セキュリティの専門家は、可能な限り オンライン アカウントを保護することを推奨しています。多くのサービスでは、デフォルトで SMS 認証が使用され、サインインしようとするとテキスト メッセージ経由でコードが携帯電話に送信されます。しかし、SMS メッセージには多くのセキュリティ上の問題があり、2 要素認証の中で最も安全性の低いオプションです。
まず最初に: SMS は、2 要素認証をまったく使用しないよりはまだ優れています。
ここでは SMS に対する主張を展開しますが、最初に 1 つのことを明確にすることが重要です。それは、SMS を使用する方が、2 要素認証をまったく使用しないよりも優れているということです。
2 要素認証を使用しない場合、誰かがあなたのアカウントにサインインするためにあなたのパスワードのみが必要になります。 SMS で 2 要素認証を使用する場合、あなたのアカウントにアクセスするには、誰かがあなたのパスワードを取得し、テキスト メッセージにアクセスする必要があります。 SMS は、何もしないよりもはるかに安全です。
SMS が唯一の選択肢である場合は、SMS を使用してください。ただし、セキュリティ専門家が SMS の回避を推奨する理由と、代わりに何を推奨するかを知りたい場合は、読み続けてください。
SIM スワップにより攻撃者が電話番号を盗むことが可能になる
SMS 認証の仕組みは次のとおりです。サインインしようとすると、サービスは以前に提供した携帯電話番号にテキスト メッセージを送信します。携帯電話でそのコードを取得し、それを入力してサインインします。そのコードは 1 回のみ使用できます。
かなり安全だと思われます。結局のところ、あなたの電話番号を知っているのはあなただけであり、コードを確認するには誰かがあなたの電話を持っている必要があります。残念だけど違う。
誰かがあなたの電話番号を知っていて、社会保障番号の下 4 桁などの個人情報にアクセスできる場合、残念なことに、顧客データを漏洩した多くの企業や政府機関のおかげで、この情報は簡単に見つけられます。電話会社に連絡して、電話番号を新しい電話に移行できます。これは「 SIM スワップ 」として知られており、新しいデバイスを購入して電話番号を移行するときに実行するプロセスと同じです。その人はあなたであると言って個人データを提供し、携帯電話会社はあなたの電話番号を使用して電話を設定します。相手はあなたの電話番号に送信された SMS メッセージ コードを携帯電話で受け取ります。
英国で このような事件が起きたという報告を確認しました。攻撃者は被害者の電話番号を盗み、それを使って被害者の銀行口座にアクセスしました。ニューヨーク州もこの詐欺について 警告し ている。
基本的に、これは携帯電話会社を騙すことを利用した ソーシャル エンジニアリング攻撃 です。しかし、そもそも、携帯電話会社は誰かにあなたのセキュリティ コードへのアクセスを提供できるはずがありません。
SMS メッセージはさまざまな方法で傍受される可能性があります
SMS メッセージを盗み見ることも可能です。電話ネットワークを通じて送信される SMS メッセージが政府によってハイジャックされる可能性があるため、抑圧的な国の反体制派やジャーナリストは注意が必要です。これはすでに イラン で発生しており、イランのハッカーが多数の Telegram メッセンジャー アカウントへのアクセスを提供する SMS メッセージを傍受し、それらのアカウントを侵害したと報告されています。
攻撃者はまた、ローミングに使用される接続システム である SS7 の問題を 悪用して、ネットワーク上の SMS メッセージを傍受し、別の場所にルーティングします。偽の携帯電話塔の使用など、メッセージを傍受できる方法は他にもたくさんあります。 SMS メッセージはセキュリティを目的として設計されていないため、セキュリティ目的で使用すべきではありません。
言い換えれば、少量の個人情報を持った高度な攻撃者があなたの電話番号を乗っ取ってオンライン アカウントにアクセスし、そのアカウントを使用して、たとえば銀行口座を流出させようとする可能性があります。そのため、米国国立標準技術研究所は 2 要素認証に SMS メッセージを使用すること を推奨しなくなりました 。
代替案: デバイス上でコードを生成する
SMS に依存しない 2 要素認証スキームは、携帯電話会社が他人にコードへのアクセスを許可できないため、優れています。このための最も一般的なオプションは、 Google Authenticator のようなアプリです。ただし、Google Authenticator が行うことすべてを実行できるため、 Authy をお勧めします 。
このようなアプリはデバイス上でコードを生成します。たとえ攻撃者が携帯電話会社をだましてあなたの電話番号を携帯電話に移動させたとしても、セキュリティ コードを入手することはできません。これらのコードを生成するために必要なデータは、携帯電話に安全に残ります。
コードを使用する必要もありません。 Twitter、Google、Microsoft などのサービスは、携帯電話上のアプリでのサインインを承認することで、別のデバイスでのサインインを可能にする アプリベースの 2 要素認証 をテストしています。
使用できる物理ハードウェア トークンもあります。 Google や Dropbox などの大企業は、すでに U2F というハードウェアベースの 2 要素認証トークンの新しい標準 を実装しています。これらはすべて、携帯電話会社や時代遅れの電話ネットワークに頼るよりも安全です。
可能であれば、2 要素認証の SMS は避けてください。何もしないよりはマシで便利に見えますが、通常、選択できる 2 要素認証スキームの中で最も安全性が低くなります。
残念ながら、一部のサービスでは SMS の使用が強制されます。これが心配な場合は、Google Voice の電話番号を作成し、SMS 認証を必要とするサービスにそれを付与することができます。その後、Google アカウント (より安全な 2 要素認証方法で保護できる) にサインインすると、Google Voice の Web サイトまたはアプリで安全なメッセージを確認できます。ただし、Google Voice からのメッセージを実際の携帯電話番号に転送しないでください。
