重要なポイント
SMS はエンドツーエンドの暗号化をサポートしていないため、SMS テキスト メッセージはプライベートでも安全でもありません。エンドツーエンドの暗号化により、あなたと意図された受信者だけがメッセージの内容を読み取ることができます。
Facebook メッセンジャーから昔ながらのテキスト メッセージに切り替えると、プライバシーが保護されると思うかもしれません。ただし、標準の SMS テキスト メッセージはあまりプライベートでも安全でもありません。 SMS は FAX の ようなもので、廃止されることを拒否している古くて時代遅れの標準です。
携帯電話会社はあなたの SMS メッセージを閲覧できる
SMS では、送信するメッセージはエンドツーエンドで暗号化されません。携帯電話プロバイダーは、あなたが送受信するメッセージの内容を確認できます。これらのメッセージは携帯電話プロバイダーのシステムに保存されるため、Facebook のようなテクノロジー企業があなたのメッセージを見る代わりに、携帯電話プロバイダーがあなたのメッセージを見ることができます。
携帯電話会社は、これらのメッセージの内容を さまざまな期間 保存します。多くの場合、メッセージは数日間しか保存されませんが、メタデータ (どの番号がどの番号に、いつメッセージを送信したか) はさらに長期間保存されます。これらの記録は、法的手続きにおいて召喚状の対象となる可能性があります。たとえば、テキスト メッセージの記録は、離婚訴訟における証拠の一般的な形式です。
これを Signal のようなエンドツーエンド暗号化チャット アプリと比較してください。 Signal には通信内容は含まれません。 Signal は、あなたが誰と話しているのかさえ知りません。会話データは、あなたのデバイスと会話している相手のデバイスにのみ保存されます。それだけです。
それはさておき、会話に関して携帯電話プロバイダーを信頼すべきでしょうか?さて、2019 年に遡ると、AT&T、Sprint、T-Mobile が 顧客の位置データをアグリゲーターに販売していることが明らかになりました。 保釈保証人から悪党の賞金稼ぎまで、あらゆる人が使用していました。 (これがニュースで報道された後、携帯電話会社は停止すると約束しました。)
それらの企業にあなたの個人的な会話の内容をすべて見られることを望みますか?
SMS メッセージは犯罪者によって傍受される可能性があります
しかし、SMS メッセージはセキュリティのために使用されますよね?すべての銀行や金融機関があなたの身元を確認するために SMS メッセージに依存しているのには理由があります。
まあ、はい、理由があります。しかし、その理由はセキュリティのためではありません。誰もが電話番号を持っているというだけです。 SMS による確認を要求すると、セキュリティがさらに強化されます。 SMS が特に安全ではないとしても、少なくとも、攻撃者はパスワードを入力するだけでなく、SMS メッセージを傍受する必要があります。
SMS メッセージが傍受される可能性があります。世界中の携帯電話ネットワークは、Signaling System No 7 (SS7) プロトコルを通じて相互に接続されています。これにより、地球の反対側の国にいても、携帯電話が携帯電話ネットワークに接続し、通話を発信したり受信したりできるようになります。
SS7 システムは、SMS メッセージを盗み見したり傍受したりする ハッカーによって繰り返し攻撃を 受けてきました。これは、たとえば銀行口座を侵害する場合に特に役立ちます。攻撃者は通常 SMS 経由で送信される確認コードを盗み出し、それを使用して銀行口座にアクセスし、そのコードを流出させることができます。
これが、セキュリティ専門家が 2 要素認証に SMS を使用しないことを推奨して いる理由です。 デバイス上でコードを生成する アプリや物理的なセキュリティ キーは、より防弾性が高くなります。 (ただし、SMS が利用可能な唯一のオプションである場合は、 。)
SMS メッセージは当局によって監視される可能性がある
世界中の政府は、本質的に携帯電話の塔になりすましたデバイスである「 スティングレイ 」にアクセスできます。これらは、物理的な場所の近くに配置されると、(電話が通常の携帯電話の塔に接続するのと同じように) 電話をだまして接続します。携帯電話会社と同じように、Stingray デバイスはユーザーの動きを追跡し、SMS テキスト メッセージを確認できるようになります。
