たちはこれまでも言ってきましたが、すべてのサイトやサービスが耳を傾けるまで、私たちはこれを言い続けるつもりです。

不正アクセスから自分のアカウントを守るためには、SMS認証や2段階認証を使うだけでは不十分です。

可能なかぎり、専用の二要素認証アプリを使用するべきです。二要素認証アプリでは、アカウントへのログインプロセスを完了するために、ハードウェア(通常はスマホ)への物理的なアクセスを必要とします。

SMSは思っているほど安全ではありません。SMSの乗っ取り被害に遭うことはごくまれなケースだとしても、今回のニュースは、乗っ取りが決して不可能ではないことを明らかにしました

二要素認証の安全性の高さ

二要素認証を使えば、安全度はかなり高まります。

まず、攻撃者はあなたのスマホを入手しなければなりません。

そのうえさらに、設定してあったセキュリティシステム(指紋や顔認証)を迂回してロックを解除し、二要素認証アプリに設定してあるセキュリティ(暗証番号など)を突破しなければ、アカウントに侵入することはできません

そこまでに至るまでに、攻撃者はあきらめるか、あなたが二要素認証をリセットして別のデバイスを使って重要なアカウントをセットアップし、古い認証コードを無効にするほうが早いでしょう。

SMSが他の電話番号へ転送されたら警告してくれる監視サービスもありますが、わざわざ利用する必要はないと思います(前述のMediumの筆者は、そうしたサービスを提供する企業の1つであるOkey社の最高情報責任者です)。

もちろん、気になる人は利用してもかまいません。ログインコードの取得にSNSを使用しているサービスは本当にたくさんありますので。

セキュリティ対策の注意点

自分が利用している医療サービスやゲームサイトなどで、二要素認証が使えず、2段階認証しか使えない場合は仕方がありません。強力でユニークなパスワードを選び、優れたパスワード管理アプリで保護して、最善を尽くしてください。

パスワードマネージャーはどの程度安全か?


また、セキュリティ対策の質問に、推測しやすい答えを設定しないように。質問は「パスワード」と同じであり、パスワードと同じくらい慎重に扱ってください。

もし2段階認証しか使える手段がないのであれば、もちろん使ってください。100%安全ではありませんが、2段階認証を有効にして、攻撃者がアカウントに侵入するのをできるだけ手間取らせるようにします。

ログインとパスワードの組み合わせだけに頼るのではなく、少しでもセキュリティを高めることができれば、それに越したことはありません。

さらに極端なやり方もあります。

たとえば、実際に使っている電話番号とは一切関係ない、ログインコード取得専用の電話番号を使うこともできます(Google Voiceなら、受信したメッセージをメールで受け取るように設定しつつ、さらに二要素認証でGoogleアカウントを保護することが可能)。

ここまでしても、無差別攻撃から完全に身を守ることはできないかもしれません。

しかし少なくとも、標的型攻撃に対する防御力を高めることはできます。がんばってください。

あわせて読みたい

重要な個人情報をスマホで一括保管できるアプリ【今日のライフハックツール】

Windows 10の「秘密の質問」が不要なら、無効にしたほうが安全かも

Source: Vice, Medium, Okey

David Murphy - Lifehacker US[原文

swiper-button-prev
swiper-button-next