2020 年 1 月 17 日 Trevor Collins 著

最近、SMS を利用した多要素認証（MFA）の脆弱性がニュースで取り沙汰されています。それらの話題の中では、想定される脅威の個々の例が示されている一方で、SIM スワップに関する最近の研究によると、携帯電話の番号を乗っ取ることはとても簡単であるということが判明しています。ユーザに関する情報がなく、氏名も電話番号も分からない状態で、研究者は T-Mobile や Verizon、AT&T といった主要な会社のネットワークにおける SIM スワップを、一度も失敗することなく実行できました。Tracfone や US Mobile といった比較的小さな通信会社でも実験し、失敗した例もありました。中には、通信会社の顧客担当者が認証のための質問に対する答えのヒントを提供していたケースもありました。

研究者は、通信会社に対する不正認証の主な方法として、同じ電話から以前にダイヤルされた番号を確認するという方法を使いましたが、これはほとんどのユーザが知らないやり方です。最初に実験を行った T-Mobile、Verizon、AT&T という 3 つの通信会社すべてで、この方法は有効でした。Verizon と AT&T は、最後に支払いをした日付を確認することによって認証ができました。認証されていないユーザであっても通話時間を追加購入することは可能なため、標的となる電話で追加の通話時間を購入したのち、最後の支払日を照合して、簡単に SIM スワップの不正認証ができました。キャリアは他にも、セキュリティの専門家が安全とはみなさないような多くの認証方法を使っています。

研究者は、なんらかの多要素認証をサポートしている Web サイトのリストをチェックした結果、SMS による認証が行われている 156 個の Web サイトを見つけました。中には 1 段階の SMS 認証を行なっている Web サイトもありました。つまり、ユーザの SMS メッセージにアクセスできてしまえば、パスワードがなくてもアカウントにアクセスできるということです。

研究報告書では、認証における SMS の使用は奨励するべきではないと結論づけています。Web サイト側は SMS を極力認証に使用しないようにし、ユーザ側も可能な場合には SMS 認証を使わないようにするということです。ウォッチガードもこれには全面的に賛成します。代わりとなる多要素認証の方法はあります。たとえば Authpoint のモバイルプッシュ式認証は、安全な接続で盗聴を許さず、新しい携帯電話への SIM スワップにも管理者が関わる必要があるため、認証されたユーザだけがアクセスできるようになっています。そのため、その多要素認証アプリの管理者がベストプラクティスに従っている限り、SMS を用いる多要素認証に存在するほぼすべての脆弱性が無効になります。