SMSは二段階認証システムとして役に立たないということだ。

Takashi Ochiai
1 読む時間
水曜日, 4月 27, 2022

5億3300万人のユーザーが “裸 “になってしまったのです。今回のFacebookユーザーデータの流出事件は、怠慢な企業がいかに私たちのプライバシーだけでなく、セキュリティや貯蓄までも危険にさらしているかを示す、何度目かの出来事である。

今回のデータ流出により、数百万人のユーザーがフィッシング攻撃などの標的型サイバー攻撃のリスクにさらされることになります。この危険性は非常に大きく、今回のフェイスブックの失態は、「SMSは二段階認証の方法としてふさわしくない」というデリケートな問題を警告するものである。

怖がること。とても恐れてください。

私たちのデジタル社会への依存度は高まっており、モバイル革命の恩恵は明らかですが、好ましくない副作用も残されています。

少し前までは、ワンステップ（ユーザー名とパスワード）の保護で十分だと思われていましたが、パスワードの大量盗難やユーザーの悪習（パスワードとして「123456」を使い回すのは非道い）により、あらゆるサービスのアカウント保護に2段階認証（2FA）方式がより望ましいとされるようになりました。

ユーザー名とパスワードを入力するだけでは、もはや不十分だったのだ。また、携帯電話のSMSメッセージで送られてくるパスコード（通常は暗証番号）で本人確認をする必要があった。

そのアイデアは素晴らしい……そう思えた。私たちだけが（理論的には）携帯電話を所持しているのだから、その暗証番号は私たちにしか届かないのでは？

いいえ。

Facebookで起こったような情報流出では、データはもはや電子メールと関連するパスワードのリストだけではありません。そのデータには、フルネーム、携帯電話番号（削除したほうがいいかもしれません）だけでなく、そのユーザーの性別や居住地も含まれます。このデータがもたらす脅威は、まさに巨大です。

この盗難事件に対するフェイスブックの対応は驚くべきもので、彼らの哲学は「無為無策」なのですから。なお、該当するユーザーには通知する予定はないとのことです。なお、該当するユーザーは、評判の高いHaveIBeenPwnedサービスにより、自分が情報漏洩に関与しているかどうかを確認することができます。このサービスの最近の変更点は、電子メールが流出したかどうかだけでなく、携帯電話番号など、そのパラメータに関連するすべてのデータが流出したかどうかを知ることができるようになったことです。

フェイスブックから流出したデータで「悪者」は何ができるのか？

そのようなデータは、サイバー犯罪者に、フィッシング（知り合いが「ねえ、これであなたを信用できるわ」と送ってくるメール）やあらゆる種類の標的型攻撃の絶好の機会を与えるからです。

このデータを使って、例えば犯罪者が私たちの身元を偽り、複製したSIMカードを入手することができるのは想像に難くありません。突然、携帯電話が使えなくなり、攻撃者はその携帯電話を使ってあらゆる操作を行うことができるようになるため、そのような攻撃の被害に遭った場合、私たちは本当に苦境に立たされます。

銀行振込やAmazonでの購入のための暗証番号を受け取るのは彼で、あなたではありませんが、あなたが支払うことになります。

このようなデータ盗難の危険な影響は計り知れず、また、他のソーシャルエンジニアリング攻撃にもつながり、他人が私たちのデータをさらに収集したり、私たちのIDを送るように説得したり（考えてはいけません）、やはりこのような失態の結果は致命的なものになりかねません。

二段階認証のSMSとはおさらばです。

これについては、ちょっとめんどくさいですね。5年前に言って、翌年も繰り返した。 2段階認証でアカウントを保護することは素晴らしいアイデアですが、SMSでそれを行うことはあまり良いことではありません。

確かにSMSはないよりましです。本当にそうなんです。問題は、Facebookで起きたこの最新の災害によって、携帯電話番号がもはやそれほど安全ではないこと（以前からわかっていたことだが）、2FAシステムの実装に関しては、もっと良い選択肢があることが浮き彫りになったことである。

代替案とは？手始めに、この目的に特化したモバイルアプリケーションを紹介します。Google Authenticator、Microsoft Authenticator、Authy…といった有名なものがありますが、さらに安全な方法として、しばしば「USBキー」の形をした物理認証デバイスがあります。

サイバーセキュリティの専門家や、アムネスティ・インターナショナルなどの組織も、こうした「物理的なトークン」を推奨しています。最も有名なのはYubikeyのものでしょうが、他にもGoogleが少し前に開発したTitanなど、様々な代替手段があります。

解決策はあるのに、業界はまだSMSから抜け出せないでいる。

問題が何であるかは分かっているし、それを（少なくとも）軽減する解決策があることも分かっているのに、なぜこの種の代替品が市場で普及しないのだろう？

まず、快適性や利便性が非難されるからです。SMSはすでに古くから親しまれており、こうした二段階認証システムの利用しやすさが支持されています。この技術は私たちの携帯電話の一部であり、ユーザーはそれを利用するために何もする必要はなく、さらにユーザーはそれを知り、信頼しています（あまりしない方がいいかもしれませんが）。

上記のような、より安全な方法を使うには、私たち人間があまり嬉しくない変化と努力が必要です。たとえメリットが明確であっても、私たちは変化に抵抗があり、新しいモバイルアプリケーションをインストールして、「SMSのときと同じように」自分の端末で使わなければならないのは大変なことなのです。

しかし、実際には、いまだにSMSに絶対的な軸足を置いている業界にこそ、真の問題があるのです。特定のサービスを除いて、Google Authenticatorなどのアプリ（Yubikeyなどのセキュリティキーはともかく）のサポートは、企業にとって忌み嫌われるシナリオが数多く存在する。

最も明確で最もデリケートな例は銀行です。（少なくとも私が知る限りでは）どれもないので、前述の代替品で動作するものを見つけようとする幸運を祈ります。そのようなシステムがあることは知っているが、それを導入するのは隔世の感がある。

大手テクノロジー企業も、徐々にこれらのシステムを自社のサービスに組み込み始めています。FIDOアライアンスのFIDO2/WebAuthnプロジェクトやYubikeyのU2F（Universal 2nd Factor）プロトコルは、徐々に多くのサービスでサポートされつつあり、これらの技術の大規模な拡大における仲介役として興味深いものがありますが、実は、我々の世界ではまだSMSがボスであることに変わりはありません。

気をつけて行ってらっしゃい。