ローカル監視を超えて、SMS メッセージは大規模な監視システムに収集される可能性もあります。 2014 年にエドワード スノーデンが公開した文書 によると、NSA は当時、世界中から 1 日あたり 2 億件を超えるテキスト メッセージを収集していました。
他国の諜報機関もスティングレイやSMS監視技術にアクセスしているため、 シグナルやテレグラムのような暗号化通信アプリが 抑圧的な政権の下で暮らす活動家の間で特に人気がある理由は明らかだ。たとえば、 イランでは Telegram と Signal が禁止され ています。
電話番号は驚くほど簡単に乗っ取られる
SMS を超えて、電話番号のセキュリティは実際には通信事業者レベルで非常に貧弱です。詐欺師は携帯電話会社に電話したり、店舗に入ってあなたになりすます。詐欺師が十分な詳細情報を持っていて、携帯通信会社のカスタマー サービス担当者をだますことができれば、電話番号を制御できるようになります。別の携帯電話会社に切り替える場合と同じように、携帯電話会社にあなたの電話番号を別の携帯電話会社に「ポートアウト」させる場合があります。または、携帯通信会社にあなたの電話番号に関連付けられた新しい SIM カードを発行してもらい、既存の SIM カードを無効にして、電話番号へのアクセスを削除する場合もあります。
これで、攻撃者はあなたの電話番号を知ることになります。これにより、SMS ベースの 2 要素認証で保護されたアカウントにアクセスできるようになります。結局のところ、個人の詐欺師にとって、カスタマー サービス担当者をだますことは、SS7 をハッキングするよりも簡単です。これは
多くの場合、携帯電話プロバイダーに追加の PIN とセキュリティ機能を追加することで、電話番号を保護できます。ポートアウト詐欺から保護するためにどのようなセキュリティ機能を提供しているかについては、携帯電話プロバイダーに問い合わせてください。
これはかなり多くの人に起こっており、 FCC と Better Business Bureau が この詐欺について警告する勧告を出したほどです。
iMessage と RCS: SMS より優れている?
iPhone のメッセージ アプリは、SMS と Apple 独自の iMessage サービスの 両方をサポートしています。 Android では、より最新の Rich Communication Services (RCS) 標準 を サポートする Android フォンが増えています 。どちらも、テキスト メッセージの会話をサポートするデバイスを使用している場合、テキスト メッセージの会話をより最新の安全なものにサイレントに「アップグレード」するように設計されています。では、SMS とどう違うのでしょうか?
Apple の iMessage は、電話番号を識別子として使用することで、ある意味 SMS に便乗します。あなたとテキストメッセージを送りたい相手の両方が iPhone を持っており、iMessage を有効にしている場合、あなたが送信するテキストはすべて iMessage として送信されます。これらはエンドツーエンドで暗号化され、Apple のサーバーを通じて送信されます。 メッセージに青いバブルが表示される ため、iMessage が使用されていることがわかります。代わりに緑色のバブルが表示される場合は、メッセージ アプリが代わりに SMS を使用しています。iMessage を使用せずに誰か (おそらく Android ユーザー) にメッセージを送信しているためです。
Android ユーザー向けに推進されている RCS 標準 — Apple の iMessage に相当する Google/Android と考えてください — は、2021 年 1 月の時点ではエンドツーエンドの暗号化をサポートしていませんでした。2020 年 11 月の時点で、Google は 追加に取り組んでいまし た。 RCS へのエンドツーエンド暗号化 。つまり、Android 携帯電話に素晴らしい新しい RCS システムが搭載されていても、携帯電話会社は SMS と同様に、送信したメッセージの内容を閲覧できるということです。
SMS の問題の概要
SMS の問題を簡単にまとめて、Signal のような安全なエンドツーエンド暗号化チャット アプリと比較してみましょう。
SMS の場合:
- 携帯電話会社は、送受信しているメッセージの内容を確認できます。収集された記録は法的手続きで召喚される可能性があります。
- SMS メッセージは、メッセージを駆動する不安定な古いプロトコルの弱点により、ハッカーによって傍受される可能性があります。これにより、金融口座やその他の口座が危険にさらされます。
