ツイッター「SMS認証廃止」理にかなっているワケ SMSを使った2要素認証はそれほど安全ではない
ツイッターなどは長年にわたり、ユーザーに対しSMSを使った2要素認証を設定するよう推奨してきた。この方法を使うと、ユーザーの電話に有効期限のあるセキュリティコードが送られる。2要素認証としては最も広く使われてきた手法だ。というのは、携帯電話はほとんど誰もが持っているし、テクノロジーに詳しくない人でも理解できる手法だからだ。
ところが、年月がたつにつれ、SMS認証に関する問題がセキュリティーの専門家たちから次々と指摘されるようになった。認証コードを含むSMSのメッセージは、電話番号を乗っ取る「SIMスワッピング」と呼ばれる詐欺で盗み取られることがある。ツイッター前CEOのジャック・ドーシーのツイッターアカウントを2019年に乗っ取ったハッカーが用いたのも、この手法だった。
問題はほかにもある。SMSのメッセージは暗号化されていないため、中国やロシアのように厳しい監視が行われている外国のネットワークでSMSを受信することは、セキュリティー上のリスクとなりかねない。
セキュリティーの専門家たちはSMS認証の欠陥を新たに見つけ出しているため、SMSでのコード受信をやめるようユーザーに促すサイトやアプリは増えることが予想されると、前出のエリスは言う。
認証アプリの注意点は機種変更時のトラブル
以上のような事情から、スマートフォンやパソコンにダウンロードする認証アプリが使われるようになった。オンラインアカウントやアプリにログインするときに入力する一時的な認証コードを(電話にSMSで送信する代わりに)生成するのが認証アプリだ。
認証アプリを使用するときの最大のデメリットは、スマホを紛失したり、新しいものに切り替えたりしたときに、アカウントへのアクセスを取り戻すのが面倒になる場合があることだ。ツイッターのようなサイトやアプリは通常、バックアップコードを使ってアクセスを取り戻せるようにしている。
