Yahoo によると、SMS 経由で送信されるワンタイム認証コード (OTP) は、2 要素認証プロセスの第 2 層の保護として今でも広く使用されており、ユーザーが銀行、電子メール、ソーシャル ネットワーキング アプリケーションにログインするのに役立っています。
しかし、Yahoo は、SMS はフィッシング攻撃に対して非常に脆弱であるため、最も弱いセキュリティ方法の 1 つであると警告しています。
ブルームバーグ・ビジネスウィークとライトハウス・レポートによる最近の調査では、より大きなリスクが明らかになりました。これらのワンタイムパスワードは第三者によってアクセスされる可能性があるのです。具体的には、スイスのあまり知られていない通信会社Fink Telecom Servicesが、2023年6月に2要素認証コードを含む100万件以上のメッセージにアクセスしたという事例がありました。
Fink Telecom Servicesは、認証コードを生成する企業とエンドユーザーの間の仲介者として、メッセージの内容を処理し閲覧する権利を有しています。懸念されるのは、同社がユーザーの監視や個人アカウントへの干渉に関与している疑いがあることです。
SMS は第三者がアクセスできる可能性があるため、最も弱いセキュリティ方法の 1 つと考えられています。
漏洩したワンタイムパスワードは、Google、Meta、Amazon、Tinder、Snapchat、Binance、Signal、WhatsApp、そして複数の欧州系銀行といった大手企業からのものだった。メッセージは100カ国以上のユーザーに送信された。
Yahooによると、SMS二要素認証が安全でない主な理由は、企業が複数の通信事業者との大規模な契約や「グローバルタイトル」(国境を越えた接続に使用されるネットワークアドレス)システムを通じて、SMS送信を低コストでアウトソーシングすることが多いためです。このシステムの弱点は、委託する企業がFink Telecom Servicesのような企業と直接取引するのではなく、何層にも重なる下請け業者を介して取引しているため、データセキュリティの確保がより複雑になることです。
Wischain Company Limitedの創設者であるファム・マン・クオン氏は、サイバー攻撃者がますます巧妙化し、セキュリティシステムの脆弱性を簡単に悪用してアクセスできるようになるため、SMSメッセージによる2要素認証方式は今日ではもはや安全ではないと説明した。
フィッシング攻撃の最も一般的な形態の 1 つは、一見信頼できるメッセージ、電子メール、または Web サイトを使用して、ユーザーを騙してユーザー名、パスワード、または OTP コードなどの機密情報を提供させるというものです。
それだけでなく、SIMスワッピングも深刻な脅威です。詐欺師は被害者の電話番号を盗み、SMSで認証コードを受け取る可能性があります。
さらに、多くのユーザーは、特に Android デバイスでは、出所不明のソフトウェアをインストールする習慣が依然として残っており、スパイウェアやキーロガーが密かにキーボード入力を記録し、アクセス情報を盗む可能性があります。
SMS 認証は依然として一定の保護層であると考えられていますが、モバイル ネットワークに依存しない、30 秒ごとに変わるランダムな認証コードを生成するアプリケーションである Google Authenticator などの最新の方法と比較すると、SMS はますます弱点を露呈しています。
出典: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm
コメント (0)