SMSや通話での認証を避けるべき理由

あるマイクロソフトのマネージャーは、SMSテキストメッセージや音声通話のための多要素認証（MFA）メカニズムから企業やユーザーを遠ざけるために、可能な限りのことをしようと決意しています。

Microsoft の ID セキュリティ担当ディレクター、Alex Weinert 氏によると、公衆交換電話網 (PSTN) をベースにした両メカニズムは、「現在利用可能な MFA 方式の中では最も安全性が低い」という。

“MFAの採用により、これらの方法を破ることへの攻撃者の関心が高まり、特別に設計された認証子がセキュリティとユーザビリティの利点を拡大するにつれて、そのギャップは拡大するばかりです。“とブログ記事で説明しています。

ヴァイナートによると、任意の多要素認証機構を利用したアカウントのリスク率は0.1％以下である。“パスワードを超えたものを使用すると、攻撃者のコストが大幅に増加する “と同氏は述べています。

危険性とは

幹部は、SMSや音声通話に基づく多要素認証システムを隠す6つの危険性を詳述した。

• 多くのデバイスがPSTNメッセージの受信に依存しているため、メッセージの形式が制限されており、ユーザビリティやセキュリティ面でのイノベーションの機会が制限されています。
• 暗号化なし：音声やSMSのプロトコルが開発されたとき、暗号化なしで設計されていました。これは、スイッチングネットワークにアクセスできる人、あるいは装置の無線範囲内であれば誰でも信号を傍受できることを意味します。これは、PSTNシステムにおける実質的かつ独自の脆弱性です。
• ソーシャルエンジニアリング攻撃：PSTNシステムは、顧客サービスのインフラに基づいており、エージェントは「魅力、強制、賄賂や恐喝に対して脆弱」であると幹部は述べています。これらのソーシャルエンジニアリングの取り組みが成功した場合、カスタマーサポートはSMSや音声チャネルへのアクセスを提供することができます。
• 携帯電話事業者に依存：信頼性は100％ではなく、レポートの一貫性は100％ではありません。地域やオペレーターに依存するため、メッセージのルートはそこに到着するまでの時間に影響を与える可能性があります。
• 規制の変更：SMS形式のスパムが増加しているため、規制当局はそれを回避するための措置を要求している。これらの規制は急速に変化しており、地域によって一貫性がないと同氏は警告している。
• 限られたコンテキスト：テキストや音声メッセージは、伝達することができる情報量を制限します：SMSは160文字、GSMを使用していない場合は70を持っています。そのため、認証リクエストのコンテキストを配信する能力が制限されます。