SMSベースの2段階認証は安全とはいえない。対処法は？

訳：堀込泰三

2018.08.08

先日、米TechCrunchが「Instagramが2段階認証の変更を検討中」と報じ、Instagram社はこれを認めました。パスコードとGoogle Authenticatorなどのセキュリティアプリを使ったログインを採用するというのです。

このように、テキストメッセージではなくトークンベースのアプリを使った認証が増えるのは歓迎すべきことといえます。

すぐにでも、新しい認証方式に切り替えてください。なぜなら、ハッカーが携帯電話キャリアに電話をかけ、無防備なカスタマーサービス担当者を見つけ、いともかんたんにあなたに成りすます事例が頻繁に報告されているからです。ビットコイン交換所のクラーケンは、2016年のブログ記事でこう説明しています。

なぜだか多くの人が、電話番号はアイデンティティと密接に結びついていると信じるあまり、認証ツールとして適していると考えています。でも、クラーケンがSMSベースの認証を採用していないのには理由があります。悲しいかな、電話対応をしているオペレーターは、三流のコートチェック程度のセキュリティしかないのが現実なのです。以下に、例を示します。
ハッカー：私のジャケットをください。
オペレーター：ではチケットを見せていただけますか？
ハッカー：それが、なくしてしまって。
オペレーター：番号は覚えていますか？
ハッカー：いいえ。でも、あそこにあるあれなんです。
オペレーター：こちらですね。どうぞお持ちください。アンケートには良い評価をお願いしますね。

Motherboardの記事によると、携帯電話キャリアは（米連邦取引委員会も）、「SIMハイジャッキング」や「SIMポーティング」と呼ばれるこのようなハックの蔓延を知りつつ、ようやく基本的な対策を取り始めたところなのだとか。

セキュリティを強化するには、携帯電話キャリアのカスタマーサービスに電話をするときに入力しなければならない特別なPINコードを追加するしかありません。それをしないと、ハッカーに電話番号を知られるだけで悲劇が訪れるかもしれないのです。Motherboardの記事にはこうあります。

SIMスワップをしていたハッカーに言わせると、これは「日常茶飯事」なのだそうです。携帯電話事業者は何年も前からこのような攻撃を把握しているというのに。T-Mobileによると、すでに何百人もの人がこの詐欺に遭っています。この数カ月の間に、Motherboardは電話番号を盗まれた被害者30人から話を聞きました。ある被害者は、SIMハイジャッキングをされた結果、Instagramだけでなく、Amazon、eBay、PayPal、Netflix、Huluなどのアカウントをハックされたといいます。

サイトやサービスによるSMS経由での2段階認証コードの送信をやめさせるには

hsnnh58cynhhwzx96c1i — Screenshot: David Murphy

どことは言いませんが、いまだにログイン時に毎回テキストメッセージを送ってくるサイトがあります。自分の身を守るためにも、アプリベースの2段階認証を提供しているサイトやサービスについて、もっと最新情報を知っておかなければなりませんね。

あなたのお気に入りサイトがいわゆる「トークンベース」の2段階認証を採用しているかどうかを知るには、2つの方法があります。まず、テキストメッセージをスクロールして、過去にログインコードを送ってきたことがあるサイトを見つけます。次に、そのサイトの設定を調べて、アプリによるソフトウェアトークンを設定できないか調べてください。

これを機に2段階認証アプリを使い始めたいけど、どれを使っていいかわからないという人は、トークンベースの2段階認証をサポートしているサイトがオススメしているアプリを使ってください。サイトのオススメが見つからないときは、下記が筆者オススメのアプリです。

認証のためのモバイルアプリを独自に持っているサイトもあります。たとえばFacebookのCode Generatorを有効にすると、新しいブラウザからFacebookにログインするたびに、Facebookモバイルアプリからコードを入力するよう求められます。

yocqhceseykx5ubgiqcw — Screenshot: David Murphy

テキストメッセージを探してもログインコードが見つからないときは、おそらくサイトやサービスにログイン後、メッセージを消去してしまっているのでしょう。そんなときは、Two Factor Authというサイトが便利です。カテゴリーをクリックすると、アプリやサービスの一覧と、それらがサポートしている2段階認証が表示されます。