- 当局はスティングレイを配備して、地域内のテキストメッセージの内容を盗み見ることができます。
- 詐欺師は、携帯電話プロバイダーのカスタマー サービス スタッフを騙して、携帯電話番号を盗もうとする可能性があります。
Signal の例:
- 携帯電話会社はメッセージの内容を見ることができません。 Signal ですら、メッセージの内容や連絡先を確認することはできません。それは秘密のままです。 Signal はこのデータを収集しません。召喚状によって強制された場合、Signal はサービスの使用状況について ほとんど何も明らかに できません。
- シグナルメッセージは現実的にはハッカーによってハイジャックされることはありません。彼らは、セキュリティ専門家が優れていると考える Signal 暗号化プロトコル を侵害する必要があります。 (対照的に、SS7 は繰り返し侵害されています。)
- Stingrays はあなたの会話を見ることができません。当局は、Signal メッセージの内容を盗み見ることはできません。Signal メッセージが含まれる携帯電話を入手する必要があります。彼らが見ることができるのは、Signal のサーバーに送受信される暗号化されたトラフィックだけです。
- 電話番号を盗むポートアウト詐欺では、Signal アカウントへのアクセスが許可されません。 Signal アカウントを PIN で保護できるため、詐欺師が Signal アカウントに簡単にアクセスすることはできません。たとえ詐欺師が何らかの方法であなたの PIN を推測して Signal アカウントにアクセスできたとしても、Signal メッセージは携帯電話に保存され、アカウントにアクセスする新しいデバイスに同期されることはありません。
代わりに何を使用すべきか
ここではコントラストが非常にはっきりしているため、Signal を例として使用しました。Signal は、常時オンのエンドツーエンド暗号化を備えた、最も広く推奨されているプライベート チャット アプリです 。
iPhone をお持ちの場合、iMessage での通信は、従来の SMS を使用するよりもはるかにプライベートで安全です。 RCS が改善された後、Android ユーザーがいつか安全なエンドツーエンド暗号化メッセージをデバイスに組み込めるようになることが期待されます。残念ながら、iMessage と RCS は相互に互換性がないため、iPhone と Android 携帯電話は SMS 経由で通信するか、内蔵されていない別のチャット アプリに切り替える必要があります。
他のチャット アプリもオプションです。 Telegram は 人気がありますが、デフォルトではエンドツーエンド暗号化を使用しません。 Facebook 運営のチャット アプリを信頼する場合、WhatsApp は、Facebook Messenger とは異なり、少なくともデフォルトでエンドツーエンド暗号化を使用します。しかし、Facebook Messenger でさえ、間違いなく SMS よりも安全です。メッセージに関して Facebook を信頼していることになりますが、少なくとも、古代のきしむ古い SS7 プロトコルの問題を心配する必要はありません。
2 要素セキュリティの場合、本当に重要なタスクについては SMS を避けるのが最善です。残念ながら、便宜上、一部のサービスは SMS 認証に戻ります。場合によっては代替品もあります。たとえば、 Google はアカウントに最大限のセキュリティを必要とするジャーナリスト、活動家、ビジネス リーダー、政治家向けに高度な保護機能を提供しています が、これには 物理的なセキュリティ キー の使用が必要です。とはいえ、SMS ベースの 2 要素セキュリティは、何もしないよりはマシです。
SMS の将来: いつか修正されるのでしょうか?
SMS は単なる時代遅れのテクノロジーです。プライバシーとセキュリティを念頭に置いて構築されていないことは明らかであり、その設計上の決定は現在でも引き継がれています。
この問題は将来修正されることを願っています。 RCS がさらに成熟し、エンドツーエンドの暗号化が可能になり、すべての Android 携帯電話で利用できるようになったら、Apple がしなければならないことは、RCS を何らかの方法で iMessage と互換性を持たせることに同意することだけです。そうすれば、最新のすべてのスマートフォンに、古いプロトコルに依存しない安全なメッセージングが組み込まれることになります。
現時点では、プライバシーやアカウントのセキュリティが心配な場合は、テキスト メッセージを避けるのが最善です。
